Μετριασμός των συμβάντων στον τομέα της ασφάλειας στον κυβερνοχώρο

Πίσω

Τα κοινωνικά κατασκευασμένα email που περιέχουν κακόβουλα συνημμένα και οι ενσωματωμένες συνδέσεις χρησιμοποιούνται συνήθως σε στοχευμένες διαδικτυακές παραβιάσεις κατά οργανισμών. Το παρόν έγγραφο έχει αναπτυχθεί για να παρέχει στρατηγικές μετριασμού των κινδύνων ασφαλείας που θέτουν αυτά τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου.

Δεν είναι κατάλληλη κάθε στρατηγική μετριασμού στο πλαίσιο αυτού του εγγράφου για όλους τους οργανισμούς. Οι οργανισμοί θα πρέπει να λαμβάνουν υπόψη τις μοναδικές επιχειρηματικές απαιτήσεις τους και το περιβάλλον κινδύνου όταν αποφασίζουν ποιες στρατηγικές μετριασμού θα εφαρμόσουν. Επιπλέον, πριν από την εφαρμογή οποιασδήποτε στρατηγικής μετριασμού, θα πρέπει να διεξάγονται ολοκληρωμένες δοκιμές για την ελαχιστοποίηση τυχόν ακούσιων διαταραχών στην επιχειρηματική δραστηριότητα του οργανισμού.

Οι στρατηγικές μετριασμού και τα θέματα εφαρμογής συνοψίζονται στο προσάρτημα Α.

Στο παρόν έγγραφο χρησιμοποιούνται οι όροι “μπλοκ” και “καραντίνα”. Στο πλαίσιο αυτού του εγγράφου, ο όρος “μπλοκ” αναφέρεται στην αποτροπή της πρόσβασης ενός μηνύματος ηλεκτρονικού ταχυδρομείου στο χρήστη και στην κατάργησή του από το διακομιστή αλληλογραφίας, ενώ ο όρος “καραντίνα” αναφέρεται στην αποτροπή της πρόσβασης ενός μηνύματος ηλεκτρονικού ταχυδρομείου στο χρήστη, αλλά στην ασφαλή αποθήκευσή του, ώστε να είναι δυνατή η πρόσβαση σε αυτό, εάν απαιτείται.
Τα συνημμένα αποτελούν σημαντικό κίνδυνο ασφαλείας που σχετίζεται με τα μηνύματα ηλεκτρονικού ταχυδρομείου. Το αποτελεσματικό φιλτράρισμα συνημμένων μειώνει την πιθανότητα κακόβουλου περιεχομένου να φτάσει στο σταθμό εργασίας ενός χρήστη. Οι στρατηγικές μετριασμού που σχετίζονται με το φιλτράρισμα συνημμένων αναλύονται παρακάτω.
Η μετατροπή συνημμένων σε άλλη μορφή αποτελεί μια ιδιαίτερα αποτελεσματική μέθοδο για την κατάργηση κακόβουλου περιεχομένου ή την αναποτελεσματικότητά του, για παράδειγμα, μετατρέποντας έγγραφα του Microsoft Office σε έγγραφα PDF. Για να μειωθεί ο αντίκτυπος στους χρήστες, αλλά σε βάρος του αυξημένου κινδύνου ασφαλείας, τα πρωτότυπα email και τα συνημμένα μπορούν να τεθούν σε καραντίνα με μια διαθέσιμη μονάδα διάθεσης, σε περίπτωση που τα πρωτότυπα απαιτούνται για λόγους επεξεργασίας.
Η πληκτρολόγηση ενός αρχείου ελέγχει το περιεχόμενο ενός αρχείου για να καθορίσει τον τύπο του αντί να βασίζεται στην επέκταση του. Θα πρέπει να επιτρέπονται μόνο τύποι αρχείων που έχουν νόμιμο επιχειρηματικό σκοπό και αποδεκτό προφίλ κινδύνου για τους οργανισμούς. Καθώς οι επεκτάσεις αρχείων μπορούν να αλλάξουν, μια ασυμφωνία μεταξύ του τύπου ενός αρχείου και της δηλωμένης επέκτασης του θα πρέπει να αντιμετωπίζεται ως ύποπτη και σε καραντίνα.
Το περιεχόμενο των αρχείων που προστατεύονται με κωδικό πρόσβασης δεν είναι αξιόπιστο, καθώς τα φίλτρα περιεχομένου ηλεκτρονικού ταχυδρομείου δεν μπορούν να αποκρυπτογραφήσουν και να ελέγξουν τα περιεχόμενά τους. Τυχόν προστατευμένα αρχειοθετημένα ή κρυπτογραφημένα συνημμένα θα πρέπει να αποκλείονται έως ότου κριθεί ότι είναι ασφαλή. Το μη αναγνωρίσιμο περιεχόμενο είναι λιγότερο επικίνδυνο για την ασφάλεια, αν επιτρέπεται η χρήση συνημμένων με βάση την πληκτρολόγηση αρχείων. Όταν οι οργανισμοί έχουν εγκρίνει με ειδική πλειοψηφία κρυπτογραφημένες επικοινωνίες email, όπως S/MIME ή PGP, αυτές μπορούν να αποτρέψουν τη διατάραξη της νόμιμης επιχείρησης.
Το ενεργό περιεχόμενο, όπως οι μακροεντολές σε αρχεία του Microsoft Office και η JavaScript, πρέπει να καταργηθεί από τα συνημμένα πριν παραδοθεί στους χρήστες. Αυτό θα πρέπει να περιλαμβάνει ενσωματωμένο περιεχόμενο, όπως ένα εκτελέσιμο που τοποθετείται μέσα σε ένα έγγραφο του Microsoft Word, ενσωματωμένο περιεχόμενο Flash που τοποθετείται μέσα σε ένα υπολογιστικό φύλλο του Microsoft Excel και αρχεία σύνδεσης (LNK) που καλούν εκτελέσιμο περιεχόμενο, το οποίο θα πρέπει να περιλαμβάνει εκτελέσιμο περιεχόμενο στον υπολογιστή του τελικού χρήστη, όπως τα mshta.exe και rundll32.exe. Οι οργανισμοί θα πρέπει επίσης να εξετάζουν περιπτώσεις στις οποίες το ενεργό περιεχόμενο δημιουργεί υψηλό επίπεδο καχυποψίας λόγω περιορισμένης νόμιμης χρήσης· στις περιπτώσεις αυτές, το συνημμένο πρέπει να αποκλειστεί.

Τα ενεργά προϊόντα αφαίρεσης περιεχομένου πρέπει να σαρώνουν συνημμένα για ανεπιθύμητο ενεργό περιεχόμενο με βάση λέξεις-κλειδιά ή ευρετικά και να γράφουν ξανά εκείνα τα στοιχεία που τα καθιστούν αδρανή. Η πλήρης και ολοκληρωμένη οργάνωση ενός συνημμένου είναι μια δύσκολη διαδικασία.

Παρατηρήθηκε αύξηση στη χρήση μακροεντολών σε αρχεία του Microsoft Office που χρησιμοποιούνται ως διάνυσμα παροχής λογισμικού κακόβουλης λειτουργίας. Αυτές οι μακροεντολές γράφονται στη γλώσσα προγραμματισμού της Visual Basic for Applications (VBA), μια δυνατότητα που είναι ενσωματωμένη στις εφαρμογές του Microsoft Office. Οι μακροεντολές χρησιμοποιούνται συνήθως για αυτοματοποίηση εργασιών. ωστόσο, οι αντίπαλοι χρησιμοποιούν επίσης μακροεντολές για να εκτελέσουν διάφορες κακόβουλες δραστηριότητες, συμπεριλαμβανομένης της λήψης και εκτέλεσης λογισμικού κακόβουλης λειτουργίας στον κεντρικό υπολογιστή.

Οι οργανισμοί θα πρέπει να ρυθμίζουν τις παραμέτρους του Microsoft Office για την απενεργοποίηση όλων των μακροεντολών από προεπιλογή και την εκτέλεση μόνο μακροεντολών που έχουν ελεγχθεί ως αξιόπιστες και έχουν τοποθετηθεί σε “αξιόπιστες θέσεις” στις οποίες οι τυπικοί χρήστες με χαμηλά δικαιώματα δεν μπορούν να κάνουν εγγραφή.

