روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ تقریباً هر توسعهدهنده راهکارهای امنیت اطلاعات ادعا دارد محصولاتش حملات باجافزاری را دفع میکند. بله درست است: همهی آنها تا درجه خاصی این کار را انجام میدهند اما سوال این است که تا چد حد این لایه حفاظتی قوی است؟ این سوال بیهودهای نیست؛ محافظت جزئی در برابر حملات باجافزاری خود دستاوردی مورد شک است. اگر راهحلی نتواند تهدیدی را در مسیر خود متوقف سازد، پس چه تضمینی است که دست کم فایلهای مهم را امن نگه دارد؟ با در نظر گرفتن این مسئله، شرکت مستقل AV-Test برای تعیین اینکه محصولات پلتفرم محافظت اندپوینت تا چه حد از کاربران خود محافظت میکنند 11 محصول را در 113 حمله مختلف به کار گرفته است. AV-Test برای این تست از Kaspersky Endpoint Security Cloud کمک گرفته است و باید این را نیز بگوییم که مفتخریم محصول ما توانست کل این پروسه را با موفقیت پشت سر بگذارد. در تستها از سه سناریو استفاده شد:
محافظت از فایلهای کاربری در برابر باجافزارهای شایع
اولین سناریوی تست، معمولترین حمله باجافزاری را در نظر داشت؛ حملهای که در آن قربانی بدافزاری را روی کامپیوترش اجرا کرده و بدافزار تلاش میکند به فایلهای لوکال دسترسی پیدا کند. نتیج مثبت یعنی تهدید با هر فایل کاربری واحد که رمزگذاری نشده بود و قابلیت دسترسی داشت خنثی شده است (منظور این است که همه فایلهای بدافزار پاک شده، اجرای پروسهها متوقف گشته و همه تلاشها برای رسیدن به سیستم خنثی شده است). AV-Test 85 تست کلی در این سناریو انجام داد با این 20 خانواده باجافزاری: conti، darkside، fonix، limbozar، lockbit، makop، maze، medusa (ako)، mountlocker، nefilim، netwalker (یا همان malito)، phobos، PYSA (یا همان mespinoza)، Ragnar، Locker، ransomexx (یا همان defray 77)، revil (یا همان Sodinokibi یا Sodin)، ryuk، snatch، stop و wastedlocker. در این سناریو، تقریباً هر راهکار امنیتی کار خود را بخوبی انجام داد که البته جای تعجبی هم ندارد؛ خانواده بدافزارِ معروفی در آن استفاده شده بود. کار در سناریوهای بعدی سختتر خواهد شد.
محافظت در برابر رمزگذاری ریموت
در سناریوی دوم، ماشین محافظتشده فایلهایی را در خود حفظ کرده بود که ازطریق شبکه لوکال قابلیت دسترسی داشتند و این حمله از سوی کامپیوتر دیگری روی همان شبکه انجام گرفته بود (آن کامپیوتر دیگر به هیچ راهکار امنیتی تجهیز نشده بود و همین باعث شده بود مهاجمین بخواهند آزادانه بدافزار را اجرا کرده، فایلهای لوکال را رمزگذاری نموده و بعد روی میزبانهای همسایه به دنبال اطلاعات قابلدسترسی بگردند). این شما و این خانواده بدافزارها در این سناریو: avaddon، conti، fonix، limbozar، lockbit، makop، maze، medusa (ako)، nefilim، phobos، Ragnar Locker، Ransomexx (یا همان defray 777)، revil (یا همان Sodinokibi یا Sodin) و ryuk. راهکار امنیتی وقتی دید پروسه سیستم دارد فایلهای لوکال را دستکاری میکند اما نمیتواند اجرای بدافزار را مشاهده کند نتوانست اعتبار پروسه مخرب و یا فایلی را که آن را کلید شده بود بررسی کند- یا فایل را اسکن نماید. اینطور مشخص شد که از 11 تستدهنده فقط سهتایشان هر نوع محافظتی را در برابر این نوع حمله ارائه داده بودند و فقط Kaspersky Endpoint Security Cloud توانسته بود این کار بینقص انجام دهد. افزون بر این گرچه محصول Sophos در 93 درصد مواقع مورد هدف واقع شده بود اما تنها 7 درصد پوشش کامل محافظتی روی فایلهای کاربر داشت.
محافظت در برابر باجافزار اثبات مفهوم
سناریوی سوم نشان میدهد چطور محصولات با بدافزارهایی که احتمالاً قبلاً با آنها رویارویی نداشتهاند دست و پنجه نرم میکنند. حتی اینطور فرض میگیریم که این بدافزارها در پایگاههای اطلاعاتی بدافزار هم یافت نشدهاند. از آنجایی که امنیت میتواند تهدیدی که هنوز ناشناخته است را شناسایی کند (آن هم تنها بوسیلهی فناوریهای فعالی که به رفتار بدافزارها واکنش نشان میدهند)، محققین 14 نمونه باجافزار تازه را که متودها و فناوریهایی را به کار گرفته بودند که مجرمان سایبری به ندردت استفاده میکنند ساخت؛ همینطور یک سری تکنیک رمزگذاریِ اورجینال که هرگز قبلاً دیده نشده بودند. درست مانند سناریوی اول، آنها موفقیت را شناسایی و بلاک تهدید تعریف کردند؛ از جمله حفظ یکپارچگی همه فایلها روی ماشین قربانی و حذف کامل همه رد و اثر تهدید از جانب کامپیوتر. نتایج مختلف بودند (ESET و Webroot)؛ بدافزاری که سفارشی ساخته شده بود شناسایی نشد. آنهایی که بهتر عمل کردند عبارتند از: WatchGuard 86 درصد، TrendMicro 64 درصد، McAfee و Microsoft 50 درصد.
نتایج تست
به طور خلاصه، Kaspersky Endpoint Security Cloud به نسبت حریفان خود در کل سناریوهای AV-Test بهتر عمل کرد. این راهکار از کاربران در برابر تهدیدهای شناختهشده در بیرون و نیز آنهایی که تازه ساخته شده بودند محافظت کرد.
سناریوی دوم اما حقیقت غیرمنتظرهای را به ما نشان داد: بیشتر محصولات که در حفاظت فایلهای کاربری شکست خورده بودند بهر حال فایلهای باجافزار را پاک کردند. حتی بخش شکستشان را هم کنار بگذاریم، باز هم عمل خوبی تلقی نمیشوند: چنین فایلهایی شاید حاوی اطلاعات فنی باشند که بتواند به ریکاوری دادهی محققین رخداد سایبری کمک بکند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
