سه شنبه 3 مهر 1403: افق داده ایرانیان : 9 undefined

معرفی و بررسی Cisco Email Security

CISCO0 4 26 نظر

Cisco Email Security Appliance چیست و چه کاربردی دارد؟

در این مقاله کوشش شده تا در ابتدای امر به صورت خلاصه به بررسی حملات مهم بر روی سرویس ایمیل بپردازیم و سپس با معرفی Cisco Email Security Appliance که به اختصار سیسکو ESA نامیده می‌شود، یکی از بروزترین راهکارهای حال حاضر دنیای شبکه و فناوری اطلاعات جهت مقابله با این نوع تهدیدات را بررسی کنیم.

 

مقدمه‌ای بر Cisco Email Security

امنیت سایبری شاخه‌ای از دانش کامپیوتری است که جهت حفاظت از دارایی‌های کامپیوتری و الکترونیکی در برابر حملاتی مانند حمله‌ی روز صفرم، مهندسی اجتماعی، باج‌افزارها، بدافزارها، هرزنامه‌ها و دیگر حملات ایجاد شده است. براساس گزارش‌های ارائه شده در حدود 78% این حملات در سال 2018 میلادی بر روی ایمیل و یا از طریق آن صورت گرفته است. این آمار نشان دهنده‌ی آن است که با توجه به آنکه این سرویس بسیار ارزشمند بوده و سبب گسترش کسب و کارها گردیده و همچنین بیشتر تجارت دنیا از آن استفاده می‌­نماید، در صورت عدم ایمن‌سازی صحیح می­‌تواند خسارات بسیاری را به کسب و کار وارد کند. یکی از بروزترین و بهترین راهکارهای امنیت ایمیل در دنیای امروز شبکه و فناوری اطلاعات، پیاده‌سازی سیسکو ESA یا همان Cisco Email Security Appliance است. در ادامه ابتدا به بررسی حملاتی که بر روی ایمیل‌ها صورت می‌پذیرد و خطراتی که این سرویس را تهدید می‌نماید، خواهیم پرداخت و سپس محصول  Cisco Email Security Appliance را برای شما عزیزان شرح خواهیم داد.

چه حملاتی بر روی ایمیل‌ها صورت می‌پذیرد؟

حملات پراستفاده بر روی ایمیل را می‌توان به این صورت زیر تشریح و تقسیم‌بندی کرد:

1- هرزنامه یا Spam

هرزنامه‌ها که از آن‌ها با نام Junk نیز یاد می‌شود، پیام‌های ناخواسته‌ای است که به صورت دسته‌ای و از طریق ایمیل ارسال می‌گردد. این ارسال دسته‌ای ایمیل از دهه‌ی 90 میلادی بسیار محبوب و تبدیل به یک مشکل اساسی برای کاربران پست الکترونیکی شد. کسانی که چنین ایمیل‌هایی دریافت می‌کنند اساساً قربانی‌هایی هستند که آدرس پست الکترونیکی آن‌ها توسط SpamBot ها شناسایی و ذخیره شده است. این Bot ها، نرم‌افزارهایی هستند که جهت خزش در اینترنت و جمع‌آوری فهرستی از آدرس‌های ایمیل ایجاد شده‌اند. این فهرست که از آن با نام Distribution List  نیز یاد می‌شود جهت ارسال میلیون‌ها هرزنامه مورد استفاده قرار می‌گیرد. هرزنامه‌ها با هدف کلاهبرداری و مضامینی مانند برنامه‌های کاهش وزن، کسب مدارج آنلاین، فرصت‌های شغلی و سایت‌های شرط‌‌بندی آنلاین برای کاربران ارسال می‌گردد. این موارد به دلیل جذابیت داشتن برای اکثر افراد باعث جلب توجه کاربر شده و در نهایت فرآیندی را که مهاجم مد نظر دارد توسط کاربر اجرا می‌گردد.

