التقارير التي تفيد بسرقة 1.7 مليون دولار من NFTs من مستخدمي OpenSea في هجوم تصيد في السوق، دفعت أمان البريد الإلكتروني، مرة أخرى، إلى دائرة الضوء العالمية.
يسلط الهجوم الضوء على ضعف البريد الإلكتروني؛ تشير معظم التقديرات إلى أن البريد الإلكتروني هو السبب الجذري لأكثر من 90% من جميع الهجمات الإلكترونية الناجحة. وعلى الرغم من أن هجمات اختراق البريد الإلكتروني للأعمال (BEC) business email compromise تشكل نسبة صغيرة من الهجمات، إلا أنها تسبب أكبر قدر من الضرر: تشير بياناتنا إلى أن BEC تمثل 1.3% من الهجمات ولكنها كانت ستؤدي إلى خسائر مباشرة تزيد عن 354 مليون دولار.
أصبح المتسللون Hackers أكثر تعقيدًا في محاولات البريد الإلكتروني للتصيد الاحتيالي phishing email attempts لسرقة البيانات الشخصية وبيانات الشركة. ينتحل المهاجمون صفة العلامات التجارية المعترف بها ويستخدمون خدمات استضافة سحابية شرعية مثل Google Cloud و Microsoft OneDrive في ترسانتهم، والتي يمكنها تجاوز أنظمة الأمان والمستخدمين. يستخدم المهاجمون تكتيكات الهندسة الاجتماعية، التي تنشأ غالبًا في رابط مضمن في رسالة بريد إلكتروني للتصيد الاحتيالي، للتلاعب والحصول على وصول غير مصرح به إلى أنظمة الشركة أو المعلومات الشخصية. من المؤكد أن الهجمات الأكثر إقناعًا تتطلب تقنية متقدمة ومحللين أمنيين مدربين لتحديدها. وبالتالي، يجب على الشركات إعادة تقييم نهجها لأمان البريد الإلكتروني وحقوق المستخدمين.
أصبح الدفاع ضد التهديدات المستندة إلى البريد الإلكتروني أكثر صعوبة، حتى مع الجيل التالي من تقنيات الوصول إلى الشبكة بدون ثقة (ZTNA) zero-trust network access المصممة للتخفيف من الحركة الجانبية للتطبيقات والبرامج النصية الضارة.
التعليم والتدريب مهمان. ومع ذلك، تحتاج الشركات إلى تقنيات أمان بريد إلكتروني فعالة وخاضعة للمساءلة لسد الفجوة بين جنون الشك غير الموثوق به وثقة الإنسان. يعتمد مبدأ الأمان هذا على فكرة "قانون حقوق البريد الإلكتروني Email Bill of Rights" لاستعادة الثقة في بيئة التهديد الحديثة. يجب أن تكون توقعات المستهلك أن البريد الإلكتروني آمن، إلى حد كبير بالطريقة التي يمكن بها قيادة السيارة دون تعطل.
يجب أن يكون لكل شخص حق أساسي في إرسال بريد إلكتروني خاص وجدير بالثقة وآلي وقابل للتكيف - وبالتالي فهو آمن.
يسلط الهجوم الضوء على ضعف البريد الإلكتروني؛ تشير معظم التقديرات إلى أن البريد الإلكتروني هو السبب الجذري لأكثر من 90% من جميع الهجمات الإلكترونية الناجحة. وعلى الرغم من أن هجمات اختراق البريد الإلكتروني للأعمال (BEC) business email compromise تشكل نسبة صغيرة من الهجمات، إلا أنها تسبب أكبر قدر من الضرر: تشير بياناتنا إلى أن BEC تمثل 1.3% من الهجمات ولكنها كانت ستؤدي إلى خسائر مباشرة تزيد عن 354 مليون دولار.
أصبح المتسللون Hackers أكثر تعقيدًا في محاولات البريد الإلكتروني للتصيد الاحتيالي phishing email attempts لسرقة البيانات الشخصية وبيانات الشركة. ينتحل المهاجمون صفة العلامات التجارية المعترف بها ويستخدمون خدمات استضافة سحابية شرعية مثل Google Cloud و Microsoft OneDrive في ترسانتهم، والتي يمكنها تجاوز أنظمة الأمان والمستخدمين. يستخدم المهاجمون تكتيكات الهندسة الاجتماعية، التي تنشأ غالبًا في رابط مضمن في رسالة بريد إلكتروني للتصيد الاحتيالي، للتلاعب والحصول على وصول غير مصرح به إلى أنظمة الشركة أو المعلومات الشخصية. من المؤكد أن الهجمات الأكثر إقناعًا تتطلب تقنية متقدمة ومحللين أمنيين مدربين لتحديدها. وبالتالي، يجب على الشركات إعادة تقييم نهجها لأمان البريد الإلكتروني وحقوق المستخدمين.
أصبح الدفاع ضد التهديدات المستندة إلى البريد الإلكتروني أكثر صعوبة، حتى مع الجيل التالي من تقنيات الوصول إلى الشبكة بدون ثقة (ZTNA) zero-trust network access المصممة للتخفيف من الحركة الجانبية للتطبيقات والبرامج النصية الضارة.
التعليم والتدريب مهمان. ومع ذلك، تحتاج الشركات إلى تقنيات أمان بريد إلكتروني فعالة وخاضعة للمساءلة لسد الفجوة بين جنون الشك غير الموثوق به وثقة الإنسان. يعتمد مبدأ الأمان هذا على فكرة "قانون حقوق البريد الإلكتروني Email Bill of Rights" لاستعادة الثقة في بيئة التهديد الحديثة. يجب أن تكون توقعات المستهلك أن البريد الإلكتروني آمن، إلى حد كبير بالطريقة التي يمكن بها قيادة السيارة دون تعطل.
يجب أن يكون لكل شخص حق أساسي في إرسال بريد إلكتروني خاص وجدير بالثقة وآلي وقابل للتكيف - وبالتالي فهو آمن.
التعديلات المقترحة على قانون حقوق أمان البريد الإلكتروني:
حق الناس في الخصوصية The right of the people for privacy
للمستهلكين الحق في حساب بريد إلكتروني، يجب حجز محتوياته للمرسلين والمستلمين المقصودين. في حالة عدم وجود اعتراضات قانونية، يجب على المنظمات والأشخاص أن يستريحوا بسهولة مع العلم أن محتويات صندوق الوارد الخاص بهم قد تم حفظها بأمان لعيون صاحب الحساب المعتمد.
احتيال الاستيلاء على الحساب (ATO) Account Takeover، وهو شكل من أشكال سرقة الهوية يكتسب فيه المحتال إمكانية الوصول إلى حسابات الضحايا وهجمات سلسلة التوريد Supply-chain attacks على غرار خادم Microsoft Exchange Server، حيث يصبح صندوق البريد الإلكتروني الذي تستخدمه الشركات عرضة للخطر من خلال رباعي من الصفر- المآثر اليومية، لا تزال تتطلب اهتمامًا خاصًا. لكن هذه الخروقات لا تنبع من "خطأ بشري" بالمعنى التقليدي.
يجب أن تنفذ مؤسسات الأمن الداخلي للشركات ضوابط مصادقة قوية متعددة العوامل وأن تنظر بحذر لإصلاح الثغرات الأمنية في تكنولوجيا المعلومات بمجرد الكشف عنها للتخفيف من التهديدات السيبرانية.
أن يتمتع بنظام جدير بالثقة Shall enjoy a trustworthy system
في بيئة الأمان الخالية من الثقة، قد تبدو الجدارة بالثقة وكأنها جسر بعيد جدًا بالنسبة لاتصالات البريد الإلكتروني.
على الرغم من عدم الثقة في أنظمة تكنولوجيا المعلومات، يجب أن تكون هناك تقنيات أمان بريد إلكتروني مناسبة جاهزة لـ ZTNA والتي تحقق التوازن الصحيح بين مصادقة الثقة الصفرية والتفويض وراحة البال. الثقة المعدومة Zero trust لا تعني عدم الثقة في الموظفين. يمكن للشركات السماح بالوصول المصدق بناءً على أبعاد الثقة الرئيسية مع ضمان إمكانية تقليل فقدان البيانات إلى الحد الأدنى، ويمكن معالجة الحوادث بسرعة. حتى مع تقنية أمان البريد الإلكتروني المتطورة، تحتاج الشركات إلى تعزيز ثقافة أمان الثقة - ولكن تحقق.
