در این مقاله هدف بر این است که بهترین راه حلهای امنیت ایمیل ارائه شود.مهمترین نقش کنترل های امنیتی ایمیل ، تلاش برای جلوگیری از ایمیل های ورودی مخرب می باشد . در این مرحله، شناسایی باج افزارهایی که از طرق مختلف، در زیربنای پیامهای ورودی (در قالب یک پیوست یا پیوند به یک لینک دانلود مخرب) در حالی که از ظاهر فیشینگ در ایمیل استفاده می کنند ، بسیار مهم است.
به همین دلیل شناسایی باج افزارهای ورودی (بازرسی فایل های پیوست و URL هایی که در ایمیل ها تعبیه شده اند ) ، به اندازه شناسایی فیشینگ از طریق ایمیل و ویژگی های جعل هویت مهم می باشد.

گرافیک زیر انواع تهدیدات ایمیل و بلوک های سازنده آن تهدیدها را نشان می دهد.

همه کارمندان در یک سازمان ضروری است که بهترین راه حلهای امنیت ایمیل را اجرا کنند .به این دلیل که مدارک و اعتبارات دزدیده شده ، می توانند به عوامل تهدید (از جمله باج افزارها) امکان دسترسی برای ارسال ایمیل به صورت داخلی یا خارجی را بدهد. پس منطقی است که سازمان ها برای دسترسی به محیط کلی ، شبکه ها ، سیستم ها و برنامه های کاربردی وب از جمله ایمیل ، احراز هویت چند عاملی (MFA) را اتخاذ کنند. همچنین ، به دلیل اینکه هیچ راه حل امنیتی کاملا برای برقراری امنیت ایمیل موثر نیست ، بهتر است امکان ورود به سیستم برای اهداف تجزیه و تحلیل و تشخیص باج افزارها توسط کارشناس امنیت در صورت نیاز فعال شود.

• دسترسی داشته باشید

  اطمینان حاصل کنید که کارمندان، از جمله مدیران، از احراز هویت چند عاملی (MFA ) استفاده می کنند. MFA به کاهش بهره برداری از اعتبارنامه های سرقت شده کمک می کند و از تصاحب حساب کاربری ،  در حملات مبتنی بر ایمیل جلوگیری می کند.

• احراز هویت

  احراز هویت پروتکل های قدیمی (مانند POP3، IMAP، SMTP) را غیرفعال کنید.

• یک لاگینگ ورودی برای تجزیه و تحلیل و Forensics داشته باشید

حسابرسی میل باکس از جمله  ثبت دسترسی را فعال کنید.

• فناوری های SIEM و SOAR را یکپارچه کنید

راه حل های امنیتی ایمیل باید با اطلاعات امنیتی و مدیریت رویداد (SIEM) و قابلیت های هماهنگ سازی امنیتی اتوماسیون و پاسخ (SOAR)  یکپارچه شود.یکپارچه سازی پلتفرم های امنیتی برای تحلیل و همبستگی بیشتر داده ها با سایر منابع telemetry و اقدامات پاسخگویی خودکار  بسیار مهم است.در حملات، سازمان‌ها به قابلیت‌های پلت‌فرم نیاز دارند که زیرساخت‌های امنیتی را به هم متصل می‌کند و در عین حال گردش‌ کارهای حیاتی را خودکار می‌کند.

اهمیت هوش تهدید (Threat intelligence)

هوش تهدید ، هم توسعه راه حل های امنیت ایمیل را هدایت می کند و هم توانایی این راه حل ها برای جلوگیری، شناسایی و پاسخ به آخرین تهدیدات مبتنی بر ایمیل را به صورت مداوم افزایش می دهد.