2- مهندسی اجتماعی یا Social Engineering

اصطلاحی است که به مجموعه‌ای از فعالیت‌های مخرب که جهت ایجاد حواس‌پرتی کاربر انجام می‌گیرد اطلاق می‌شود. این فعالیت‌ها با استفاده از ساختارها و ترفندهای روانشناسانه و با هدف به اشتباه انداختن کاربر در موارد امنیتی و گرفتن اطلاعات حساس از وی صورت می‌پذیرد. مهندسی اجتماعی به صورت معمول در چندین قدم صورت می‌پذیرد. در مرحله‌ی اول مهاجم تلاش بر آن دارد تا اطلاعاتی را از قربانی بدست آورد و پس از آن مرحله‌ی جذب اعتماد قربانی صورت می‌پذیرد. پس از آن مهاجم زیرفعالیت‌هایی به جهت شکستن قوانین امنیتی توسط کاربر یا بدست آوردن دسترسی به اطلاعات حساس را آغاز می‌نماید. مهندسی اجتماعی خود از حملات دیگر مانند Phishing یا هرزنامه بهره می‌برد.

3- Phishing

نوعی از حملات مهندسی اجتماعی بوده که به صورت معمول جهت ربودن داده‌های کاربران مانند اطلاعات نام کاربری و رمز عبور یا شماره‌ی کارت بانکی استفاده می‌گردد. این حمله معمولاً به این‌گونه رخ می‌دهد که مهاجم، پیام یا ایمیلی را برای قربانی به گونه‌ای ارسال می‌نماید که ظاهر پیام کاملاً قانونی و زیبا بوده و قربانی را وادار به باز نمودن آن می‌سازد که معمولاً این پیام‌ها حاوی لینک مخرب هستند. به صورت عمومی‌ قربانی پس از انجام فعالیت‌های مورد نظر مهاجم به صفحاتی وارد می‌شود که در آن صفحات می‌بایست جهت ورود از نام کاربری و رمز عبور خود استفاده نماید. این صفحات معمولاً شبیه به صفحات پرداخت اینترنتی و شبیه آن هستند که در آن‌ها اطلاعات کاربر گرفته می‌شود.

4- بدافزارها و باج‌افزارها

بدافزارها نرم‌افزارهای مخربی هستند که فعالیت‌های خرابکارانه را بر روی سیستم قربانی انجام می‌دهند. عملکرد این بدافزارها دسته‌بندی‌های متفاوتی دارد. باج‌افزارها که گونه‌ی خطرناکی از بدافزارها را شامل می‌شود، به محض فعال شدن شروع به رمزنگاری فایل‌های موجود بر روی‌ هارد دیسک قربانی نموده و پس از اتمام کار، جهت باز نمودن فایل‌ها از قربانی طلب باج می‌نماید. براساس آمار بدست آماده، باج‌افزار Wanna Cry در مرحله‌ی اول از طریق پست الکترونیکی (ایمیل) گسترش یافته بود. از نمونه‌های دیگر بدافزارها که بسیار از طریق ایمیل گسترش می‌یابند، نمونه‌های CnC و Trojan را می‌توان نام برد.

5- خروج داده‌های حساس یا Data Leakage

انتقال بدون اجازه‌ی داده‌ها از داخل سازمان یا کسب و کار به خارج از آن را Data Leakage می‌گویند. این اصطلاح می‌تواند برای خروج داده‌ها به هر دو صورت الکترونیکی یا فیزیکی مورد استفاده قرار گیرد. این حملات به صورت معمول از طریق ایمیل و وب صورت می‌گیرد، اما می‌تواند با استفاده از تجهیزات قابل حمل مانند فلش و‌ هارد اکسترنال نیز رخ دهد. این حمله انواع مختلفی دارد، اما نوع مورد بحث خروج داده‌ها از طریق پست الکترونیکی به صورت ناخواسته یا توسط کاربران مخرب یا ناراضی سازمان است. این موارد بسیار در سازمان‌ها دیده شده که کاربران به اشتباه فایل‌های حاوی اطلاعات حیاتی سازمان مانند اطلاعات کاربران سازمانی، اطلاعات حساب‌های بانکی و مواردی از این دست را با استفاده از پست الکترونیکی به خارج از سازمان ارسال نموده‌اند و این امر خسارات بسیاری را برای سازمان به همراه داشته است. همچنین موارد بسیاری بوده که کاربران ناراضی به عمد اطلاعات کسب و کارها را برای رقبا و یا افراد دیگر ارسال نموده‌اند.

