تخيل أنك تلقيت رسالة بريد إلكتروني من حساب البريد الإلكتروني الرسمي لنائب الرئيس الأمريكي مايك بنس يطلب المساعدة لأنه عالق في الفلبين.

في الواقع ، ليس عليك ذلك. حدث هذا بالفعل.

تم اختراق البريد الإلكتروني الخاص بنس عندما كان لا يزال حاكم ولاية إنديانا ، وتم استخدام حسابه في محاولة الاحتيال على العديد من الأشخاص. كيف حدث هذا؟ هل هو مشابه لكيفية اختراق خادم DNC؟

يعد اختراق البريد الإلكتروني أحد أكثر التهديدات الإلكترونية انتشارًا في الوقت الحالي. ويقدر أن حوالي 8 10 من تلقى الأشخاص الذين يستخدمون الإنترنت شكلاً من أشكال هجمات التصيد الاحتيالي عبر رسائل البريد الإلكتروني الخاصة بهم. بالإضافة إلى ذلك ، وفقا ل تقرير Avanan العالمي للاحتيال لعام 2019، 1 من 99 بريد إلكتروني هو هجوم تصيد.

BitDam يدرك مدى أهمية رسائل البريد الإلكتروني في التواصل الحديث. بيتدام نشرت دراسة جديدة على البريد الإلكتروني نقاط الضعف الكشف عن التهديد من اللاعبين الرئيسيين في أمان البريد الإلكتروني ، وتحظى النتائج بالاهتمام. اكتشف فريق البحث كيف يُزعم أن Microsoft Office365 ATP و G Suite من Google ضعيفان للغاية عند التعامل مع تهديدات غير معروفة. أيضًا ، قد يستغرق وقت الاكتشاف (TTD) ما يصل إلى يومين منذ أول مواجهة لهجمات غير معروفة.

كيف تمنع أنظمة الأمن الرائدة الهجمات

تعالج أنظمة أمان البريد الإلكتروني التهديدات الإلكترونية عن طريق مسح الارتباطات والمرفقات لتحديد ما إذا كانت آمنة أم لا.

يمكنهم بعد ذلك حظر الروابط تلقائيًا ومنع تنزيل أو تنفيذ مرفقات الملفات. في معظم الحالات ، لتحديد التهديدات ، تقارن أنظمة الأمان الملفات أو الروابط الممسوحة ضوئيًا بقاعدة بيانات تواقيع التهديد. يستخدمون خدمات السمعة أو بروتوكول صيد التهديد الذي يراقب الهجمات المحتملة بناءً على بيانات التهديد من مصادر مختلفة.

الارتباطات أو المرفقات التي تعتبر آمنة في الفحص الأولي ليست دائما آمنة ، على الرغم من. هناك العديد من الحالات التي تفشل فيها أنظمة الأمان في تصفية التهديدات لأنها لم تقم بتحديث قواعد بيانات التهديد الخاصة بها حتى الآن. لهذا السبب ، توجد فجوات في الكشف. يمكن أن يكون هناك ما يصل إلى ثلاث فجوات الكشف في نظام أمان نموذجي. تمثل هذه الثغرات نقاط ضعف أو فرص لاختراق هجمات البريد الإلكتروني.

هناك أنظمة أمنية تستفيد من الذكاء الاصطناعي لجعل تعلم التهديدات واكتشافها تلقائيًا وأكثر كفاءة. يستخدمون البيانات من الهجمات السابقة والإجراءات المناظرة لإدارة الشبكة أو مالك الكمبيوتر للتوصل إلى أحكام أفضل للأحداث اللاحقة.

ارتفاع معدلات الخطأ في المواجهة الأولى و TTD: عدم كفاية أمان البريد الإلكتروني الحالي

على الرغم من كل التطورات في أمان البريد الإلكتروني ، لا تزال هناك عيوب. كما ذكرنا سابقًا ، تفقد أنظمة أمان البريد الإلكتروني الرائدة Office365 ATP و G Suite فعاليتها في الكشف عند مواجهة تهديدات غير معروفة. استنادًا إلى نتائج اختبار BitDam ، يتمتع Office365 بمتوسط ​​معدل خطأ في المواجهة الأولى يبلغ 23٪ بينما يمتلك G Suite 35.5٪. لديهم أيضًا TTDs طويلة بشكل ملحوظ بعد اللقاء الأول. تم تسجيل TTD لـ Office365 و G Suite في 48 ساعة و 26.4 ساعة على التوالي.

