پرو ہوسٹر > بلاگ > انتظامیہ > اینٹی اسپام سے زیادہ: سیکیورٹی ای میل گیٹ وے سے زیادہ سے زیادہ فائدہ کیسے اٹھایا جائے۔

اینٹی اسپام سے زیادہ: سیکیورٹی ای میل گیٹ وے سے زیادہ سے زیادہ فائدہ کیسے اٹھایا جائے۔

جب کہ بڑا انٹرپرائز ممکنہ اندرونی حملہ آوروں اور ہیکرز سے شکوک پیدا کر رہا ہے، فشنگ اور اسپام میلنگ آسان کمپنیوں کے لیے درد سر بنے ہوئے ہیں۔ اگر مارٹی میک فلائی کو معلوم ہوتا کہ 2015 میں (اور اس سے بھی زیادہ 2020 میں) لوگ نہ صرف ہوور بورڈز ایجاد نہیں کریں گے، بلکہ جنک میل سے مکمل طور پر چھٹکارا حاصل کرنا بھی نہیں سیکھیں گے، تو شاید وہ انسانیت پر سے اعتماد کھو دیں گے۔ مزید یہ کہ، اسپام آج نہ صرف پریشان کن ہے، بلکہ اکثر نقصان دہ ہے۔ تقریباً 70% کِل چین کے نفاذ میں، سائبر کرائمین اٹیچمنٹ میں موجود میلویئر یا ای میلز میں فشنگ لنکس کے ذریعے انفراسٹرکچر میں گھس جاتے ہیں۔

اینٹی اسپام سے زیادہ: سیکیورٹی ای میل گیٹ وے سے زیادہ سے زیادہ فائدہ کیسے اٹھایا جائے۔

حال ہی میں، کسی تنظیم کے بنیادی ڈھانچے میں گھسنے کے طریقے کے طور پر سوشل انجینئرنگ کے پھیلاؤ کی طرف ایک واضح رجحان رہا ہے۔ 2017 اور 2018 کے اعداد و شمار کا موازنہ کرتے ہوئے، ہم ان معاملات کی تعداد میں تقریباً 50% اضافہ دیکھتے ہیں جہاں میلویئر کو ای میل کے باڈی میں منسلکات یا فشنگ لنکس کے ذریعے ملازمین کے کمپیوٹرز تک پہنچایا گیا تھا۔

عام طور پر، خطرات کی پوری رینج جو ای میل کے ذریعے انجام دی جا سکتی ہے، کو کئی زمروں میں تقسیم کیا جا سکتا ہے:

  • آنے والا سپیم
  • کسی تنظیم کے کمپیوٹرز کو بوٹ نیٹ میں شامل کرنا جو باہر جانے والے سپیم بھیجتا ہے۔
  • خط کے جسم میں بدنیتی پر مبنی منسلکات اور وائرس (چھوٹی کمپنیاں اکثر پیٹیا جیسے بڑے حملوں کا شکار ہوتی ہیں)۔

ہر قسم کے حملوں سے بچاؤ کے لیے، آپ یا تو کئی معلوماتی سیکیورٹی سسٹم لگا سکتے ہیں، یا سروس ماڈل کے راستے پر چل سکتے ہیں۔ ہم پہلے ہی کہا یونیفائیڈ سائبرسیکیوریٹی سروسز پلیٹ فارم کے بارے میں - سولر ایم ایس ایس کے زیر انتظام سائبر سیکیورٹی سروسز ایکو سسٹم کا بنیادی حصہ۔ دیگر چیزوں کے علاوہ، اس میں ورچوئلائزڈ سیکیور ای میل گیٹ وے (SEG) ٹیکنالوجی شامل ہے۔ ایک اصول کے طور پر، اس سروس کی سبسکرپشن چھوٹی کمپنیاں خریدتی ہیں جس میں تمام آئی ٹی اور انفارمیشن سیکیورٹی کے افعال ایک شخص یعنی سسٹم ایڈمنسٹریٹر کو تفویض کیے جاتے ہیں۔ سپام ایک ایسا مسئلہ ہے جو صارفین اور انتظامیہ کو ہمیشہ نظر آتا ہے، اور اسے نظر انداز نہیں کیا جا سکتا۔ تاہم، وقت گزرنے کے ساتھ، یہاں تک کہ انتظامیہ بھی واضح ہو جاتی ہے کہ اسے سسٹم ایڈمنسٹریٹر کے پاس صرف "ڈراپ" کرنا ناممکن ہے - اس میں بہت زیادہ وقت لگتا ہے۔