6- کلاه برداری از نام دامنه یا Domain Spoofing

در این حمله مهاجم با استفاده از نام صحیح دامنه‌ی یک سازمان یا کسب و کار تلاش می‌کند تا خود را به عنوان یکی از کارکنان و یا خود کسب و کار معرفی کند. این حمله یکی دیگر از اشکال متداول حملات Phishing است. حمله‌ی Email Spoofing با استفاده از جعل هدر پست الکترونیکی، به گونه‌ای که شباهت بسیاری به آدرس حقیقی داشته و دارای بدنه‌ای کاملاً قانونی می‌باشد، اتفاق می‌افتد. با توجه به آنکه کاربران علاقه به باز نمودن هرزنامه‌ها و یا پست‌هایی که مستقیماً به عنوان Phishing شناخته می‌­شود ندارند، از این نوع حمله استفاده می‌شود تا کاربر پست الکترونیکی را باز نماید و یا حتی به درخواست‌های داخلی آن پاسخ دهد.

هر چند که هیچگاه امنیت کامل به وجود نخواهد آمد، اما جهت امنیت پست‌های الکترونیکی مجموعه‌ای از عملیات که در قالب یک Framework، شامل فرآیند­های شناسایی، جلوگیری، پیش‌­بینی و پاسخگویی مشخص شده است، می‌تواند بسیاری از خطرها را برطرف سازد. این قالب به عواملی همچون دروازه‌ی خروجی ایمیل‌ها، رفتار کاربران، پردازش‌های قابل پشتیبانی و معماری‌های امنیتی جانبی وابستگی بسیار دارد. به همین دلیل، ایمن‌سازی ایمیل به دو عامل انتخاب صحیح راهکار و سخت‌افزار مورد استفاده در زیرساخت و اجرای صحیح فرآیندهای امنیتی سازمانی را نیازمند است که این امر نیاز اصلی حال حاضر دنیای فناوری اطلاعات است.

راهکار Email Security شرکت سیسکو

شرکت سیسکو (Cisco) راهکار مناسبی را جهت پیشگیری از حملات ایمیل (پست الکترونیکی)  به نام Cisco Email Security Appliance ارائه داده است که به اختصار سیسکو ESA نامیده می‌شود، که با توجه به یکپارچگی‌های موجود در این راهکار، می‌توان آن را جزو راهکارهای مطرح و بروز حال حاضر دنیا دانست. راهکار پیشنهادی این شرکت براساس PipeLine زیر عمل می‌نماید. دلیل استفاده از این ساختار، بررسی چند مرحله‌ای پست‌های ورودی و خروجی است تا بتوان حداکثر ایمنی را برای سازمان و کاربران فراهم ساخت.

براساس ساختار ارائه شده، راهکار پیشنهادی شرکت سیسکو (Cisco Email Security Appliance) در ارسال و دریافت پست الکترونیکی، عناصر مختلفی از پست الکترونیکی را بررسی نموده و پس از تأیید سلامت آن‌ها اجازه‌ی عبور را به پیام می‌دهد.
از مهم‌ترین امکانات Cisco Email Security Appliance می‌توان به موارد زیر اشاره نمود:

1- Reputation Filtering

این ویژگی با بررسی سرور ارسال کننده‌ی ایمیل از نظر تعداد دفعات ارسال هرزنامه (Spam) و نمره‌دهی به آن‌ها از دریافت اسپم جلوگیری می‌نماید. همچنین در این امر از پشتیبانی Talos نیز بهره‌مند است.