هنگام ارزیابی راه حل های امنیتی ایمیل، سازمان ها باید موارد زیر را در نظر داشته باشند:

1. آیا فروشنده یک تیم برای تحقیقات تهدید دارد؟
2. چند محقق تمام وقت بخشی از آن تیم تحقیقاتی تهدید هستند؟
3. آیا تیم تحقیقاتی شبکه های حسگری را برای جمع آوری داده ها مستقر کرده است؟

4. آیا تیم تحقیقاتی فروشنده در موارد زیر قابل مشاهده است:

• تهدیدات مبتنی بر ایمیل
•  چرخه حیات کامل تهدیدات فراتر از ایمیل
•  تهدیدات با استفاده از سایر بردارها و حوزه های امنیتی خارج از ایمیل

5. از فروشنده بخواهید توضیح دهد که چگونه تحقیق  ایجاد شده توسط این تیم منجر به پیشرفت راه حل های امنیتی ایمیل می شود
6. تیم تحقیقاتی تهدید چگونه تهدیدات روز صفر را شناسایی می کند؟
7. حلقه بازخوردی که برای حملات جدید مبتنی بر ایمیل شناسایی شده است چیست؟

راه‌حل‌های امنیتی ایمیل چگونه برای جلوگیری، شناسایی و پاسخ به حملات، از جمله باج‌افزارها ، کار می‌کنند :

عملکرد امنیت ایمیل در سطوح بالا اینگونه است که ایمیل‌های دریافتی به طور موثر پردازش شود و در سریعترین زمان ایمیل مخرب و یا حاوی باج افزار تشخیص داده و اعلام شود.

توصیه های امنیتی ایمیل ورودی

در نظارت عمیق تر ، تعداد زیادی از تأییدیه ها و بررسی‌ها، بازرسی‌ها، تحلیل‌ها، فیلتر کردن و اقدامات متعددی را مرتبط با شناسایی ایمیل های مخرب مشاهده می‌کنیم. در ادامه تعدادی از زمینه هایی را که سازمان ها باید در نظر بگیرند برجسته شده است

بررسی اعتبار فرستنده و SPF/DKIM/DMARC

انواع سژن ها، شهرت فرستنده و تشخیص تهدیدهایی  که روی ایمیل‌های دریافتی انجام می‌شود، را بازبینی کنید.دانستن اینکه چه بررسی‌های تخصصی و بازرسی‌هایی باید روی ایمیل‌های دریافتی انجام گیرد تا اطمینان حاصل شود که فرستنده مورد تایید است، مهم است.
چارچوب خط مشی فرستنده (SPF)، ایمیل شناسایی شده با کلیدهای دامنه (DKIM) و احراز هویت پیام مبتنی بر دامنه و گزارش و انطباق (DMARC) برای مقابله با جعل با تأیید صحت فرستنده را فعال کنید.

تشخیص جعل هویت

بر اساس گزارش تحقیقات نقض داده ها Verizon در سال 2021، “ارائه اطلاعات نادرست” در آخرین بررسیها  15 برابر افزایش یافته است. که نشان دهنده اینست که عوامل تهدید زمان و تلاش بیشتری را صرف ایجاد ایمیل‌هایی می‌کنند که احتمال باز شدن و یا کلیک بر روی لینک و پیوندهای آنها بیشتر است.
یک دسته کوچکتر اما بسیار موفق از حملات جعل هویت، حملات به خطر انداختن ایمیل تجاری (BEC) است ، که منجر به زیان 1.8 میلیارد دلاری به مشاغل و سازمان های دولتی آمریکایی در سال 2020 شد. توصیه می شود که همه سازمان ها قابلیت های شناسایی جعل هویت را فعال کنند. این قابلیت ها باید شامل تشخیص جعل دامنه (از طریق تشخیص هموگلیف و هموگراف) باشد، همانطور که جعل دامنه می تواند مرتبط با نیزه فیشینگ (مرتبط با باج افزار) یا حمله BEC باشد.

بازرسی ترافیک داخلی

سازمان‌ها باید کنترل‌های امنیتی ایمیل را برای ترافیک داخلی مشابه کنترل امنیتی ایمیل‌های دریافتی از اینترنت اتخاذ کنند.زیرا تشخیص اینکه ترافیک ایمیل داخلی به نوعی در برابر انتشار تهدیدات، از جمله باج‌افزار و ریسک های مرتبط ایمن است قابل اعتماد نمی باشد.

