ابتكار

ابتكار منهجيات الكشف عن التهديدات في أمان البريد الإلكتروني

ابتكار منهجيات الكشف عن التهديدات في أمان البريد الإلكتروني


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

تعتمد أنظمة الأمان على توقيعات التهديدات المحدثة باستمرار لمكافحة التهديدات المتطورة باستمرار. يتم تنفيذ تحديثات قاعدة البيانات بين الحين والآخر ، لذلك يتم تحديد الهجمات الجديدة وحظرها بشكل صحيح.

لهذا السبب تحرص شركات الأمن على جمع المعلومات حول أحدث التهديدات وتحليلها على الفور من أجل منع حدوث مشاكل أكبر. الفكرة السائدة في أمان البريد الإلكتروني هي أنه يمكنك التغلب عليه إذا كنت تعرفه. لا يمكنك الرد على الهجمات بشكل أعمى.

قد تحتاج الأمور إلى التغيير قريبًا حيث كشفت دراسة منشورة مؤخرًا من قبل شركة الأمن BitDam عن مخاطر التعامل مع هجمات غير معروفة. قد تكون أنظمة الأمان جيدة في جمع المعلومات حول أحدث التهديدات (لتحديث قواعد بيانات التوقيع الخاصة بها وقدرات الكشف) ، ولكن دفاعاتها غير كافية بشكل ملحوظ عندما تواجه لأول مرة برامج ضارة لا تحتوي على توقيع التهديد المقابل في قاعدة بياناتها.

استكشاف المجهول

تتناول دراسة أمان البريد الإلكتروني من BitDam نقاط الضعف في منصات البريد الإلكتروني الرائدة للمؤسسات في معالجة التهديدات غير المعروفة أو تلك التي يواجهونها لأول مرة. كانت الأنظمة الحديثة فعالة جدًا في صد الهجمات التي تم تحديدها بالفعل. ومع ذلك ، فإن السؤال الأكثر أهمية هو كيف يتعاملون مع منهجيات الهجوم الجديدة أو متغيراتها.

يمكن تلخيص عملية الدراسة على النحو التالي:

  1. جمع الباحثون عينات من البرامج الضارة ،
  2. التحقق من أن هذه هي بالفعل ضارة أو ضارة ،
  3. تعديل البرامج الضارة التي تم التحقق منها ،
  4. أرسل البرنامج الضار الذي تم التحقق منه لاستهداف حسابات البريد الإلكتروني ،
  5. راقب أداء أنظمة أمان البريد الإلكتروني التي تحمي حسابات البريد الإلكتروني المستهدفة ، و
  6. جمع وتحليل البيانات المرصودة.

تتم إعادة إرسال البرامج الضارة التي تم التحقق منها والتي تمكنت من المرور عبر أنظمة أمان البريد الإلكتروني بتواتر متناقص خلال مدة الدراسة. في الساعات الأربع الأولى ، تتم إعادة إرسال الملفات التي تحتوي على برامج ضارة كل 30 دقيقة. لمدة 20 ساعة القادمة ، يتم تقليل وتيرة إعادة الإرسال إلى مرة واحدة كل ساعتين. يتم تقليل التردد إلى مرة كل 6 ساعات للأيام السبعة التالية وتوقف في النهاية بعد اليوم السابع. يتم ذلك للمحاكاة

ركزت الدراسة في البداية على Microsoft Office365 ATP و Google G Suite. إنها دراسة مستمرة ، والخطة هي أن تشمل في النهاية Proofpoint وأنظمة أمان البريد الإلكتروني الرئيسية الأخرى.

إذن كيف حصلت BitDam على الآلاف من البرامج الضارة "غير المعروفة"؟

هذا بالتأكيد سؤال مهم. استخدمت BitDam الآلاف من البرامج الضارة التي تم التحقق منها للدراسة. إذا كان لديه حق الوصول إلى هذا العدد الكبير من البرامج الضارة غير المعروفة ، فمن المعقول فقط لمجتمع الأمن أن يشك في الشركة. ومع ذلك ، لم تحصل BitDam فعليًا على آلاف البرامج الضارة التي لم يتم تسجيلها بعد في قواعد بيانات التهديدات الخاصة بـ Microsoft و Google. كان عليهم أن يكونوا مبدعين وواسعي الحيلة للشروع في الدراسة.

