7 طرق لتعزيز أمن البريد الإلكتروني

لمجابهة الثغرات وهجمات المتسللين

على الرغم من وجود الثغرات الأمنية التي تتهددها، فإن خدمات البريد الإلكتروني تظل قابعة في صميم الاتصالات التجارية، ومن غير المتوقع الاستغناء عنها قريبا.
والبريد الإلكتروني، وبفضل استخدامه واسع النطاق وبشكل لا يصدق، يستمر في أنه أداة مهمة للاتصالات في البيئات التجارية. وبمنتهى البساطة، لا يوجد له منافس، بينما يعد كثير من الناس في بعض الأحيان البريد الإلكتروني أداة للاتصالات أكثر أهمية من الهاتف.
ومع ذلك، ونظرا لأن البريد الإلكتروني تم تصميمه منذ فترة طويلة، إضافة إلى قلة أعداد التدابير الأمنية المدمجة فيه، فإن مديري تكنولوجيا المعلومات وخبراء الأمن الإلكتروني يواجهون أوقاتا عصيبة في تأمينه.
* ثغرات أمنية
في معظم المؤسسات، ينبغي ألا يعد البريد الإلكتروني مطلقا وسيلة من وسائل الاتصالات الآمنة، فهناك ثغرات أمنية كثيرة في كل مكان، ومن بينها كيفية تأمين البريد الإلكتروني في أجهزة المستخدمين النهائيين، وكيفية تخزينها على خوادم البريد الإلكتروني، وكيفية إرسال الرسائل عبر شبكات المؤسسات وعبر الإنترنت.
وعمليات التصيد اليومية وغيرها من هجمات البرمجيات الخبيثة على البريد الإلكتروني في المؤسسات هي من مصادر الإزعاج اليومية المتزايدة. كما تزداد عمليات الاختراق المتطورة للبريد الإلكتروني يوميا، وهي تخدع حتى أكثر المستخدمين براعة في عالم التكنولوجيا.
وهناك عدد من التطورات الأخيرة في مجال تأمين البريد الإلكتروني، وبعض التطورات التي تحاول التعامل مع الاستيلاء على البريد الإلكتروني، حتى يمكنك التأكد من أن رسالة البريد الإلكتروني قادمة بالفعل من المرسل. وهناك أبحاث أخرى حول سبل تحسين التشفير بين الطرفين، مع خيارات لسهولة الاستخدام، وبعض منها إلزامي. وأخيرا، هناك كثير من التطورات التي تسعى لتقليل وإزالة التصيد، والبرمجيات الخبيثة، وغيرها من الرسائل غير المرغوب فيها.
ونظام البريد الإلكتروني على النحو الذي نعرفه يقف عند مفترق للطرق؛ فإما أن تحاول التكنولوجيا، ومن يديرونها، تبني التدابير الأمنية على وجه السرعة تلك التي تحمي بيانات البريد الإلكتروني أثناء العمل وأثناء الحركة، أو يتعين علينا الانتقال إلى حلول جديدة تم بناؤها حول أطر أمنية.
وبالنظر إلى مدى عمق استخدام البريد الإلكتروني في حياتنا اليومية، فإننا في حاجة إلى منح طرق تأمين البريد الإلكتروني الفرصة قبل أن يُقذف به إلى مزبلة تاريخ التكنولوجيا. وفي ما يلي نستعرض سبع طرق لتعزيز أمن بريدك الإلكتروني، وفقا لمجلة «إنفورميشن ويك».
* البريد الإلكتروني الرمادي
* البريد الإلكتروني الرمادي «Graymail». يُطلق هذا المصطلح على البريد الإلكتروني غير المزعج، لأن المستقبِل يوافق أو يختار أن يتلقى تلك الرسائل. ونتيجة لهذه الموافقة، فإن البريد الإلكتروني الرمادي يتجاوز راشحات البريد المزعج ويظهر في معظم صناديق البريد الإلكتروني. والأسوأ من ذلك، عند النقر على زر «إلغاء الاشتراك» لإزالة عنوان بريدك من مختلف عروض التسويق ورسائل البريد الإلكتروني بالجملة، يمكن تخزين عنوان البريد الإلكتروني الخاص بك ثم بيعه للقراصنة والمتسللين لاستخدامه في محاولات التصيد والبرمجيات الخبيثة المستقبلية.
هناك أدوات جديدة لاكتشاف البريد الإلكتروني الرمادي والحدّ منه، مثل جهاز «إيميل سيكيورتي آبلاينس» (Email Security Appliance (ESA، من شركة «سيسكو» الأميركية، الذي يساعد في اكتشاف وإلغاء الاشتراك الآمن من البريد الإلكتروني الرمادي بالنيابة عنك.
*مصادقة نظام اسم النطاق. أصدر «المعهد الوطني للمعايير والتكنولوجيا» الأميركي مؤخرا مشروعا للمصادقة على أساس التدقيق في صحة نظام اسم النطاق للكيانات المسماة (DNS - based Authentication of Named Entities (DANE بالنسبة لنظم البريد الإلكتروني. والمفهوم الكامن وراء المصادقة على أساس نظام اسم النطاق هو توفير الأدوات لتشفير رسائل البريد الإلكتروني (باستخدام آمن لطبقات النقل) ما بين خوادم البريد الإلكتروني. ثم، يمكن للمستخدم النهائي تطبيق التوقيع الإلكتروني وتشفير الرسائل الصادرة، بينما يستطيع الحصول على شهادات المرسلين والتحقق منها من أجل فك شفرات الرسائل المرسلة إليهم.
*البريد ذاتي التدمير. أعلنت شركة «غوغل» مؤخرا عن إصدار أحد البرامج الإضافية على متصفح «كروم» الذي يسمح لمستخدم بريد «غوغل» الإلكتروني (جي - ميل) بتحديد توقيت معين لا يمكن بعده للمستقبل قراءة رسالة البريد الإلكتروني. والأسلوب المستخدم يعمل على تشفير الرسائل المرسلة باستخدام أداة تسمى (دي - ميل Dmail). وبمجرد انتهاء الفترة، أو إذا قام المرسل بنفسه بتدمير القدرة على قراءة البريد الإلكتروني، فإن المستقِبل للبريد لن تكون لديه مفاتيح فك شفرة الرسالة، مما يجعلها غير صالحة للقراءة.
* تحليل البرمجيات الضارة
*التحليل السحابي للبرمجيات الضارة. ألن يكون جميلا إذا ما أزيلت روابط البرمجيات الضارة وروابط التصيّد تلقائيا قبل وصول الرسالة إلى سيرفر البريد الإلكتروني خاصتك؟ ذلك جزء مما يمكن لخدمات التحليل السحابي للبرمجيات الضارة فعله.
والمفهوم يكمن في ترشيح رسائل البريد الإلكتروني عبر نظام متقدم للكشف عن التهديدات على المستوى السحابي، الذي يمكنه تحليل وتحديد رسائل البريد الإلكتروني المشتبه فيها على شبكة مستقلة تماما. والجزء الأفضل في مثل تلك الخدمات هو أنها تستخدم نظم الذكاء عالميا في اكتشاف هجمات البرمجيات الخبيثة في أماكن أخرى من العالم، وتوقفها قبل وصولها إلى بريدك الإلكتروني.
* تشفير البريد
*التشفير السهل للبريد الإلكتروني صار قريبا (يوما ما). تشفير البريد الإلكتروني كان موجودا منذ فترة طويلة، ولكن عددا قليلا من الناس يستخدمونه. في الماضي، كان من الصعب استخدامه، وكان يتطلب من المستقبِل إما تثبيت برمجيات معينة على جهازه، أو القفز عبر الأطواق الأمنية، مما يجعل من عملية التشفير وفكه، عملية مرهقة. ولكن مع انتقال البريد الإلكتروني للعمل عبر الإنترنت، فهناك إشارات للأمل الحقيقي في ذلك.
على سبيل المثال، أعلنت شركة «ياهو» مؤخرا عن برنامج إضافي لتشفير البريد الإلكتروني عند الطرفين في خدمات البريد الإلكتروني لديها. وواصلت «ياهو» الاقتراح على موفري خدمات البريد الإلكتروني الآخرين لبناء حلول توافقية حتى يمكننا، مرة واحدة وللأبد، الحصول على تشفير من الطرفين من دون مشاحنات.
*إذا لم تؤمن الرسالة، فلن نرسلها. في محاولة لتوفير اعتبارات أمنية أفضل لأنظمة تشغيل كومبيوترات سطح المكتب والأجهزة الجوالة، تبدأ الشركات المصنعة في إجبار المستخدمين وموفري خدمات البريد الإلكتروني على استخدام تدابير أمنية صارمة وعميقة حتى يمكن حماية البيانات الموجودة على أجهزتهم.
شركة «أبل» على سبيل المثال، طلبت في الآونة الأخيرة أن تطبق خوادم البريد الإلكتروني آليات فائقة الأمان من التشفير لإصلاح إحدى نقاط الضعف المعروفة. وإذا لم تهتم بتحديث جهازك وفقا لذلك، فسوف يتوقف خادم البريد الإلكتروني عن تلقي الرسائل الصادرة من نظم التشغيل «آي أو إس» و«أو إس إكس» لدى «أبل».
*إعادة بناء بنية البريد الإلكتروني، أي البدء من الصفر. في النهاية، لم يكن المقصود أن تكون بنية ومعمارية البريد الإلكتروني الحالي لدينا، آمنة بحال. وفي بعض الأحيان، من الأفضل أن نبدأ من جديد لإنجاز ما نريده في ذلك. وذلك بالضبط ما عمدت خدمات الرسائل الكبرى مثل «أبل» - (آي ميسج)، و«فيسبوك» - (تشات)، و«مايكروسوفت» - (سكايب)، ومؤسسة «سايلنت سيركل»، إلى تنفيذه. فقد أعادوا اختراع دورة البريد الإلكتروني من أجل توفير الحلول الأمنية المدمجة، بدلا من البحث عن الحلول عقب وقوع الكارثة.
وتعد أحدث التطورات في تأمين البريد الإلكتروني واعدة، ولكنها قد تكون باهظة التكاليف، وتستغرق وقتا أطول في التنفيذ، وتتطلب في نهاية الأمر دعما من صناع القرار بالمؤسسات. وباعتبار أهمية الموضوع بالنسبة لتأمين بيانات الشركات في هذه الأيام، فينبغي ألا يكون صعبا الحصول على التمويل اللازم للدعم، بمجرد أن تكون تلك التقنيات جاهزة لاستخدامها من قبل المؤسسات.