Τα αρχεία αρχειοθέτησης μπορούν να χρησιμοποιηθούν για την παράκαμψη των φίλτρων περιεχομένου ηλεκτρονικού ταχυδρομείου με ανεπαρκή ρύθμιση παραμέτρων. Τοποθετώντας ένα κακόβουλο αρχείο σε ένα αρχείο αρχειοθέτησης και στέλνοντάς το στον προορισμό, το αρχείο αρχειοθέτησης ενδέχεται να παρακάμψει τους ελέγχους φιλτραρίσματος περιεχομένου. Για να μετριαστεί αυτό, το περιεχόμενο των αρχείων θα πρέπει να υπόκειται στο ίδιο επίπεδο ελέγχου με τα μη αρχειοθετημένα συνημμένα. Τα αρχεία αρχειοθέτησης πρέπει να αποσυμπιεστούν και τα αρχεία που βρίσκονται μέσα σε αυτά να ελεγχθούν. Μια λίστα καταλόγων των αρχείων μέσα σε ένα αρχείο αρχειοθέτησης δεν αποτελεί πάντα ακριβή αναπαράσταση των αρχείων που υπάρχουν στο αρχείο αρχειοθέτησης, καθώς τα χαρακτηριστικά του αρχείου, όπως το όνομα αρχείου, θα μπορούσαν να αποθηκευτούν σε δύο μέρη για κάθε αρχείο.
 
Το αρχειοθετημένο περιεχόμενο θα πρέπει να επιθεωρείται με ελεγχόμενο τρόπο, ώστε να αποφεύγονται εκρήξεις που σχετίζονται με αρχειοθετημένα αρχεία, όπως διέλευση καταλόγων και άρνηση υπηρεσίας μέσω επανάληψης. Για παράδειγμα, ένα αρχείο κειμένου με μέγεθος 1 GB και αποτελείται μόνο από κενά διαστήματα, θα μπορούσε να συμπιέσει σε 1 MB αλλά να καταναλώσει σημαντικούς υπολογιστικούς πόρους όταν γίνει επεξεργασία του από ένα φίλτρο περιεχομένου ηλεκτρονικού ταχυδρομείου. Ως άλλο παράδειγμα, ένα αρχείο zip που περιέχει 16 αρχεία zip, καθένα από τα οποία περιέχει 16 αρχεία zip, καθένα από τα οποία περιέχει 16 αρχεία zip κ.λπ. σε βάθος 5, μπορεί να προκαλέσει την επεξεργασία ενός φίλτρου περιεχομένου ηλεκτρονικού ταχυδρομείου πάνω από ένα εκατομμύριο αρχεία. Για να περιορίσετε αυτό το φαινόμενο, οι τιμές ορίων και λήξης χρονικού ορίου μπορούν να χρησιμοποιηθούν σε CPU, μνήμη και δίσκους, έτσι ώστε η αποσυμπίεση να αποκλειστεί ή να αποτύχει εάν διαρκέσει περισσότερο από το καθορισμένο χρονικό διάστημα ή χρησιμοποιεί υπερβολικούς υπολογιστικούς πόρους.
 
