روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چطور مجرمان سایبری به ایستگاههای کار حمله میکنند؟ آنها به طور کلی از آسیبپذیریهای برنامههایی که مرتباً استفاده میشوند و یا قابلیتهای نرمافزارهای قانونی که بالقوه خطرناکند سوءاستفاده میکنند. البته راههای دیگری هم وجود دارد؛ اما اینها اساساً رایجترین روشهای بهرهجوییاند. پس شاید محدود کردن استفاده از چنین نرمافزارهایی به نظر منطقی بیاید. اما چطور میتوان این کار را بدون وارد کردن لطمه به فرآیندهای سازمانی انجام داد؟ اینکه بی محابا و بدون فکر نرمافزاری را مسدود کنیم میتواند آسیب بسیار جدیای به یک شرکت وارد کند؛ از همین روست که باید به تفاوت نقش هر یک از کارمندان توجه شود. رویکرد ما در این راستا، کاهش کنترل سطح حمله از طریق کنترل انطباقیِ انحراف[1] با استفاده از فناوریهای یادگیری ماشین بوده است.
برای سالها، مایکروسافت آفیس[2] به داشتن آسیبپذیریهای مورد بهرهبرداریشده معروف بود اما اینها به این معنی نیست که این نرمافزار بد است. حقیقت این است که آسیبپذیریها همهجا هستند... و مشکل تنها اینجاست که مجرمان سایبری به دلیل شهرت و وسعت کاربرد برنامههای مایکروسافت مسلماً نسبت به سایر همتاها، روی آن توجه و تمرکز بیشتری دارند. حتی اگر شرکت آمادهی پرداخت پول بیشتر جهت آموزش مجدد کارمندان برای استفاده از برنامهی جایگزین هم باشد، باز به محض محبوب شدن محصول جایگزین، آن هم به دام مجرمان سایبری خواهد افتاد. پس به هر روی، محبوبیت و شهرت تاوان دارد و تاوانش هم بودن در تیررس نگاههاست.
برخی محصولات دارای قابلیتهاییاند که آشکارا خطرناکند. برای مثال، ماکروهای[3] داخل همان آفیس میتوانند برای اجرای کد آلوده مورد استفاده قرار گیرند. اما یک ممنوعیت خشک و خالی هم کاری از پیش نمیبرد؛ تحلیلگران مالی و حسابداران به این ابزار در عملیاتهای روزانهی خود نیازمندند. منتها میبایست روی این برنامهها نهایت نظارت را داشت و تنها در صورت شناسایی فعالیتهای غیرمعمول در روند آنها دخالت کرد.
"غیرمعمول" را چطور میتوان تعریف کرد؟
اساساً مجرمان سایبری طوری اقدام میکنند که گویی تمام کارهایشان قانونی است. در حقیقت به چشم سیستمهای امنیتی تمامی فعالیتهایشان موجه به نظر میآید. پس یک سیستم امنیت سایبری چطور میتواند تشخیص دهد آیا پیام ارسالشده به یک کارمند حاوی داکیومنت مهم به همراه یک ماکرو است یا تروجان؟ آیا آن فرد تنها برای مقاصد کاری اقدام به ارسال فایل js. کرده یا این فایل در خود ویروسی را به طور پنهانی جای داده است؟ این امکان هم وجود دارد (دست کم به لحاظ نظری) که بتوان به طور دستی عملکرد هر کارمند را تحلیل کرد و مطمئن شد به چه ابزارهایی نیاز داشته و یا نیاز ندارند. و بعد میتوان بر اساس اطلاعات بدست آمده مدل تهدیدی ساخت و بطور موشکافانهای برخی قابلیتهای برنامه را مسدود کرد. اما درست در همین مرحله است که پیچیدگیهای مختلف روی کار میآیند. اول از همه اینکه، هر قدر شرکت بزرگتر باشد سختتر میتوان برای هر کارمند مدل دقیقی طراحی کرد. دوم اینکه حتی در شرکتهای کوچک هم تنظیمات دستی زمان و تلاش زیادی از مدیران میگیرد. سوم اینکه، این پروسه احتمالاً با تغییر زیرساختهای سازمانی و یا ابزارها میبایست مدام تکرار گردد. محض سلامت فکری مدیران و مسئولان امنیت آیتی تنها راه اتوماتیزه کردن فرآیند تنظیماتِ محدودیتهاست.
کنترل انطباقی
ما فرآیند اتوماتیزه را به روشهای زیر اعمال نمودهایم:
ابتدا، سیستمهای ساخته شده بر پایهی اصول فناوری یادگیری ماشین شروع کردند به جستوجوی پایگاههای اطلاعاتی تهدید ما و بعد الگوهایی استاندارد از فعالیت بالقوه آلوده تولید کردند. بعد شروع کردیم به اجرای بلوکه کردنِ دقیق این الگوها روی هر ایستگاه کاریِ مشخص. دوم اینکه "حالت انطباق اتوماتیک"[4] (همان حالت هوشمند) ساختیم تا بواسطهی آن بتوانیم فعالیت کاربر را تحلیل نموده و تعیین کنیم کدام قوانین را میتوان پیاده کرد و کدامیک میتوانند در یک عملیات معمول تداخل ایجاد کنند.
عملکردش به شرح زیر است:
سیستم ابتدا آمار مربوط به هدفگیریِ قوانین نظارتیِ یک بازهی زمانی مشخص -در حالت یادگیری- را جمعآوری نموده و بعد مدلی از عملکرد معمول کاربر یا گروه طراحی میکند (سناریوی قانونی). بعد از آن، حالت یادگیری غیرفعال میشود و تنها آن دسته از قوانین نظارتی که کارشان مسدود کردن اقدامات نامعمول است فعال میشوند.
در صورتی که مدل کاری کاربر تغییر داده شد، سیستم میتواند به حالت یادگیری سوئیچ شود و به سناریوی جدید سازگار گردد. علاوه بر این، در صورت نیاز به اضافه شدن برخی محرومیتها، آپشنی برای تنظیم دقیق نیز وجود دارد. شاید اکسیر نجاتدهنده نباشد اما به طور قابل ملاحظهای سطح حملات احتمالی را کاهش میدهد.
شکل دادن بخشی از امنیت اندپوینت کسپرسکی (به روز شده) برای راهحل پیشرفتهی سازمانی، کار ماژول کنترل انطباقیِ انحراف (AAC) است؛ چیزی که به تازگی از آن به طور عمومی پرده برداشتیم.
[1] adaptive anomaly control
[2] MS Office
[3]ماکرو (Macro) در حقیقت دستورات و عملیات ضبط شدهای است که در مواقع نیاز با یک کلیک فراخوانی میشوند.
[4] automatic adaptation mode
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