حفاظت از شیوع

هنگامی که ایمیلی مشکوک تشخیص داده شود، محافظت در برابر شیوع ، حفاظت گسترده‌تر و خودکار در عرض چند دقیقه برای جلوگیری از انتشار پیام‌های مشکوک مشابه و شیوع گسترده‌تر عمل می‌کند. سازمانها می توانند با استفاده از قابلیت حفاظت از شیوع در برابر ایمیل‌های مخربی که برای گیرندگان متعددی ارسال شده‌اند حفاظت پیشگیرانه داشته باشند. متخصصان امنیت فناوری اطلاعات باید  این قابلیت را در راه حل امنیتی ایمیل خود باشند و از فعال بودن آن اطمینان حاصل کنند.

روی Protection، URL Rewriting و URL Filtering کلیک کنید

عوامل تهدید ، بسیار زیاد به URL های تعبیه شده در ایمیل ها ، برای هدایت قربانیان ناآگاه به یک سایت مخرب یا دانلود غیر منتظره و یا راه اندازی یک سایت مخرب متکی هستند. بررسی و فعال کردن قابلیت های تجزیه و تحلیل پیوند ( link analysis ) مانند محافظت از کلیک (تحلیل شهرت URL در زمان کلیک) و بازنویسی URL
(یک URL را بازنویسی می کند تا متعاقباً تشخیص دهد که یک URL بعد از اولین اسکن تغییر کرده است). فیلتر کردن URL به ادمین امکان انتخاب دسته های URL برای بدنه ایمیل برای بررسی، بازنویسی یا مسدود کردن را می دهدکه بعدا در نمایه‌های ضد هرزنامه/ضد تهدید استفاده می شود.

خلع سلاح و بازسازی محتوا (CDR)

از CDR استفاده کنید . CDR به راه حل امنیتی ایمیل اجازه می دهد تا هر گونه محتوای فعال در فایل های ایمیل، مانند هایپر لینک ها ، رسانه های تعبیه شده، کدهای جاوا اسکریپت و ماکروها را بدون اینکه بر یکپارچگی محتوای متنی آن تأثیر بگذارد حذف کند.این قابلیت به مدیران شبکه اجازه می دهد تا کاربران خود را از دسترسی به فایل های مخرب محافظت کنند.

توصیه های امنیتی ایمیل خروجی

راه‌حل‌های امنیتی ایمیل همچنین می‌توانند از ارسال ناخواسته بدافزارها (از جمله باج افزار) همراه با ارسال داده‌های حساس در ایمیل و یا سوء استفاده از حساب ایمیل را جلوگیری کنند.

پیشگیری  از دست دادن داده ها (DLP )

برای تحقیق و ارزیابی کامل قابلیت های یک راه حل یکپارچه DLP ، به اندازه کافی زمان بگذارید.

انجام یک ارزیابی داخلی (طبقه بندی داده ها) برای شناسایی فایل های حساس و انواع داده های ذخیره شده ، پردازش شده و مدیریت شده در سراسر سازمان. مطمئن شوید که انواع فایل ها و فرمت دادههای منحصر به سازمان خود را شناسایی کرده اید.
انجام آزمایش برای حصول اطمینان از کارکرد درست قابلیت های DLP در راه حل امنیتی ایمیل برای شناسایی انواع فایل ها و داده های حساس ارسال سده در ایمیل.

اقدامات زیر را برای جلوگیری یا کاهش تأثیر تصاحب حساب ایمیل انجام دهید:

• MFA را فعال کنید
• URL ها را بررسی کنید
• بازرسی فایل/پیوست
  از آنتی ویروس، بازرسی محتوا، و تجزیه و تحلیل سندباکس برای پیوست های فایل برای محافظت در برابر ارسال فایل های مخرب در خروجی استفاده کنید.