Τα αρχεία αρχειοθέτησης αποσυμπιέζονται ξεκινώντας από το τέλος του αρχείου, διακόπτοντας όταν γίνει εξαγωγή όλων των αρχείων. Ως αποτέλεσμα αυτού, ένα αρχείο αρχειοθέτησης μπορεί να προσαρτηθεί στο τέλος ενός νόμιμου αρχείου εικόνας και να παραμείνει μια έγκυρη αρχειοθήκη από την οποία μπορούν να εξαχθούν αρχεία. Σε αυτή την περίπτωση, ανάλογα με τον έλεγχο τύπου αρχείου, το αρχείο μπορεί να περάσει τους ελέγχους τύπου αρχείου ως εικόνα. Αυτή η συμπεριφορά μπορεί να αξιοποιηθεί από τους αντιπάλους για να αποφευχθεί ο έλεγχος των αρχείων αρχειοθέτησης. Για να το μετριάσουν αυτό, οι οργανισμοί θα πρέπει να προσπαθήσουν να αποσυμπιέσουν όλα τα συνημμένα, με όλα τα αποσυμπιεσμένα αρχεία να υποβάλλονται στα στοιχεία ελέγχου ασφαλείας για τα συνημμένα και το αρχικό συνημμένο να έχει αποκλειστεί, αν αποτύχουν τα αποσυμπιεσμένα αρχεία.
Η δυνατότητα χρήσης συνημμένων που βασίζονται στην επέκταση αρχείου είναι λιγότερο ισχυρή από ό,τι η πληκτρολόγηση, καθώς η επέκταση μπορεί να αλλάξει σταδιακά για να αποκρύψει την πραγματική φύση του αρχείου, για παράδειγμα, μετονομάζοντας readme.exe σε readme.doc. Θα πρέπει να επιτρέπονται μόνο επεκτάσεις αρχείων με νόμιμο επιχειρηματικό σκοπό.
Ο αποκλεισμός των συνημμένων που βασίζονται στην πληκτρολόγηση αρχείων είναι λιγότερο ενεργός και λεπτομερής από ό,τι η δυνατότητα συνημμένων που βασίζονται στην πληκτρολόγηση αρχείων ή την επέκταση αρχείων, και η επιβάρυνση της διατήρησης μιας λίστας με όλους τους γνωστούς τύπους εσφαλμένων αρχείων είναι πολύ μεγαλύτερη από τη διατήρηση μιας λίστας με όλους τους γνωστούς καλούς τύπους αρχείων.
Τα συνημμένα θα πρέπει να σαρώνονται με χρήση λογισμικού προστασίας από ιούς που υποστηρίζεται από τον προμηθευτή με ενημερωμένες υπογραφές, χαρακτηρισμούς φήμης και άλλες δυνατότητες εντοπισμού στοιχείων. Για να μεγιστοποιηθεί η πιθανότητα εντοπισμού κακόβουλου περιεχομένου, θα πρέπει να χρησιμοποιείται λογισμικό προστασίας από ιούς από διαφορετικό προμηθευτή έως αυτό που χρησιμοποιείται για σταθμούς εργασίας χρήστη.
Ο αποκλεισμός συνημμένων με βάση την επέκταση αρχείου είναι λιγότερο προληπτικός και λεπτομερής από ό,τι επιτρέπει την προσθήκη συνημμένων με βάση την πληκτρολόγηση αρχείων ή την επέκταση αρχείων. Ο αποκλεισμός συνημμένων που βασίζονται στην επέκταση αρχείου είναι λιγότερο ισχυρός από ό,τι η πληκτρολόγηση, καθώς η επέκταση μπορεί να αλλάξει σε καθημερινή βάση για να αποκρύψει την πραγματική φύση του αρχείου, για παράδειγμα, μετονομάζοντας readme.exe σε readme.doc.
Το φιλτράρισμα περιεχομένου ηλεκτρονικού ταχυδρομείου που εκτελείται στο σώμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου παρέχει μια προσέγγιση σε βάθος για την υπεράσπιση του φιλτραρίσματος περιεχομένου ηλεκτρονικού ταχυδρομείου. Η πιθανή επιφάνεια επίθεσης που παρουσιάζεται από το σώμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου είναι μικρότερη από τα συνημμένα. ωστόσο, το περιεχόμενο σε ένα σώμα ηλεκτρονικού ταχυδρομείου εξακολουθεί να μπορεί να εισάγει κακόβουλο περιεχόμενο σε ένα δίκτυο. Οι στρατηγικές μετριασμού που σχετίζονται με το φιλτράρισμα του σώματος ενός μηνύματος ηλεκτρονικού ταχυδρομείου παρουσιάζονται παρακάτω.

Μια ενεργή διεύθυνση web επιτρέπει στους χρήστες να κάνουν κλικ σε μια υπερ-σύνδεση στο σώμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου και να μεταφερθούν σε μια καθορισμένη τοποθεσία web.