اینٹی اسپام سے زیادہ: سیکیورٹی ای میل گیٹ وے سے زیادہ سے زیادہ فائدہ کیسے اٹھایا جائے۔

میل کو پارس کرنے میں 2 گھنٹے کا وقت تھوڑا بہت ہے۔

خوردہ فروشوں میں سے ایک نے ایسی ہی صورتحال کے ساتھ ہم سے رابطہ کیا۔ ٹائم ٹریکنگ سسٹم نے ظاہر کیا کہ ہر روز اس کے ملازمین اپنے کام کے وقت کا تقریباً 25% (2 گھنٹے!) میل باکس کو چھانٹنے میں صرف کرتے ہیں۔

گاہک کے میل سرور سے منسلک ہونے کے بعد، ہم نے SEG مثال کو آنے والے اور جانے والے دونوں میل کے لیے دو طرفہ گیٹ وے کے طور پر ترتیب دیا ہے۔ ہم نے پہلے سے قائم پالیسیوں کے مطابق فلٹرنگ شروع کی۔ ہم نے بلیک لسٹ کو صارف کے فراہم کردہ ڈیٹا اور دیگر خدمات کے حصے کے طور پر سولر JSOC ماہرین کے ذریعہ حاصل کردہ ممکنہ طور پر خطرناک پتوں کی اپنی فہرستوں کے تجزیہ کی بنیاد پر مرتب کیا ہے - مثال کے طور پر، معلومات کے تحفظ کے واقعات کی نگرانی۔ اس کے بعد، تمام میل صرف صفائی کے بعد وصول کنندگان تک پہنچائی جاتی تھیں، اور "گرینڈ ڈسکاؤنٹس" کے بارے میں مختلف اسپام میلنگز نے گاہک کے میل سرورز میں ٹنوں میں آنا بند کر دیا، جس سے دوسری ضروریات کے لیے جگہ خالی ہو گئی۔

لیکن ایسے حالات ہوئے ہیں جب ایک جائز خط کو غلطی سے اسپام کے طور پر درجہ بندی کر دیا گیا تھا، مثال کے طور پر، بطور غیر بھروسہ مند مرسل کی طرف سے موصول ہوا تھا۔ اس معاملے میں، ہم نے فیصلہ کا حق گاہک کو دیا۔ کیا کرنا ہے اس کے بہت سے اختیارات نہیں ہیں: اسے فوری طور پر حذف کریں یا اسے قرنطینہ میں بھیج دیں۔ ہم نے دوسرا راستہ منتخب کیا، جس میں اس طرح کے جنک میل کو SEG پر ہی محفوظ کیا جاتا ہے۔ ہم نے سسٹم ایڈمنسٹریٹر کو ویب کنسول تک رسائی فراہم کی، جس میں وہ کسی بھی وقت ایک اہم خط تلاش کر سکتا ہے، مثال کے طور پر، ہم منصب سے، اور اسے صارف کو بھیج سکتا ہے۔

پرجیویوں سے چھٹکارا حاصل کرنا

ای میل پروٹیکشن سروس میں تجزیاتی رپورٹس شامل ہیں، جن کا مقصد بنیادی ڈھانچے کی حفاظت اور استعمال شدہ ترتیبات کی تاثیر کی نگرانی کرنا ہے۔ اس کے علاوہ، یہ رپورٹس آپ کو رجحانات کا اندازہ لگانے کی اجازت دیتی ہیں۔ مثال کے طور پر، ہمیں رپورٹ میں متعلقہ سیکشن "وصول کنندہ کے ذریعے اسپام" یا "اسپام بذریعہ ارسال کنندہ" ملتا ہے اور یہ دیکھتے ہیں کہ کس کے ایڈریس پر سب سے زیادہ بلاک شدہ پیغامات موصول ہوتے ہیں۔

اس طرح کی رپورٹ کا تجزیہ کرتے ہوئے یہ تھا کہ صارفین میں سے ایک کے خطوط کی کل تعداد میں تیزی سے اضافہ ہمیں مشکوک معلوم ہوا۔ اس کا انفراسٹرکچر چھوٹا ہے، خطوط کی تعداد کم ہے۔ اور اچانک، ایک کام کے دن کے بعد، مسدود اسپام کی مقدار تقریباً دوگنی ہو گئی۔ ہم نے قریب سے دیکھنے کا فیصلہ کیا۔

اینٹی اسپام سے زیادہ: سیکیورٹی ای میل گیٹ وے سے زیادہ سے زیادہ فائدہ کیسے اٹھایا جائے۔

ہم دیکھتے ہیں کہ باہر جانے والے خطوط کی تعداد میں اضافہ ہوا ہے، اور "بھیجنے والے" فیلڈ میں ان سبھی میں ایک ایسے ڈومین کے پتے ہیں جو میل پروٹیکشن سروس سے منسلک ہیں۔ لیکن ایک نزاکت ہے: کافی سمجھدار، شاید موجودہ، پتے، واضح طور پر عجیب و غریب ہیں۔ ہم نے ان IPs کو دیکھا جن سے خطوط بھیجے گئے تھے، اور، کافی متوقع طور پر، پتہ چلا کہ ان کا تعلق ایڈریس کی محفوظ جگہ سے نہیں ہے۔ ظاہر ہے، حملہ آور کسٹمر کی جانب سے اسپام بھیج رہا تھا۔

اس صورت میں، ہم نے کسٹمر کے لیے DNS ریکارڈز، خاص طور پر SPF کو درست طریقے سے ترتیب دینے کے بارے میں سفارشات پیش کیں۔ ہمارے ماہر نے ہمیں "v=spf1 mx ip:1.2.3.4/23 -all" کے اصول پر مشتمل TXT ریکارڈ بنانے کا مشورہ دیا، جس میں ان پتوں کی ایک مکمل فہرست ہے جنہیں محفوظ ڈومین کی جانب سے خطوط بھیجنے کی اجازت ہے۔

دراصل، یہ کیوں ضروری ہے: کسی نامعلوم چھوٹی کمپنی کی جانب سے اسپام ناخوشگوار ہے، لیکن اہم نہیں۔ صورتحال بالکل مختلف ہے، مثال کے طور پر، بینکنگ انڈسٹری میں۔ ہمارے مشاہدات کے مطابق، شکار کا فریب دہی ای میل پر اعتماد کی سطح اس سے کئی گنا بڑھ جاتی ہے اگر یہ ممکنہ طور پر کسی دوسرے بینک کے ڈومین یا متاثرہ کو معلوم کسی ہم منصب سے بھیجا گیا ہو۔ اور یہ نہ صرف بینک ملازمین کو ممتاز کرتا ہے؛ دیگر صنعتوں میں - مثال کے طور پر توانائی کا شعبہ - ہمیں اسی رجحان کا سامنا ہے۔

وائرس کو مارنا

لیکن جعل سازی اتنا عام مسئلہ نہیں ہے جیسا کہ مثال کے طور پر وائرل انفیکشن۔ آپ اکثر وائرل وبائی امراض سے کیسے لڑتے ہیں؟ وہ ایک اینٹی وائرس انسٹال کرتے ہیں اور امید کرتے ہیں کہ "دشمن اس سے گزر نہیں پائے گا۔" لیکن اگر سب کچھ اتنا آسان ہوتا، تو اینٹی وائرس کی کافی کم قیمت کو دیکھتے ہوئے، ہر کوئی میلویئر کے مسئلے کو بہت پہلے بھول چکا ہوتا۔ دریں اثنا، ہمیں سیریز سے مسلسل درخواستیں موصول ہوتی ہیں "فائلوں کو بحال کرنے میں ہماری مدد کریں، ہم نے سب کچھ انکرپٹ کر لیا ہے، کام رک گیا ہے، ڈیٹا ضائع ہو گیا ہے۔" ہم اپنے صارفین کو یہ کہتے ہوئے کبھی نہیں تھکتے کہ اینٹی وائرس کوئی علاج نہیں ہے۔ اس حقیقت کے علاوہ کہ ممکن ہے کہ اینٹی وائرس ڈیٹا بیسز کو کافی تیزی سے اپ ڈیٹ نہ کیا جا سکے، ہمیں اکثر ایسے میلویئر کا سامنا کرنا پڑتا ہے جو نہ صرف اینٹی وائرس بلکہ سینڈ باکسز کو بھی نظرانداز کر سکتے ہیں۔

بدقسمتی سے، تنظیموں کے چند عام ملازمین فشنگ اور بدنیتی پر مبنی ای میلز سے واقف ہیں اور انہیں باقاعدہ خط و کتابت سے ممتاز کرنے کے قابل ہیں۔ اوسطاً، ہر 7 واں صارف جو باقاعدگی سے آگاہی پیدا نہیں کرتا ہے وہ سوشل انجینئرنگ کا شکار ہو جاتا ہے: ایک متاثرہ فائل کھولنا یا حملہ آوروں کو اپنا ڈیٹا بھیجنا۔

