Yêu cầu bảo mật theo tiêu chuẩn ITU-T X.1236
Các loại tấn công Email chiều nhận có chủ đích
Các cuộc tấn công Email chiều nhận có chủ đích
Yêu cầu bảo mật để ngăn chặn mã độc zero-day
Kiểm tra phân tích dựa trên hành vi
Báo cáo hành vi mã độc
Kiểm tra phân tích dựa trên hành vi
Kiểm tra phân tích dựa trên hành vi
Tầm quan trọng: Cần thiết / Tham khảo tiêu chuẩn ITU-T X.1236 8.1.1 (1)
- Phân tích dựa trên hành vi là một yêu cầu bảo mật thiết yếu để phát hiện các virus mới và chưa được biết đến. Yêu cầu này giúp nhận diện mã độc hoặc hoạt động độc hại mà các tệp định nghĩa virus truyền thống không thể phát hiện.
- Quá trình này bao gồm việc chạy virus hoặc phần mềm độc hại trong môi trường ảo để quan sát các hành vi hoặc hoạt động đáng ngờ. Ví dụ, việc phân tích các hành vi như thay đổi hệ thống tệp, sửa đổi registry, mẫu giao tiếp mạng và thực thi quy trình để phát hiện các hoạt động độc hại.
- Để đạt được điều này, cần thực hiện theo dõi liên tục các đặc điểm và mẫu của mã độc mới và triển khai các biện pháp phản ứng kịp thời khi phát hiện các hành vi độc hại.
Báo cáo hành vi mã độc
Các cuộc tấn công Email chiều nhận có chủ đích
Yêu cầu bảo mật để đối phó với mã độc trong các tệp đính kèm Email
Kiểm tra phần mở rộng của tệp
Phân tích độ tin cậy của Email
Kiểm tra phần mở rộng của tệp
Kiểm tra phần mở rộng của tệp
Tầm quan trọng: Bắt buộc / Tham khảo ITU-T X.1236 8.1.2 (1)
- Việc kiểm tra các loại tệp với phần mở rộng có thể bị giả mạo hoặc ẩn là yêu cầu bảo mật quan trọng nhằm tăng cường an ninh.
- Mã độc hoặc chương trình độc hại thường thay đổi phần mở rộng tệp, cho phép chúng thực thi mã độc khi người dùng mở hoặc tải xuống các tệp này.
- Kiểm tra phần mở rộng tệp bao gồm việc so sánh phần mở rộng tệp với định dạng thực tế của tệp để phát hiện các phần mở rộng bị thay đổi và nhận diện tệp độc hại. Các tệp bị phát hiện sẽ bị chặn để duy trì an ninh hệ thống.
- Ví dụ về phần mở rộng tệp bị giả mạo bao gồm:
- Sử dụng phần mở rộng .doc cho tệp thực thi: Các tệp thực thi thường có phần mở rộng như .exe, .dll, .bat, v.v. Tuy nhiên, kẻ tấn công có thể sử dụng phần mở rộng .doc để ngụy trang cho một tệp thực thi.
- Sử dụng phần mở rộng .exe cho tệp hình ảnh: Các tệp hình ảnh thường có phần mở rộng như .jpg, .png, .gif, v.v. Tuy nhiên, kẻ tấn công có thể sử dụng phần mở rộng .exe để ngụy trang cho một tệp hình ảnh.
- Sử dụng phần mở rộng .mp3 cho tệp văn bản: Các tệp văn bản thường có phần mở rộng như .txt, .doc, .pdf, v.v. Tuy nhiên, kẻ tấn công có thể sử dụng phần mở rộng .mp3 để ngụy trang cho một tệp văn bản.
Phân tích độ tin cậy của Email
Các cuộc tấn công Email chiều nhận có chủ đích
Yêu cầu bảo mật để chống lại phần mềm độc hại qua các liên kết Email (URL)
Theo dõi các URL cuối cùng
Kiểm tra Post-URLs
Vô hiệu hóa các URL
Theo dõi các URL cuối cùng
Theo dõi các URL cuối cùng
Tầm quan trọng: Bắt buộc / Tham chiếu đến ITU-T X.1236 8.1.3 (1)
- Khi phân tích các URL liên kết nhiều lớp, việc theo dõi và xác minh tất cả các URL trung gian và cuối cùng là rất quan trọng. Đây là bước cần thiết để xác nhận liệu mỗi URL có chứa mã độc hại hay không.
- Các kẻ tấn công có thể dẫn dắt hoặc gây nhầm lẫn cho người dùng thông qua nhiều URL trung gian khác nhau, vì vậy việc phân tích kỹ lưỡng từng URL để xác định URL đích cuối cùng là rất cần thiết.
- Xem xét xem mỗi URL có xuất phát từ nguồn đáng tin cậy, có chứng chỉ bảo mật và không chứa chuỗi lạ hoặc mã bị che khuất để đảm bảo tính toàn vẹn của nó.
Kiểm tra Post-URLs
Vô hiệu hóa các URL
Các cuộc tấn công Email chiều nhận có chủ đích
Yêu cầu bảo mật để chống lại các tiêu đề giả mạo
Phát hiện sự thay đổi địa chỉ Email trong trường Reply-to
Xác minh tuân thủ giao thức gửi và nhận Email
Phát hiện sự thay đổi địa chỉ Email trong trường Reply-to
Phát hiện sự thay đổi địa chỉ Email trong trường Reply-to
Tầm quan trọng: Bắt buộc / Tham chiếu đến ITU-T X.1236 8.1.4 (1)
- Khi trả lời một Email, cần so sánh địa chỉ Email trả lời với địa chỉ của người gửi trong Email gốc và cảnh báo hoặc chặn người dùng nếu chúng khác nhau.