Οι ενεργές διευθύνσεις web μπορεί να φαίνονται ασφαλείς, αλλά μπορούν να κατευθύνουν τους χρήστες σε μια κακόβουλη τοποθεσία web. Το να αιωρείται πάνω από τη διεύθυνση ίσως αποκαλύψει την ιστοσελίδα.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου με ενεργό περιεχόμενο, όπως το VBScript ή το JavaScript, συνιστούν κίνδυνο ασφαλείας, εάν το πρόγραμμα-πελάτης ηλεκτρονικού ταχυδρομείου ή το πρόγραμμα περιήγησης στο web σε οργανισμούς όπου χρησιμοποιείται το webmail, είναι σε θέση να εκτελέσει το ενεργό περιεχόμενο. Τα σώματα ηλεκτρονικού ταχυδρομείου που περιέχουν ενεργό περιεχόμενο πρέπει να οργανωθούν ή το ηλεκτρονικό ταχυδρομείο να αποκλειστεί για να ελαχιστοποιηθεί ο κίνδυνος ασφαλείας. Κατά την εγκατάσταση ενός σώματος ηλεκτρονικού ταχυδρομείου, το ενεργό περιεχόμενο θα πρέπει να ξαναγραφεί στο σώμα για να το καταστήσει αδρανές.
Η δυνατότητα επαλήθευσης της αυθεντικότητας και της ακεραιότητας ενός μηνύματος ηλεκτρονικού ταχυδρομείου μπορεί να εμποδίσει τους οργανισμούς να λάβουν ορισμένες μορφές κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Ιδιαίτερη προσοχή θα πρέπει να δίδεται κατά την υλοποίηση της επαλήθευσης αποστολέα λόγω της πιθανότητας να επηρεαστεί η νόμιμη κυκλοφορία ηλεκτρονικού ταχυδρομείου. Οι στρατηγικές μετριασμού για την επαλήθευση αποστολέα εξετάζονται παρακάτω.
Οι γνωστοί αποστολείς και διευθύνσεις ηλεκτρονικού ταχυδρομείου ανεπιθύμητης ηλεκτρονικής αλληλογραφίας πρέπει να αποκλείονται χωρίς να εξετάζεται το ηλεκτρονικό ταχυδρομείο.
Δεδομένης της δυνατότητας, πολλοί χρήστες θα ήθελαν να έχουν πρόσβαση σε λογαριασμούς ηλεκτρονικού ταχυδρομείου τρίτων από ένα εταιρικό δίκτυο. Αυτή η πρόσβαση μπορεί να περιλαμβάνει την προσθήκη υπηρεσιών τρίτων μερών σε εταιρικούς πελάτες ηλεκτρονικού ταχυδρομείου ή την πρόσβαση σε προσωπικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου. Καθώς πρόκειται για τρίτους παρόχους υπηρεσιών, οι οργανισμοί δεν έχουν κανέναν έλεγχο στα δεδομένα που εισέρχονται και εξέρχονται από αυτές τις υπηρεσίες. Ο αποκλεισμός της πρόσβασης σε μη εγκεκριμένες υπηρεσίες ηλεκτρονικού ταχυδρομείου τρίτων μπορεί να συμβάλει στην πρόληψη της εισόδου κακόβουλου περιεχομένου σε δίκτυα μέσω υπηρεσιών τρίτων, να αποτρέψει την έξοδο εταιρικών δεδομένων από το δίκτυο μέσω μη εταιρικής υπηρεσίας και να διατηρήσει αρχεία επίσημης αλληλογραφίας διασφαλίζοντας τη χρήση της υπηρεσίας εταιρικού ηλεκτρονικού ταχυδρομείου.
Θα πρέπει να εφαρμοστεί η καταγραφή ενεργειών και συμβάντων από το φίλτρο περιεχομένου ηλεκτρονικού ταχυδρομείου και τους διακομιστές ηλεκτρονικού ταχυδρομείου, με αυτά τα αρχεία καταγραφής να ελέγχονται σε τακτική βάση. Η αποτελεσματική καταγραφή και έλεγχος θα βοηθήσει στην περίπτωση τρέχοντος ή προηγούμενου συμβάντος ασφάλειας στον κυβερνοχώρο.
Η ελαχιστοποίηση των γενικών εξόδων ενός διαχειριστή συστήματος για την αξιολόγηση και την αποδέσμευση ενός μηνύματος ηλεκτρονικού ταχυδρομείου για ένα χρήστη όταν αυτό το μήνυμα έχει τεθεί σε καραντίνα μπορεί να επιτευχθεί παρέχοντάς του εύκολη και άμεση πρόσβαση σε ασφαλές περιβάλλον για την εξέταση των μηνυμάτων ηλεκτρονικού ταχυδρομείου σε καραντίνα.