يعد تحديد مصادر التهديدات التي تعتبر غير معروفة لـ Office365 و G Suite أحد التحديات الحاسمة في إجراء الدراسة. لا يوجد لدى BitDam مصادر وفيرة للتهديدات التي لم يتم تحديدها بعد بواسطة أنظمة الأمان الرئيسية. الحل: تعديل التهديدات لجعلها تبدو جديدة وغير معروفة.

أصبح تغيير التهديدات الحديثة ولكن المعروفة إلى مجهولة باستخدام طريقتين. الأول كان عن طريق تغيير تجزئة الملفات التي تحتوي على البرامج الضارة مع إدخال البيانات الحميدة إليها. تتطلب الطريقة الثانية تعديل التوقيع الثابت لماكرو عن طريق إضافة تعليقات تتكون من كلمات عشوائية وتحويل رمز كل دالة ماكرو إلى سلسلة base64.

وبعبارة أخرى ، فإن التهديدات غير المعروفة المستخدمة في الاختبارات هي متغيرات من التهديدات الحالية الحالية. أدى استخدام هذه المتغيرات إلى حل مشكلتين رئيسيتين للباحثين: مشكلة إرفاق الملفات المصابة برسائل البريد الإلكتروني التجريبية والتصفية الكاملة للبرامج الضارة (نظرًا لأنها موجودة بالفعل في قاعدة بيانات Office365 و G Suite). تقوم خدمات البريد الإلكتروني من Microsoft و Google بالتحقق تلقائيًا من الملفات المرفقة برسائل البريد الإلكتروني بنفس الطريقة التي تفحص بها المرفقات التي تحاول الدخول إلى صناديق البريد الوارد.

قدمت هذه العملية برمتها لحظات اليوريكا التالية للباحثين:

  • تميل أنظمة البريد الإلكتروني إلى الخطأ في التعرف على متغيرات التهديدات الحالية حتى لو كانت التهديدات الأصلية مسجلة بالفعل.
  • من السهل إنتاج أنواع مختلفة من البرامج الضارة التي تبدو غير معروفة لأنظمة الأمان. بمساعدة الذكاء الاصطناعي ، يمكن إنشاء عدد لا يحصى من البرامج الضارة واستخدامها لمزيد من الهجمات.

وهذا يفسر سبب اضطرار الباحثين في BitDam إلى القيام بالخطوة 3 في العملية المذكورة أعلاه. يعد التعديل ضروريًا للتوصل إلى تهديدات غير معروفة قابلة للتطبيق ولتمكين إرفاق الملفات المحملة بالبرامج الضارة في رسائل البريد الإلكتروني التجريبية.

مشكلة ارتفاع معدلات تفويت الكشف و TTD

بعد حل مشاكل إرفاق الملفات التي تحتوي على برامج ضارة والكشف الفوري عن طريق Office365 و G Suite ، واصل الباحثون الاختبارات وواجهوا نتائج مقلقة.

بعد عدة أسابيع من إجراء الاختبارات ، أظهر Office365 معدل تخطي أول لقاء بنسبة 23٪. بلغ معدل الخطأ أعلى مستوياته في الأسبوع الأول (31٪). كان أداء G Suite أسوأ من ذلك ، حيث سجل معدل خطأ في اللقاء الأول بلغ 35.5٪. تمامًا مثل Office365 ، سجل أعلى معدل في الأسبوع الأول بنسبة مذهلة بلغت 45٪.

ومن المثير للقلق أيضًا أن الوقت المناسب لاكتشاف أرقام (TTD). كان لدى Office365 متوسط ​​مدة زمنية قدرها 48 ساعة بعد أول لقاء. بالنسبة لـ G Suite ، فهي 26.4 ساعة.

للتوضيح ، يشير معدل الخطأ الأول في المواجهة إلى المعدل الذي فشلت به أنظمة أمان البريد الإلكتروني في اكتشاف البرامج الضارة التي تم التحقق منها والتي تم إرسالها إليها. من ناحية أخرى ، يشير TTD إلى الوقت الذي تستغرقه أنظمة الأمان في اكتشاف البرامج الضارة بعد أول مرة تم تقديمها إليها.