2- Connection Filtering

با استفاده از عناصر موجود در اینترنت مانند رکورد SPF ،DKIM و DMARC امکان جلوگیری از Domain Spoofing را فراهم ساخته است.

3- Anti-Virus

راهکار پیشنهادی شرکت سیسکو جهت بررسی و جلوگیری از دریافت ویروس از طریق پست الکترونیکی از دو موتور آنتی‌ویروس McAfee و Sophos بهره می‌برد. این روش به صورت تقریبی توانسته از ورود تمامی‌ ویروس‌های شناخته شده جلوگیری کند.

4- File Reputation و File Analysis

این دو موتور این امکان را فراهم ساخته تا در صورتی که اطلاعاتی از سالم بودن فایل موجود در ایمیل ارسالی در دیتابیس‌های آنتی‌ویروس‌ها وجود نداشته باشد، آن را به صورت جداگانه و در Sandbox مورد بررسی قرار داده و در صورت سالم بودن رفتار فایل اجازه‌ی عبور به آن دهد. در حال حاضر Sandbox شرکت سیسکو بیش از 300 الگوی رفتاری از بدافزارها را در دیتابیس خود ذخیره نموده است. که این امر امکان جلوگیری دربرابر حملات روز صفرم را نیز فراهم آورده است.

5- Graymail Detection  و  Content Filtering

در حال حاضر حجم بسیاری از ایمیل‌ها، توسط شبکه‌های اجتماعی برای کاربران ارسال می‌گردد. این ایمیل‌ها می‌تواند شامل محتوای نامتناسب با کسب و کار و یا شامل لینک‌های خطرناک باشد. ویژگی‌های Content Filtering و Graymail Detection می‌تواند با بررسی دقیق از عبور چنین ایمیل‌هایی جلوگیری کند.

6- Data Loos Prevention

این ویژگی امکان بررسی محتویات پیام را پیش از ارسال فراهم می‌سازد. با بررسی محتویات پیام پیش از ارسال، راهکار ارائه شده می‌تواند در صورت شناسایی داده‌های حساس سازمانی، از خروج پیام جلوگیری نماید. این امر با استفاده از قوانین تعریف شده می‌تواند به صورت خودکار صورت پذیرد.

7- Envelop Encription

در برخی موارد نیاز هست که داده‌هایی حساس از طریق ایمیل ارسال شود، و همچنین نیاز به گونه‌ای است که تنها دریافت‌کننده می‌بایست از محتویات پیام مطلع گردد. با استفاده از ساختار Envelop Encription، پیام ارسال شده به صورت رمزنگاری نامتقارن تبدیل شده و سپس برای مقصد ارسال می‌گردد؛ مقصد نیز تنها در صورت داشتن کلید، امکان باز نمودن پیام را خواهد داشت.

نتیجه‌گیری

پیاده‌سازی راهکار امنیت ایمیل شرکت سیسکو نیاز به تغییر در ساختار پست الکترونیکی (ایمیل) نداشته و تنها با هدایت جریان ترافیکی به سمت آن، امکان بررسی پست‌های الکترونیکی را بدست می‌آورد. همچنین از دیگر تفاوت‌های این راهکار با نمونه‌های مشابه، تمرکز بر روی Advanced Malware Protection این راهکار است. بسیاری از راهکارهای مشابه تمرکز خود را بر روی جلوگیری از ورود اسپم و همچنین جلوگیری از ورود ویروس‌ها با استفاده از موتورهای آنتی‌ویروس قرار داده‌اند؛ این در حالی است که حملات حال حاضر دنیای سایبری فراتر از این موارد بوده است.