- Điều này giúp ngăn chặn các kẻ tấn công can thiệp vào Email gốc để gây nhầm lẫn cho người dùng.
- Người dùng nhận được cảnh báo về bất kỳ thay đổi nào trong địa chỉ Email trước khi gửi phản hồi, giúp ngăn chặn các hoạt động gian lận và duy trì sự giao tiếp đáng tin cậy.
Xác minh tuân thủ giao thức gửi và nhận Email
Các cuộc tấn công Email chiều nhận có chủ đích
Yêu cầu bảo mật để chống lại các miền giả mạo
Thông báo mức độ tương đồng rủi ro
Phát hiện sự khác biệt trong các ký tự số ở địa chỉ Email
Đăng ký các địa chỉ Email tương tự đáng ngờ
Quản lý các địa chỉ Email tương tự với các TLD khác nhau một các tách biệt
Thông báo mức độ tương đồng rủi ro
Thông báo mức độ tương đồng rủi ro
Tầm quan trọng: Bắt buộc / Tham chiếu đến ITU-T X.1236 8.2.2 (1)
- Hệ thống phân tích địa chỉ Email hoặc tên miền của người gửi trong Email nhận được và thu thập lịch sử Email từ người gửi đó để xác định Mức độ Tương đồng Rủi ro nếu địa chỉ Email hoặc tên miền được cho là tương tự. Khi phát hiện sự tương đồng, hệ thống sẽ cảnh báo người dùng và, nếu cần thiết, chặn Email.
- Ví dụ, nếu người dùng trước đây đã nhận được Email độc hại từ các tên miền giả mạo, hệ thống sẽ phát hiện sự tương đồng này và cảnh báo người dùng hoặc chặn Email đó.
- Thông báo Mức độ Tương đồng Rủi ro là một tính năng quan trọng trong các hệ thống bảo mật Email, cung cấp cho người dùng thông tin về các rủi ro tiềm ẩn khi địa chỉ Email hoặc tên miền của người gửi được nhận diện là tương tự.
- Mức độ Tương đồng Rủi ro được xác định dựa trên các thuật toán và chính sách được tích hợp trong hệ thống bảo mật Email, và thường được phân loại như sau:
- Thấp: Phát hiện tên miền giả mạo, nhưng không xác định được rủi ro lớn.
- Trung bình: Phát hiện sự tương đồng trong một số Email.
- Cao: Phát hiện sự tương đồng cao trong Email.
- Sau khi xác định được Mức độ Tương đồng Rủi ro, thông tin này cần được truyền đạt đến người dùng. Người dùng cần có khả năng nhận biết rằng Email đã được phân loại từ một tên miền giả mạo và kiểm tra mức độ rủi ro liên quan đến tên miền đó.
Phát hiện sự khác biệt trong các ký tự số ở địa chỉ Email
Đăng ký các địa chỉ Email tương tự đáng ngờ
Quản lý các địa chỉ Email tương tự với các TLD khác nhau một các tách biệt
Các cuộc tấn công Email chiều nhận có chủ đích
Yêu cầu bảo mật để chống lại việc chiếm đoạt tài khoản (ATO)
Phát hiện sự thay đổi IP của người gửi
Phát hiện sự thay đổi địa chỉ IP máy chủ Email
Phát hiện sự thay đổi trong các đường dẫn gửi Email
Phát hiện sự thay đổi IP của người gửi
Phát hiện sự thay đổi IP của người gửi
Tầm quan trọng: Bắt buộc / Tham chiếu đến ITU-T X.1236 8.2.3 (1)
- Khi nhận được một Email, cần xác minh địa chỉ IP của người gửi và nếu nó khác với các Email trước đó, người dùng nên được cảnh báo hoặc Email nên bị chặn.
- Việc xác minh này giúp xác thực nguồn gốc của Email và là một biện pháp bảo mật quan trọng để bảo vệ chống lại các mối đe dọa tiềm ẩn.
- Ví dụ, nếu tài khoản của người dùng được truy cập từ một vị trí khác hoặc sử dụng một địa chỉ IP khác so với trước đây, việc phát hiện và cảnh báo người dùng có thể giúp ngăn chặn việc truy cập trái phép hoặc các nỗ lực xâm nhập tài khoản.
- Các kẻ tấn công có thể cố gắng lừa người dùng bằng cách thay đổi địa chỉ IP, vì vậy việc phát hiện sự khác biệt so với các Email trước đây là rất quan trọng.
Phát hiện sự thay đổi địa chỉ IP máy chủ Email
Phát hiện sự thay đổi trong các đường dẫn gửi Email
Các cuộc tấn công Email chiều nhận có chủ đích
Yêu cầu bảo mật để ngăn chặn lừa đảo qua URL
Theo dõi đích cuối của các URL
Theo dõi đích cuối của các URL
Theo dõi đích cuối của các URL
Tầm quan trọng: Bắt buộc / Tham chiếu đến ITU-T X.1236 8.2.4
- Việc phân tích URL hoặc liên kết mà người dùng nhấp vào để theo dõi và xác minh đích cuối cùng của URL đó là rất quan trọng.
- Kỹ thuật chuyển hướng URL là một trong những phương pháp tấn công có thể dẫn người dùng qua nhiều giai đoạn đến một trang web lừa đảo.
- Do đó, cần phải theo dõi tất cả các chuyển hướng URL xảy ra trong chuỗi để hiểu được nơi người dùng cuối cùng sẽ đến và ngăn chặn các hoạt động độc hại trên các trang web được thiết kế để yêu cầu nhập thông tin cá nhân.