اگرچہ حملوں کے سماجی ویکٹر، عام طور پر، بتدریج بڑھ رہے ہیں، یہ رجحان گزشتہ سال خاص طور پر نمایاں ہوا ہے۔ فشنگ ای میلز پروموشنز، آنے والے ایونٹس وغیرہ کے بارے میں باقاعدہ میلنگز سے ملتی جلتی ہوتی جا رہی تھیں۔ یہاں ہم مالیاتی شعبے پر خاموشی کے حملے کو یاد کر سکتے ہیں - بینک کے ملازمین کو مشہور انڈسٹری کانفرنس iFin میں شرکت کے لیے ایک پروموشنل کوڈ کے ساتھ مبینہ طور پر ایک خط موصول ہوا تھا، اور اس چال کا شکار ہونے والوں کی شرح بہت زیادہ تھی، اگرچہ، ہمیں یاد رکھنا چاہیے۔ ، ہم بینکنگ انڈسٹری کے بارے میں بات کر رہے ہیں - معلومات کی حفاظت کے معاملات میں سب سے زیادہ ترقی یافتہ۔

پچھلے نئے سال سے پہلے، ہم نے کئی متجسس حالات کا بھی مشاہدہ کیا جب صنعتی کمپنیوں کے ملازمین کو مشہور آن لائن اسٹورز میں نئے سال کی پروموشنز کی "فہرست" اور چھوٹ کے لیے پروموشنل کوڈز کے ساتھ انتہائی اعلیٰ معیار کے فشنگ خطوط موصول ہوئے۔ ملازمین نے نہ صرف خود لنک پر عمل کرنے کی کوشش کی بلکہ متعلقہ اداروں کے ساتھیوں کو بھی خط بھیج دیا۔ چونکہ فشنگ ای میل کا لنک جس وسیلہ کی طرف لے جاتا ہے اسے بلاک کر دیا گیا تھا، ملازمین نے بڑے پیمانے پر IT سروس کو اس تک رسائی فراہم کرنے کے لیے درخواستیں جمع کرانا شروع کر دیں۔ عام طور پر، میلنگ کی کامیابی حملہ آوروں کی تمام توقعات سے تجاوز کر گئی ہو گی۔

اور حال ہی میں ایک کمپنی جسے "انکرپٹڈ" کیا گیا تھا مدد کے لیے ہم سے رجوع کیا۔ یہ سب اس وقت شروع ہوا جب اکاؤنٹنگ ملازمین کو روسی فیڈریشن کے مرکزی بینک سے مبینہ طور پر ایک خط موصول ہوا۔ اکاؤنٹنٹ نے خط میں دیے گئے لنک پر کلک کیا اور WannaMine مائنر کو اپنی مشین پر ڈاؤن لوڈ کر لیا، جس نے مشہور WannaCry کی طرح EternalBlue کی کمزوری کا فائدہ اٹھایا۔ سب سے دلچسپ بات یہ ہے کہ زیادہ تر اینٹی وائرس 2018 کے آغاز سے ہی اس کے دستخطوں کا پتہ لگانے میں کامیاب رہے ہیں۔ لیکن، یا تو اینٹی وائرس کو غیر فعال کر دیا گیا تھا، یا ڈیٹا بیس کو اپ ڈیٹ نہیں کیا گیا تھا، یا یہ بالکل بھی موجود نہیں تھا - کسی بھی صورت میں، کان کن پہلے سے ہی کمپیوٹر پر موجود تھا، اور اسے کسی بھی چیز نے نیٹ ورک پر مزید پھیلنے، سرورز کو لوڈ کرنے سے نہیں روکا تھا۔ CPU اور ورک سٹیشن 100% پر۔

اس صارف نے، ہماری فرانزک ٹیم سے ایک رپورٹ موصول ہونے کے بعد، دیکھا کہ وائرس ابتدائی طور پر ای میل کے ذریعے اس میں داخل ہوا، اور ای میل پروٹیکشن سروس کو جوڑنے کے لیے ایک پائلٹ پروجیکٹ شروع کیا۔ پہلی چیز جو ہم نے ترتیب دی وہ ایک ای میل اینٹی وائرس تھا۔ ایک ہی وقت میں، میلویئر کے لیے سکیننگ مسلسل کی جاتی ہے، اور دستخطی اپ ڈیٹس ابتدائی طور پر ہر گھنٹے میں کیے جاتے تھے، اور پھر صارف دن میں دو بار سوئچ کرتا تھا۔