للتوضيح ، التهديدات المجهولة هي التهديدات التي تواجهها أنظمة الأمن لأول مرة - تلك التي لم توجد بعد في قواعد بيانات التوقيع الخاصة بها. لكن الغموض نسبي. قد لا تكون التهديدات المجهولة لنظام ما غير معروفة للآخرين.

هذا هو السبب في وجود اختلاف كبير في معدلات فقدان Office365 و G Suite. بغض النظر ، يبدو أن هذه التهديدات غير المعروفة هي كعب أخيل لأمان البريد الإلكتروني الحالي بشكل عام. تبدو غير مهمة لأنها مثل ضعف مؤقت يتم تصحيحه بمرور الوقت ، لكنها تفتح نافذة حرجة لاختراق الهجوم.

تجدر الإشارة أيضًا إلى أن التهديدات غير المعروفة ليست بالضرورة برامج ضارة جديدة تمامًا أو أشكالًا من الهجمات. وفقًا لبحث BitDam ، يمكن أن تكون مجرد متغيرات من التهديدات الحالية التي تظهر بسرعة بمساعدة الذكاء الاصطناعي. هذا يعني أنه من السهل جدًا إنتاجها ، مما يمثل مشكلة متزايدة بشكل كبير لأنظمة الأمان التي تواجه صعوبات في اكتشاف التهديدات غير المعروفة.

في اختبارات BitDam ، تم استخدام التهديدات الجديدة ، إلى جانب الإصدارات المعدلة ، لاختبار فعالية الكشف عن أنظمة الأمان الرائدة. تم النظر إلى معظم التهديدات المعدلة على أنها غير محددة / غير معروفة على الرغم من أن تهديدات "المصدر" الخاصة بها قد تم تسجيلها بالفعل في قاعدة بيانات توقيع التهديد.

لكي يتم اعتبار نظام أمان البريد الإلكتروني موثوقًا به ، لا يمكن أن يستمر وجود هذا الخلل المتمثل في ارتفاع معدلات الخطأ في اكتشاف المواجهة الأولى.

التحديات في مكافحة قرصنة البريد الإلكتروني

لنجاح هجوم البريد الإلكتروني ، هناك حاجة إلى هجمات مستمرة مقترنة بواحد على الأقل من العناصر التالية.

• كلمات مرور ضعيفة
• الأمن السيبراني مستخدمي البريد الإلكتروني الأميين الذين يقعون في هجمات الهندسة الاجتماعية
• عدم وجود نظام أمان موثوق للبريد الإلكتروني

واحدة من الطرق الأساسية المستخدمة لاختراق رسائل البريد الإلكتروني هي التخمين بكلمة مرور. من خلال التخمين البسيط والمتعلم (جمع التفاصيل حول الضحية) ، يقوم المتسللون بإدخال كلمات المرور بإصرار حتى يتعثروا على تلك التي تعمل. قد يظن الكثيرون أن هذا التكتيك غير معقول للغاية ، ولكن هناك حالات كثيرة يتم فيها اختراق حسابات البريد الإلكتروني بسهولة لأن أصحاب الحسابات يستخدمون كلمات مرور بسيطة ويمكن التنبؤ بها.

تدور الهندسة الاجتماعية حول خداع الضحايا للقيام بأشياء تجعلهم يكشفون عن غير قصد معلومات يُفترض أنها سرية أو يكشفون عن أشياء لم يكونوا ليفعلوها. يمكن القول إن التصيد الاحتيالي هو الشكل الأكثر شيوعًا للهندسة الاجتماعية - حيث يقوم الضحايا غير المرتابين بإدخال اسم المستخدم وكلمة المرور الخاصة بهم أو تقديم معلومات على موقع ويب يبدو شرعيًا ولكنه في الواقع يسرق المعلومات.

يبدأ أسلوب العمل بإرسال المهاجم إلى الضحية بريدًا إلكترونيًا يتطلب إجراءً عاجلاً. قد يكون إشعارًا للضحية لتغيير كلمة مرور الخدمات المصرفية عبر الإنترنت بعد اكتشاف "خرق" أو رسالة تهنئة تأتي مع رابط ينقل الضحية إلى نموذج عبر الإنترنت يتعين عليه ملؤه حتى يتمكن من المطالبة بجائزته .

