روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تقریباً هر توسعه‌دهنده راهکارهای امنیت اطلاعات ادعا دارد محصولاتش حملات باج‌افزاری را دفع می‌کند. بله درست است: همه‌ی آن‌ها تا درجه خاصی این کار را انجام می‌دهند اما سوال این است که تا چد حد این لایه حفاظتی قوی است؟ این سوال بیهوده‌ای نیست؛ محافظت جزئی در برابر حملات باج‌افزاری خود دستاوردی مورد شک است. اگر راه‌حلی نتواند تهدیدی را در مسیر خود متوقف سازد، پس چه تضمینی است که دست کم فایل‌های مهم را امن نگه دارد؟ با در نظر گرفتن این مسئله، شرکت مستقل AV-Test برای تعیین اینکه محصولات پلت‌فرم محافظت اندپوینت تا چه حد از کاربران خود محافظت می‌کنند 11 محصول را در 113 حمله مختلف به کار گرفته است. AV-Test برای این تست از Kaspersky Endpoint Security Cloud کمک گرفته است و باید این را نیز بگوییم که مفتخریم محصول ما توانست کل این پروسه را با موفقیت پشت سر بگذارد. در تست‌ها از سه سناریو استفاده شد:

محافظت از فایل‌های کاربری در برابر باج‌افزارهای شایع

اولین سناریوی تست، معمول‌ترین حمله باج‌افزاری را در نظر داشت؛ حمله‌ای که در آن قربانی بدافزاری را روی کامپیوترش اجرا کرده و بدافزار تلاش می‌کند به فایل‌های لوکال دسترسی پیدا کند. نتیج مثبت یعنی تهدید با هر فایل کاربری واحد که رمزگذاری نشده بود و قابلیت دسترسی داشت خنثی شده است (منظور این است که همه فایل‌های بدافزار پاک شده، اجرای پروسه‌ها متوقف گشته و همه تلاش‌ها برای رسیدن به سیستم خنثی شده است). AV-Test 85 تست کلی در این سناریو انجام داد با این 20 خانواده باج‌افزاری: conti، darkside، fonix، limbozar، lockbit، makop، maze، medusa (ako)، mountlocker، nefilim، netwalker (یا همان malito)، phobos، PYSA (یا همان mespinoza)، Ragnar، Locker، ransomexx (یا همان defray 77)، revil (یا همان Sodinokibi یا Sodin)، ryuk، snatch، stop و wastedlocker. در این سناریو، تقریباً هر راهکار امنیتی کار خود را بخوبی انجام داد که البته جای تعجبی هم ندارد؛ خانواده بدافزارِ معروفی در آن استفاده شده بود. کار در سناریوهای بعدی سخت‌تر خواهد شد.

محافظت در برابر رمزگذاری ریموت       

در سناریوی دوم، ماشین محافظت‌شده فایل‌هایی را در خود حفظ کرده بود که ازطریق شبکه لوکال قابلیت دسترسی داشتند و این حمله از سوی کامپیوتر دیگری روی همان شبکه انجام گرفته بود (آن کامپیوتر دیگر به هیچ راهکار امنیتی تجهیز نشده بود و همین باعث شده بود مهاجمین بخواهند آزادانه بدافزار را اجرا کرده، فایل‌های لوکال را رمزگذاری نموده و بعد روی میزبان‌های همسایه به دنبال اطلاعات قابل‌دسترسی بگردند). این شما و این خانواده بدافزارها در این سناریو: avaddon، conti، fonix، limbozar، lockbit، makop، maze، medusa (ako)، nefilim، phobos، Ragnar Locker، Ransomexx (یا همان defray 777)، revil (یا همان Sodinokibi یا Sodin) و ryuk. راهکار امنیتی وقتی دید پروسه سیستم دارد فایل‌های لوکال را دستکاری می‌کند اما نمی‌تواند اجرای بدافزار را مشاهده کند نتوانست اعتبار پروسه مخرب و یا فایلی را که آن را کلید شده بود بررسی کند- یا فایل را اسکن نماید. اینطور مشخص شد که از 11 تست‌دهنده فقط سه‌تایشان هر نوع محافظتی را در برابر این نوع حمله ارائه داده بودند و فقط Kaspersky Endpoint Security Cloud توانسته بود این کار بی‌نقص انجام دهد. افزون بر این گرچه محصول Sophos در 93 درصد مواقع مورد هدف واقع شده بود اما تنها 7 درصد پوشش کامل محافظتی روی فایل‌های کاربر داشت.

محافظت در برابر باج‌افزار اثبات مفهوم

سناریوی سوم نشان می‌دهد چطور محصولات با بدافزارهایی که احتمالاً قبلاً با آن‌ها رویارویی نداشته‌اند دست و پنجه نرم می‌کنند. حتی اینطور فرض می‌گیریم که این بدافزارها در پایگاه‌های اطلاعاتی بدافزار هم یافت نشده‌اند. از آنجایی که امنیت می‌تواند تهدیدی که هنوز ناشناخته است را شناسایی کند (آن هم تنها بوسیله‌ی فناوری‌های فعالی که به رفتار بدافزارها واکنش نشان می‌دهند)، محققین 14 نمونه باج‌افزار تازه را که متودها و فناوری‌هایی را به کار گرفته بودند که مجرمان سایبری به ندردت استفاده می‌کنند ساخت؛ همینطور یک سری تکنیک رمزگذاریِ اورجینال که هرگز قبلاً دیده نشده بودند. درست مانند سناریوی اول، آن‌ها موفقیت را شناسایی و بلاک تهدید تعریف کردند؛ از جمله حفظ یکپارچگی همه فایل‌ها روی ماشین قربانی و حذف کامل همه رد و اثر تهدید از جانب کامپیوتر. نتایج مختلف بودند (ESET و Webroot)؛ بدافزاری که سفارشی‌ ساخته شده بود شناسایی نشد. آن‌هایی که بهتر عمل کردند عبارتند از: WatchGuard 86 درصد، TrendMicro 64 درصد، McAfee و Microsoft 50 درصد.

نتایج تست

به طور خلاصه، Kaspersky Endpoint Security Cloud به نسبت حریفان خود در کل سناریوهای AV-Test بهتر عمل کرد. این راهکار از کاربران در برابر تهدیدهای شناخته‌شده در بیرون و نیز آن‌هایی که تازه ساخته شده بودند محافظت کرد.

سناریوی دوم اما حقیقت غیرمنتظره‌ای را به ما نشان داد: بیشتر محصولات که در حفاظت فایل‌های کاربری شکست خورده بودند بهر حال فایل‌های باج‌افزار را پاک کردند. حتی بخش شکست‌شان را هم کنار بگذاریم، باز هم عمل خوبی تلقی نمی‌شوند: چنین فایل‌هایی شاید حاوی اطلاعات فنی باشند که بتواند به ریکاوری داده‌ی محققین رخداد سایبری کمک بکند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.