تؤدي حالات فشل الاكتشاف إلى إنشاء نقاط ضعف تسمح للتهديدات بالاختراق. تتفاقم المخاطر مع أمراض القلب الطويلة الأمد. TTD لمدة 48 ساعة يعني أن حسابات البريد الإلكتروني معرضة للخطر لمدة يومين. يتعلم نظام الأمان فقط أن التهديد الذي سمح له بالمرور سابقًا كان يجب حظره. بحلول ذلك الوقت ، ربما يكون مستخدمو البريد الإلكتروني قد قاموا بالفعل بتنزيل الملفات المرفقة أو نقروا على الروابط الضارة.

باستخدام نهج الكشف عن التهديدات السائدة ، سيكون من الضروري للأنظمة الأمنية تحديث قواعد البيانات الخاصة بها مع توقيع التهديد في نفس لحظة إطلاقه. هذا مستحيل.

تحديد الهوية ليس الحل الوحيد

إن معرفة المجهول ليس الطريقة الوحيدة للتعامل مع مشكلة الهجمات الجديدة التي لم يتم التعرف عليها بعد. بعد كل شيء ، يكاد يكون من المستحيل تحديد التهديدات وتحديث قواعد بيانات توقيع التهديد في نفس لحظة إصدارها.

على هذا النحو ، يقترح BitDam إعادة التفكير في كيفية عمل اكتشاف التهديدات. بدلاً من الاعتماد بشكل كبير على البيانات المحدثة (المستندة إلى البيانات) لتحديد الهجمات ، تكمن الفكرة في تبني نهج قائم على النموذج.

قامت BitDam بتطوير حل ATP يستخدم محركًا لا يعرف التهديدات. يقدم طريقة اكتشاف لا تتطلب معلومات حول الهجمات لتحديد ما إذا كان هناك شيء ضار ويجب حظره. يركز على الطريقة التي تتفاعل بها التطبيقات مع الملفات.

يتم إنشاء نماذج من تدفقات التنفيذ "النظيف" للحصول على معيار لكيفية عمل التطبيقات عندما تعمل مع ملفات آمنة أو غير مغشوشة أو حميدة. إذا لاحظ محرك ATP تدفقات التنفيذ التي تنحرف عن كيفية حدوث التدفقات النظيفة ، فسيكون القرار المنطقي هو حظر الملف المريب.

كان محرك الكشف عن التهديدات المستند إلى نموذج BitDam فعالًا للغاية كما يتضح من كيفية اكتشافه للتهديدات التي فاتها Office365 و G Suite في أول مواجهة. إنه يوضح أنه ليس من الضروري معرفة المجهول لتقييمه بشكل صحيح على أنه ضار أو ضار.

فى الختام

كونك غير معروف يجعل التهديدات أكثر خطورة وأكثر ترويعًا. لحسن الحظ ، لا يجب أن يكون الحل دائمًا عكس ما هو مجهول. قدمت BitDam طريقة اكتشاف التهديدات القائمة على النموذج والتي أثبتت في الاختبارات أنها فعالة للغاية. يمكن أن تقلل حتى من TTD إلى الصفر. لا تهدف هذه الطريقة إلى استبدال الاستراتيجيات التي تعتمد على البيانات. يمكن أن يعزز فعالية أنظمة أمان البريد الإلكتروني الحالية ، ولكن من المحتمل أن يحتاج إلى معلومات تهديد محدثة لمعالجة إمكانية الإفراط في الإيجابيات الزائفة إذا أصبحت عدوانية بشكل مفرط.


شاهد الفيديو: أساسيات الانترنت والمراسلات - مرفقات البريد الإلكتروني وانشاء التواقيع (سبتمبر 2022).


تعليقات:

  1. Tyree

    انا أنضم. وقد واجهته. دعونا نناقش هذا السؤال. هنا أو في PM.

  2. Yaron

    كيف يمكن تعريفها؟

  3. Winsor

    عبارة مضحكة للغاية

  4. Goltilkis

    ربما سأتفق مع جملتك



اكتب رسالة