لا يجوز رفض الأتمتة Automation shall not be denied
يجب أن تتمتع المؤسسات الحديثة بمزايا حل أمان البريد الإلكتروني الذي يقلل من الحاجة إلى التدخل اليدوي والضبط الدقيق. أظهر بحثنا أن التحليل اليدوي لرسائل البريد الإلكتروني المخادعة التي تتسلل عبر الثغرات، وضبط القواعد والسياسات الأمنية لتعويضها هو اقتراح ميؤوس منه، عند التعامل مع التهديدات السريعة والمعقدة. بالإضافة إلى ذلك، تشكل التهديدات الفائتة أقل من 0.5% من حركة البريد الإلكتروني الشهرية في المتوسط. ومع ذلك، لا يتطلب الأمر سوى تهديد ضائع واحد للتسبب في كارثة أمنية تلحق الضرر بعمليات الشركة وتكلف الملايين.
يمكن للذكاء الاصطناعي (AI) Artificial intelligence والأتمتة automation الحفاظ على البريد الوارد للشركة نظيفًا وملائمًا وآمنًا وجديرًا بالثقة وموثوقًا. من خلال تسخير قوة الأتمتة، يمكن للشركات تفويض موظفي الأمن وتكنولوجيا المعلومات لديها للتركيز على أولويات المخاطر الحرجة، بينما تقوم التطبيقات التي تعمل بالذكاء الاصطناعي بسرعة وموثوقية ودقة بتصفية رسائل البريد الإلكتروني الضارة على نطاق واسع. مع تعامل الشركات مع مئات الملايين من رسائل البريد الإلكتروني الواردة يوميًا، لم تكن الحاجة إلى الكشف الآلي عن التهديدات أكبر من أي وقت مضى.
التكيف، أمر ضروري Adaptiveness, being necessary
حملات التصيد تتعلق بالسلوك البشري. هذا البريد الإلكتروني من بائع التجزئة المفضل لديك حول عرض خاص لك فقط؟ يستخدم المهاجمون هذه التقنية لجذب الأشخاص للنقر فوق الروابط التي توجههم إلى مواقع ويب مزيفة حيث يكشفون عن معلومات شخصية أو معلومات عن الشركة. يمكن أن يساعد النظر إلى هذه السلوكيات وكيفية تفاعل الأشخاص مع بريدهم الإلكتروني في تحديد ما إذا كانت أفعالهم آمنة أو ما إذا كانت تشكل خطرًا أمنيًا. نتيجة لذلك، يجب أن تكون تقنية أمان البريد الإلكتروني قابلة للتكيف. يجب أن تنشر تقنيات تصفية البريد الوارد التعلم المستمر والتحليلات المتقدمة لتسهيل الفهم المستمر للتهديدات الجديدة.
يستفيد ممثلو التهديدات الإلكترونية من التقنيات المتطورة لشن هجمات التصيد الاحتيالي، سواء كان التصيد الاحتيالي الذي يستهدف أفرادًا محددين بما يبدو أنه تقارير أصلية عن مستندات للتصيد أو التصيد الصوتي، والذي يتضمن رسائل صوتية مزيفة أو رسائل بريد إلكتروني تحتوي على ملفات أو رسائل صوتية المصممة لقيادة الضحية للاتصال مرة أخرى لتقديم المعلومات الشخصية التي سيتم استخدامها في هجمات أخرى. يجب أن يفترض المدافعون أن المهاجمين يستفيدون من التكنولوجيا المتقدمة ويسعون للحفاظ على التفوق في سباق التسلح السيبراني الذي لا هوادة فيه.
المفتاح هو دفع حدود التعلم الآلي Machine Learning وعلوم البيانات Data Science باستمرار وتخصيص موارد كبيرة لأبحاث استخبارات التهديدات الإلكترونية. بهذه الطريقة، يمكن للشركات أن تؤكد للعملاء أنها تتطور باستمرار عبر نفس النطاق مثل الجيل التالي من التهديدات المرسلة عبر البريد الإلكتروني.
نحن، مستخدمي البريد الإلكتروني We, the email users
في مواجهة التهديدات المعقدة بشكل متزايد، حان الوقت للشركات لإعادة التفكير في إستراتيجية أمان البريد الإلكتروني. يمكن لمجتمع الأمن السيبراني مساعدة الشركات على التخفيف من التهديدات السيبرانية عند المصدر واستعادة الثقة في عالم Web3 الذي يزداد انعدام الثقة.
ليس من غير المعقول في عام 2022 أن يتوقع المستهلكون الحق في الخصوصية والثقة والأمان والمساءلة من خدمات البريد الإلكتروني الخاصة بهم. لم يعد هذا ترفًا، ولكنه ضرورة في عالم يعتمد على الاتصالات الرقمية.