وائرل انفیکشن کے خلاف مکمل تحفظ تہہ دار ہونا ضروری ہے۔ اگر ہم ای میل کے ذریعے وائرس کی منتقلی کے بارے میں بات کرتے ہیں، تو اس کے لیے ضروری ہے کہ داخلی راستے پر ایسے خطوط کو فلٹر کیا جائے، صارفین کو سوشل انجینئرنگ کو پہچاننے کی تربیت دی جائے، اور پھر اینٹی وائرس اور سینڈ باکسز پر انحصار کیا جائے۔

حفاظت پر SEGda میں

یقیناً، ہم یہ دعویٰ نہیں کرتے کہ سیکیور ای میل گیٹ وے حل ایک علاج ہیں۔ ٹارگٹڈ حملوں بشمول سپیئر فشنگ کو روکنا انتہائی مشکل ہے کیونکہ... اس طرح کا ہر حملہ ایک مخصوص وصول کنندہ (تنظیم یا شخص) کے لیے "مطابق" ہوتا ہے۔ لیکن ایک کمپنی کے لیے جو سیکیورٹی کی بنیادی سطح فراہم کرنے کی کوشش کر رہی ہے، یہ بہت کچھ ہے، خاص طور پر صحیح تجربے اور مہارت کے ساتھ جو کام پر لاگو ہوتا ہے۔

اکثر، جب سپیئر فشنگ کی جاتی ہے، تو خطوط کے باڈی میں بدنیتی پر مبنی منسلکات شامل نہیں ہوتے ہیں، بصورت دیگر اینٹی اسپام سسٹم ایسے خط کو وصول کنندہ کے راستے میں فوری طور پر روک دے گا۔ لیکن ان میں خط کے متن میں پہلے سے تیار کردہ ویب وسائل کے لنکس شامل ہیں، اور پھر یہ ایک چھوٹی سی بات ہے۔ صارف لنک کو فالو کرتا ہے، اور پھر چند سیکنڈوں میں کئی ری ڈائریکٹس کے بعد پوری زنجیر میں آخری ایک پر ختم ہو جاتا ہے، جس کے کھلنے سے اس کے کمپیوٹر پر میلویئر ڈاؤن لوڈ ہو جاتا ہے۔

اس سے بھی زیادہ نفیس: جس وقت آپ کو خط موصول ہوتا ہے، لنک بے ضرر ہوسکتا ہے اور کچھ وقت گزر جانے کے بعد، جب اسے پہلے ہی اسکین اور چھوڑ دیا گیا ہو، کیا یہ میلویئر پر ری ڈائریکٹ ہونا شروع کردے گا۔ بدقسمتی سے، سولر جے ایس او سی کے ماہرین، حتیٰ کہ اپنی قابلیت کو بھی مدنظر رکھتے ہوئے، میل گیٹ وے کو ترتیب دینے کے قابل نہیں ہوں گے تاکہ پوری چین میں میلویئر کو "دیکھ" سکیں (اگرچہ تحفظ کے طور پر، آپ حروف میں موجود تمام لنکس کی خودکار تبدیلی کا استعمال کر سکتے ہیں۔ SEG پر، تاکہ مؤخر الذکر نہ صرف خط کی ترسیل کے وقت، اور ہر منتقلی کے وقت لنک کو اسکین کرے)۔

دریں اثنا، یہاں تک کہ ایک عام ری ڈائریکٹ کو بھی کئی قسم کی مہارتوں کے مجموعے سے نمٹا جا سکتا ہے، بشمول ہمارے JSOC CERT اور OSINT سے حاصل کردہ ڈیٹا۔ یہ آپ کو توسیعی بلیک لسٹ بنانے کی اجازت دیتا ہے، جس کی بنیاد پر ایک سے زیادہ فارورڈنگ والے خط کو بھی بلاک کر دیا جائے گا۔

SEG کا استعمال دیوار میں صرف ایک چھوٹی اینٹ ہے جسے کوئی بھی ادارہ اپنے اثاثوں کی حفاظت کے لیے بنانا چاہتا ہے۔ لیکن اس لنک کو بھی مجموعی تصویر میں درست طریقے سے ضم کرنے کی ضرورت ہے، کیونکہ یہاں تک کہ SEG، مناسب ترتیب کے ساتھ، تحفظ کے ایک مکمل ذرائع میں تبدیل کیا جا سکتا ہے۔

Ksenia Sadunina، شمسی JSOC مصنوعات اور خدمات کے ماہر پری سیل ڈیپارٹمنٹ کی کنسلٹنٹ

ماخذ: www.habr.com

نیا تبصرہ شامل کریں