אמצעים העומדים לרשות הארגון להגנה מקיפה נגד התקפות דרך הדואר האלקטרוני
מאת: גיא חורש, 8.9.20, 13:15
12 דרכי הגנה עבור שירותי דוא"ל ארגוניים.
דוא"ל מייצג את אחת הדרכים האינטראקטיביות ביותר. חרף הקדמה והאמצעים החדשים, בכל ארגון כיום כלי העבודה העיקרי הוא מחשבים אישיים והדואר האלקטרוני מהווה את נקודת הכניסה וההתקפה הנפוצה ביותר בשל המורכבות הטכנית, הגמישות והאינטראקציה הישירה עם משתמשים, מערכות ואף אתרים ברחבי הרשת.
פעמים רבות מתקפות עושות שימוש בתוכן, שמטרתו לפתות משתמשים לנקוט בפעולות "טריוויאליות", שמנוצלות להכנסת קוד זדוני העלול לגרום לאובדן נתונים יקר ערך ופתח למתקפות אחרות. מאחר שיישומי דוא"ל הם מהאמצעים העיקריים בהם משתמשים מתקשרים בתוך ובין סביבות, הם מהווים יעד פוטנציאלי לניצול קוד ולהנדסה חברתית.
בתחום הדוא"ל, לימוד ההתנהגות משתמש נכונה חשוב לא פחות מההגדרות הטכניות. שימוש בכלים לסינון דואר זבל מצמצם את מספר האימיילים הזדוניים המגיעים לרשת הארגון. בנוסף ייזום אימות הודעות, דיווח תואם ומבוסס-תחום (
DMARC) מסייע בהפחתת פעילויות זבל ודיוג.
התקנת כלי הצפנה לאבטחת דוא"ל ותקשורת מאפשרת להוסיף שכבה נוספת של אבטחה מבוססת משתמשים ורשת, בנוסף לחסימה בהתבסס על השולח. כ"כ, כדאי לאפשר שליחה וקבלה רק של סוגי קבצים, שהמשתמשים זקוקים להם לצורך עבודתם.
מהם הם האמצעים העומדים כיום לרשות הארגון בבואו לתת הגנה מקיפה להתקפות דרך הדואר האלקטרוני?
בדיקת מוניטין - בדיקת הודעות דואר המבוססת על טכנולוגיית מוניטין של השולח לצורך זיהוי וחסימה של נוזקות רבות ושונות.
אימות ההודעה - הודעת הדואר הנכנסת עוברת תהליך הזדהות (
SPF, DKIM, DMARC), שמטרתו לסייע ללקוח לאמת את זהות השולח.
Fire Wall - ה-
Fire Wall מסננן הודעות דואר על פי חיבוריות ותוכן הודעה הכלולים במידע הקיים במעטפת ומנותח ע"י רכיבי ה-
Fire Wall.
אימות נמען ההודעה - ביצוע אימות לכתובת הדואר של הנמען, דבר הדואר יחסם במידה והנמען לא נמצא. זאת, בטרם הועבר לטיפול מנגנוני אבטחה אחרים. בכך מרוויחים משאבים.
אימות תוכן ההודעה (Dictionaries) - ביצוע חיפוש תוכן ע"פ מילים בגוף ההודעה כדי לזהות מיילים המכילים פגיעויות מסוימות. מייל ייחסם במידה ותימצא הפרה של מדיניות שהוגדרה.
Bounce Management - זיהוי התחזות לכתובת מייל לגיטימית באמצעות בדיקת
From Address.
זיהוי ספאם - בד"כ יעשה באמצעות שירות זיהוי ספאם, שתפקידו לנתח רשימות דינמיות המגיעות למיילים באלפי ארגונים. מטרת שירות זה הוא זיהוי עתידי של מתקפות ספאם.
רשימה של ארגונים מאושרים/חסומים לשליחה - מדובר באחת האופציות הוותיקות ביותר בעולמות דוא"ל, אך כזו, שגם כיום רלוונטית. למעשה, מדובר באוסף פרמטרים המגדיר הודעה כלגיטימית או ספאם באמצעות הגדרה של רשימת שולחים מותרים/חסומים.
תוכנות Anti-Virus - תוכנות
AV מתבססות על חתימות או קבצים ידועים כפוגעניים וכ"כ על מנועים נוספים לזיהוי פוגעניים לא ידועים. תוכנות אלו מאפשרות לחסום קבצים מוצפנים או מוגנים בסיסמה, שכן הצליחו לחדור לארגון.
הגנה מפני מתקפות מתקדמות או ממוקדות - ניתן ליישם הגנה מפני מתקפות אלו באמצעות
Sandbox, שמטרתו זיהוי נוזקות מתקדמות, כמו גם במקרה וגוף ההודעה מכיל קישור המפנה להורדת נוזקה. ה-
Sandbox יבצע אימות ובדיקת קישורים לאתר נוזקות קיימות באמצעות שיכתוב כתובת הקישור והפנייתה לשירות ה-
Sandbox.
Web Isolation - פתרון המאפשר גלישה בטוחה באמצעות טכנולוגיות ענן. הגלישה ופתיחת הדוא"ל אינן מתבצעות במכשיר המשתמש אלה באמצעות שירות ענני המאפשר גלישה בניתוק ממכשיר המשתמש,. שירות זה מאפשר להקליק על קישור קיים בהודעת הדוא"ל והפתיחה תתבצע ב-
isolation ולא על מכשיר המשתמש.
Security Awareness - מפתה לחשוב על הגנת סייבר בעיקר כאתגר טכני, אך לפעולותיהם והתנהגותם של העובדים תפקיד קריטי בהצלחה או כישלון באבטחת המידע בארגון. תוכנית אימונים אפקטיבית ברחבי הארגון צריכה לנקוט בגישה הוליסטית להכשרת האנשים המשתמשים בטכנולוגיה. יש לתכנן את המדיניות ע"י מדידה ואכיפה טכנית ויש לחזק אותה באמצעות כלי אימון למילוי פערים בהבנת המשתמשים.
מאת:
גיא חורש, ספטמבר 2020.
מומחה אבטחת מידע ב
בינת תקשורת מחשבים