قد يتم أيضًا انتهاك أمان البريد الإلكتروني من خلال المرفقات المزودة ببرامج ضارة. يمكن أن يؤدي النقر فوق مرفقات البريد الإلكتروني الشاذة إلى التثبيت غير المقصود لبرامج التجسس أو keyloggers ، والتي يمكنها الحصول على كلمات المرور والبيانات الهامة الأخرى من أجهزة الكمبيوتر المصابة. قد يتم أيضًا تصميم بعض البرامج الضارة لمحاكاة النماذج من خلال النوافذ المنبثقة أو الوسائط ، لخداع الضحايا لإدخال تفاصيل تسجيل الدخول الخاصة بهم.

لا تستطيع أنظمة الأمان الرائدة حاليًا حماية الحسابات التي تحتوي على كلمات مرور ضعيفة أو يمكن التنبؤ بها. كما أنهم لا يستطيعون ضمان الحماية من الهندسة الاجتماعية. من المتوقع فقط أن يركزوا على حظر مرفقات وروابط الملفات المصابة بالبرامج الضارة. لسوء الحظ ، حتى عندما يتعلق الأمر بهذا الجانب ، لديهم نقاط ضعف خطيرة. كما ذكرنا سابقًا ، لديهم معدلات عالية في مواجهة أول مرة ويحتاجون إلى وقت لمعرفة كيفية منع التهديدات غير المعروفة.

زيادة الأمن الموصى بها

يقترح BitDam تحسينًا في الطريقة التي تعمل بها أنظمة أمان البريد الإلكتروني الرائدة: إدخال طبقة حماية غير محددة للتهديدات. تُظهر اختبارات BitDam أن نهج الكشف المستند إلى النموذج قد عزز معدلات اكتشاف المواجهة الأولى بشكل كبير. حتى أنها أدت إلى انخفاض TTD إلى الصفر. تم تحديد البرامج الضارة التي فشل Office365 و G Suite في اكتشافها بشكل فعال باستخدام طريقة BitDam القائمة على النموذج.

فكيف يعمل هذا النهج القائم على النموذج؟

بشكل أساسي ، يزيل التركيز على مقارنة الملفات الممسوحة ضوئيًا بالبيانات الموجودة على التهديدات الحالية. بدلاً من ذلك ، ينظر في كيفية تصرف التطبيقات عند التفاعل مع ملفات معينة. إنه يولد نموذجًا (ومن ثم الوصف "المستند إلى النموذج") لما يبدو عليه التدفق "النظيف" لتنفيذ التطبيق.

تتصرف التطبيقات بشكل مختلف عند معالجة الملفات المزودة برموز غير مرغوب فيها أو برامج ضارة. إذا لم تتصرف التطبيقات بسلاسة عند التعامل مع ملف ، فإن الحكم المنطقي الوحيد هو أن الملف غير طبيعي أو ضار أو ضار. على هذا النحو ، يجب حظره.

لا تسعى هذه الاستراتيجية التي تعتمد على النموذج إلى استبدال الأساليب التي تعتمد على البيانات. ومن المفترض أن تكون بمثابة ملحق. يمكن أن يكون له أيضًا إيجابيات كاذبة ، لذلك سيكون من الأفضل استخدامه مع مقارنة بيانات التهديد للتأكد من أن التهديدات المحظورة الضارة بالفعل ضارة.

منهجية دراسة بيتدام

بدأت BitDam الدراسة في أكتوبر 2019 ، حيث جمعت الآلاف من عينات الملفات الضارة "الجديدة" من مصادر مختلفة. ركزت على Office365 ATP و G Suite ، ولكن من المقرر إضافة ProofPoint TAP أثناء استمرار الدراسة.

يمكن تلخيص العملية على النحو التالي:

1. مجموعة - حصل الباحثون على العديد من عينات الملفات الضارة. معظمها ملفات Office و PDF.
2. المؤهل - بعد جمع العينات ، يتأكد الباحثون من أنها ضارة / ضارة بالفعل. فقط في الواقع تستخدم الملفات الضارة للاختبارات.
3. تعديل - يتم بعد ذلك تعديل الملفات الضارة التي تم التحقق منها حتى يمكن أن تنظر إليها أنظمة الأمان على أنها تهديدات جديدة. استخدم باحثو BitDam طريقتين لهذا التعديل. كانت إحدى الطرق هي تغيير تجزئة الملف مع إضافة بيانات حميدة إليه. الطريقة الأخرى تنطوي على تعديل التوقيع الثابت لماكرو.
4. إرسال - ثم يتم إرسال الملفات الخبيثة التي تم جمعها مؤخرًا ومتغيراتها (النسخ المعدلة) إلى صناديق البريد التي تعتبر محمية بشكل لائق. بالنسبة لصناديق بريد G Suite Enterprise ، يتم تنشيط الخيارات المتقدمة ، بما في ذلك صندوق الحماية في وضع ما قبل التسليم.
5. المراقبة والقياس - يتم بعد ذلك تتبع صناديق البريد وقياس كفاءة الكشف عن التهديد. يتم إعادة إرسال الملفات التي تتجاوز الكشف عن التهديد إلى صناديق البريد كل 30 دقيقة خلال الساعات الأربع الأولى (بعد إرسال الملف). خلال الـ 20 ساعة القادمة ، يتم تقليل تردد إعادة الإرسال إلى مرة واحدة كل ست ساعات. يتم تقليل تكرار إعادة الإرسال مرة واحدة كل ست ساعات للأيام السبعة التالية.
6. تجميع البيانات وتحليلها - ثم يتم تجميع جميع التفاصيل التي تنتجها الاختبارات وفحصها.

يعد تعديل الملفات الضارة التي تم جمعها جزءًا أساسيًا من العملية نظرًا لأن BitDam لا يمكنه الوصول إلى أحدث البرامج الضارة التي لم يتم إدخالها في سجلات تهديدات Microsoft و Google حتى الآن. لاحظ أنه كان من المقرر إرسال الملفات عبر البريد الإلكتروني (Outlook و Gmail). كانت أنظمة أمان Microsoft و Google ستمنع على الفور إرفاق الملفات الضارة أثناء تكوين رسائل البريد الإلكتروني التجريبية.

ابتكر الباحثون بنجاح طرقًا لتعديل تهديدات Google و Microsoft لاعتبارها جديدة تمامًا وغير معروفة. وبالتالي ، تم تقليل قدرة أنظمة الأمان على حظر المرفق بشكل كبير.

كان هناك خيار لاستخدام خدمات البريد الإلكتروني مثل SendGrid ، والتي لا تقوم بإجراء فحص للبرامج الضارة. ومع ذلك ، اكتشف الباحثون أن الحسابات التي استخدموها انتهت بالتجميد في أقل من 24 ساعة.

في الخلاصة

مرة أخرى ، لا يزعم BitDam أنه قد تم جمع برامج ضارة لم تكن موجودة في قواعد بيانات توقيع التهديد الخاصة بـ Microsoft و Google. كان لابد من إزالة بعض التحديات من أجل BitDam لاستكمال الاختبارات والتوصل إلى استنتاج جريء مفاده أن حدوث تحول في النموذج أمر سليم.

تثبت حقيقة أن الباحثين تمكنوا من إضافة مرفقات البرامج الضارة إلى رسائل البريد الإلكتروني التي أرسلوها للاختبار أن الحد الأدنى من التعديلات يكفي لأنظمة الأمن لرؤية التهديدات المشتقة على أنها مجهولة. ثم يتم تعطيل فعالية الكشف الخاصة بهم ، وبالتالي الذين يعانون من ارتفاع معدلات ملكة جمال اللقاء الأول.

تشكل الهجمات غير المعروفة مخاطر جسيمة ، ويرجع ذلك أساسًا إلى الطبيعة القائمة على البيانات لمعظم حلول أمان البريد الإلكتروني. هناك حاجة إلى تعزيز أنظمة الأمان باستخدام إستراتيجية قائمة على النموذج ، لذلك لا يعتمد الاكتشاف فقط على تحديثات توقيع التهديد.

بالإضافة إلى ذلك ، من المهم الاستمرار في تثقيف الأشخاص حول الأمن السيبراني. لا توفر أنظمة أمان البريد الإلكتروني حماية شاملة. هم غير قادرين بشكل خاص على وقف اختراق الهجوم الذي أصبح ممكنًا باستخدام كلمات مرور يمكن التنبؤ بها والسذاجة (الوقوع بسهولة فريسة للتصيد الاحتيالي أو الهندسة الاجتماعية).

المصدر: http://feedproxy.google.com/~r/TheHackersNews/~3/cduU3iveAWM/email-security-software.html