محافظت از ایستگاه‌های کار: کنترل انطباقیِ انحراف

26 اسفند 1397 محافظت از ایستگاه‌های کار: کنترل انطباقیِ انحراف

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چطور مجرمان سایبری به ایستگاه‌های کار حمله می‌کنند؟ آن‌ها به طور کلی از آسیب‌پذیری‌های برنامه‌هایی که مرتباً استفاده می‌شوند و یا قابلیت‌های نرم‌افزارهای قانونی که بالقوه خطرناکند سوءاستفاده می‌کنند. البته راه‌های دیگری هم وجود دارد؛ اما این‌ها اساساً رایج‌ترین روش‌های بهره‌جویی‌اند. پس شاید محدود کردن استفاده از چنین نرم‌افزارهایی به نظر منطقی بیاید. اما چطور می‌توان این کار را بدون وارد کردن لطمه به فرآیندهای سازمانی انجام داد؟ اینکه بی محابا و بدون فکر نرم‌افزاری را مسدود کنیم می‌تواند آسیب بسیار جدی‌ای به یک شرکت وارد کند؛ از همین روست که باید به تفاوت نقش هر یک از کارمندان توجه شود. رویکرد ما در این راستا، کاهش کنترل سطح حمله از طریق کنترل انطباقیِ انحراف[1] با استفاده از فناوری‌های یادگیری ماشین بوده است.

برای سال‌ها، مایکروسافت آفیس[2] به داشتن آسیب‌پذیری‌های مورد بهره‌برداری‌شده معروف بود اما این‌ها به این معنی نیست که این نرم‌افزار بد است. حقیقت این است که آسیب‌پذیری‌ها همه‌جا هستند... و مشکل تنها اینجاست که مجرمان سایبری به دلیل شهرت و وسعت کاربرد برنامه‌های مایکروسافت مسلماً نسبت به سایر همتاها، روی آن توجه و تمرکز بیشتری دارند. حتی اگر شرکت‌ آماده‌ی پرداخت پول بیشتر جهت آموزش مجدد کارمندان برای استفاده از برنامه‌ی جایگزین هم باشد، باز به محض محبوب شدن محصول جایگزین، آن هم به دام مجرمان سایبری خواهد افتاد. پس به هر روی، محبوبیت و شهرت تاوان دارد و تاوانش هم بودن در تیررس نگاه‌هاست.

برخی محصولات دارای قابلیت‌هایی‌اند که آشکارا خطرناکند. برای مثال، ماکروهای[3] داخل همان آفیس می‌توانند برای اجرای کد آلوده مورد استفاده قرار گیرند. اما یک ممنوعیت خشک و خالی هم کاری از پیش نمی‌برد؛ تحلیلگران مالی و حسابداران به این ابزار در عملیات‌های روزانه‌ی خود نیازمندند. منتها می‌بایست روی این برنامه‌ها نهایت نظارت را داشت و تنها در صورت شناسایی فعالیت‌های غیرمعمول در روند آن‌ها دخالت کرد.

"غیرمعمول" را چطور می‌توان تعریف کرد؟

اساساً مجرمان سایبری طوری اقدام می‌کنند که گویی تمام کارهایشان قانونی است. در حقیقت به چشم سیستم‌های امنیتی تمامی فعالیت‌هایشان موجه به نظر می‌آید. پس یک سیستم امنیت سایبری چطور می‌تواند تشخیص دهد آیا پیام ارسال‌شده به یک کارمند حاوی داکیومنت مهم به همراه یک ماکرو است یا تروجان؟ آیا آن فرد تنها برای مقاصد کاری اقدام به ارسال فایل  js. کرده یا این فایل در خود ویروسی را به طور پنهانی جای داده است؟ این امکان هم وجود دارد (دست کم به لحاظ نظری) که بتوان به طور دستی عملکرد هر کارمند را تحلیل کرد و مطمئن شد به چه ابزارهایی نیاز داشته و یا نیاز ندارند. و بعد می‌توان بر اساس اطلاعات بدست آمده مدل تهدیدی ساخت و بطور موشکافانه‌ای برخی قابلیت‌های برنامه را مسدود کرد. اما درست در همین مرحله است که پیچیدگی‌های مختلف روی کار می‌آیند. اول از همه اینکه، هر قدر شرکت بزرگ‌تر باشد سخت‌تر می‌توان برای هر کارمند مدل دقیقی طراحی کرد. دوم اینکه حتی در شرکت‌های کوچک هم تنظیمات دستی زمان و تلاش زیادی از مدیران می‌گیرد. سوم اینکه، این پروسه احتمالاً با تغییر زیرساخت‌های سازمانی و یا ابزارها می‌بایست مدام تکرار گردد. محض سلامت فکری مدیران و مسئولان امنیت آی‌تی تنها راه اتوماتیزه کردن فرآیند تنظیماتِ محدودیت‌هاست.

کنترل انطباقی

ما فرآیند اتوماتیزه را به روش‌های زیر اعمال نموده‌ایم:

ابتدا، سیستم‌های ساخته شده بر پایه‌ی اصول فناوری یادگیری ماشین شروع کردند به جست‌وجوی پایگاه‌های اطلاعاتی تهدید ما و بعد الگوهایی استاندارد از فعالیت بالقوه آلوده تولید کردند. بعد شروع کردیم به اجرای بلوکه کردنِ دقیق این الگوها روی هر ایستگاه کاریِ مشخص. دوم اینکه "حالت انطباق اتوماتیک"[4] (همان حالت هوشمند) ساختیم تا بواسطه‌ی آن بتوانیم فعالیت کاربر را تحلیل نموده و تعیین کنیم کدام قوانین را می‌توان پیاده کرد و کدامیک می‌توانند در یک عملیات معمول تداخل ایجاد کنند.

عملکردش به شرح زیر است:

سیستم ابتدا آمار مربوط به هدف‌گیریِ قوانین نظارتیِ یک بازه‌ی زمانی‌ مشخص -در حالت یادگیری- را جمع‌آوری نموده و بعد مدلی از عملکرد معمول کاربر یا گروه طراحی می‌کند (سناریوی قانونی). بعد از آن، حالت یادگیری غیرفعال می‌شود و تنها آن دسته از قوانین نظارتی که کارشان مسدود کردن اقدامات نامعمول است فعال می‌شوند.

در صورتی که مدل کاری کاربر تغییر داده شد، سیستم می‌تواند به حالت یادگیری سوئیچ شود و به سناریوی جدید سازگار گردد. علاوه بر این، در صورت نیاز به اضافه شدن برخی محرومیت‌ها، آپشنی برای تنظیم دقیق نیز وجود دارد. شاید اکسیر نجات‌دهنده نباشد اما به طور قابل ملاحظه‌ای سطح حملات احتمالی را کاهش می‌دهد.

شکل دادن بخشی از امنیت اندپوینت کسپرسکی (به روز شده) برای راه‌حل پیشرفته‌ی سازمانی، کار ماژول کنترل انطباقیِ انحراف (AAC) است؛ چیزی که به تازگی از آن به طور عمومی پرده برداشتیم.

 

[1] adaptive anomaly control

[2] MS Office

[3]ماکرو (Macro) در حقیقت دستورات و عملیات ضبط شده‌ای است که در مواقع نیاز با یک کلیک فراخوانی می‌شوند.

[4] automatic adaptation mode

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    4,255,750 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,515,250 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    6,082,750 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    2,282,300 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,282,300 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    3,037,750 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد