روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سریع‌ترین راه کسب سود برای مهاجمان، نفوذ به سیستم‌هایی است که دسترسی مستقیم به اطلاعات محرمانه یا منابع مالی دارند. و جای تعجب هم نیست که گروه‌های کاملی از مجرمان سایبری روی سیستم‌های تعبیه‌شدهتمرکز دارند: از دستگاه‌های خودپرداز پر از پول گرفته تا سامانه‌های پرداخت که امکان رهگیری تراکنش‌ها را فراهم نموده و نیز تجهیزات پزشکی که داده‌های حساس بیماران را ذخیره و پردازش می‌کنند. بسیاری از این دستگاه‌ها سطح امنیت کافی - چه سایبری و چه فیزیکی - ندارند و همین موضوع آنها را به هدفی آسان تبدیل می‌کند. با ما همراه شوید تا بگوییم راه‌حل کسپرسکی برای این معضل چیست. 

چالش کلاسیک امنیت در سیستم‌های تعبیه‌شده ویندوزی

یکی از مشکلات اصلی در حفاظت از سیستم‌های تعبیه‌شده مبتنی بر ویندوز این است که سخت‌افزارها بسیار کندتر از نرم‌افزارشان از رده خارج می شوند. این دستگاه‌ها معمولاً تجهیزات گران‌قیمتی هستند که سازمان‌ها فقط به‌دلیل پایان پشتیبانی یک سیستم‌عامل آن‌ها را تعویض نمی‌کنند. نتیجه این است که درصد زیادی از این دستگاه‌ها با محدودیت سخت‌افزاری، نرم‌افزار قدیمی و سیستم‌عاملی بدون پشتیبانی سازنده کار می‌کنند. پایان پشتیبانی ویندوز ۱۰ این مشکل را تشدید کرده است. بسیاری از دستگاه‌هایی که هنوز سال‌ها قادر به انجام وظایف اصلی خود هستند، به‌دلیل نداشتن ماژول TPM هرگز امکان ارتقا به ویندوز ۱۱ را نخواهند داشت.

وضعیت مشابه در سیستم‌های تعبیه‌شده لینوکسی

بازار دستگاه‌های لینوکسی نیز شرایط بهتری ندارد. سخت‌افزار سیستم‌های مبتنی بر پردازنده‌های x86 هرچند جدیدتر است، اما در نهایت قدیمی می‌شود. در همین حال، بسیاری از سیستم‌های تعبیه‌شده جدید بر پایه معماری ARM ساخته می‌شوند که نیازها و چالش‌های خاص خود را دارند.

چرا ابزارهای امنیتی معمول برای این دستگاه‌ها مناسب نیستند؟

به‌دلیل ویژگی‌های خاص این تجهیزات، استفاده از راهکارهای استاندارد امنیت شبکه و اندپوینت کارایی لازم را ندارد. محافظت از این دستگاه‌ها به محصولی نیاز دارد که:

• توان مقابله با تهدیدهای مدرن targeting embedded systems را داشته باشد؛
• روی سخت‌افزارهای جدید و سیستم‌عامل‌های به‌روز کار کند؛
• هم‌زمان روی دستگاه‌های کم‌قدرت نیز قابل اجرا باشد؛
• در حالت بدون‌نظارت پایدار بماند؛
• با نرم‌افزارهای خاص هر دستگاه سازگاری کامل داشته باشد؛
• و از همان کنسول مدیریتی زیرساخت سازمان قابل کنترل باشد و با SIEM سازمان یکپارچه شود.

همان‌طور که حدس می‌زنید، موضوع درباره Kaspersky Embedded Systems Security است.

اما Kaspersky Embedded Systems Security چگونه کمک می‌کند؟

ما بارها درباره چالش‌های امنیتی سیستم‌های تعبیه‌شده و راهکار خود صحبت کرده‌ایم. این محصول همچنان در حال توسعه است و در اواخر نوامبر، به‌روزرسانی مهمی برای نسخه‌های ویندوز و لینوکس منتشر شد.

تغییرات نسخه ویندوز

در این به‌روزرسانی، بخش زیادی از کد محصول بازنویسی شده و مکانیسم‌های تشخیص و مقابله با تهدیدهای جدید اضافه شده است. مهم‌ترین تغییر، اضافه شدن موتور تحلیل رفتاری کامل است که چند قابلیت کلیدی را فعال می‌کند:

۱. فناوری Automatic Exploit Prevention

این قابلیت که پیش‌تر در محصولات دیگر کسپرسکی امتحان خود را پس داده، حملات مبتنی بر آسیب‌پذیری‌های شناخته‌شده و ناشناخته را مسدود می‌کند. این فناوری در سال‌های اخیر به کشف چندین آسیب‌پذیری روز صفر کمک کرده است.

۲. فناوری ضد باج افزار 

با تکیه بر موتور رفتاری، نسخه جدید بهتر می‌تواند تلاش برای رمزگذاری فایل‌ها را شناسایی و متوقف کند.

۳. موتور Remediation

برای بازگردانی تغییرات مخرب طراحی شده است. حتی اگر مهاجم از لایه‌های دیگر عبور کند و کد مخرب اجرا شود، فعالیت آن شناسایی و تغییرات انجام‌شده به حالت قبل برگردانده می‌شود. این ویژگی در مقابله با باج‌افزارها بسیار مؤثر است.

۴. قابلیت BadUSB Attack Prevention

در حملات BadUSB، مهاجم یک دستگاه مخرب را به سیستم متصل می‌کند که خود را به‌عنوان صفحه‌کلید یا ورودی معتبر جا می‌زند و می‌تواند فرمان‌های دلخواه وارد کند یا داده‌ها را سرقت کند. این تهدید برای سیستم‌هایی مانند دستگاه‌های خودپرداز در نقاط دورافتاده بسیار جدی است، زیرا ممکن است ماه‌ها بدون دیده شدن باقی بماند.

۵. اضافه شدن فایروال داخلی

این امکان را می‌دهد که دسترسی شبکه‌ای برنامه‌ها بر اساس سطح اعتماد آنها کنترل شود. از آنجا که دستگاه‌های تعبیه‌شده معمولاً چند وظیفه مشخص دارند، می‌توان تنها اجازه ارتباط شبکه به نرم‌افزارهای ضروری داد و بقیه را مسدود کرد. این کار امکان ارتباط مهاجمان با سرورهای فرماندهی (C&C) را دشوار و همچنین از استفاده از این دستگاه‌ها برای حمله به زیرساخت سازمان جلوگیری می‌کند.

۶. نشانگر وضعیت امنیت

این قابلیت جدید، وضعیت امنیتی هر دستگاه را به‌صورت یک نگاه نمایش می‌دهد و مشخص می‌کند آیا تمام لایه‌های حیاتی محافظتی فعال هستند یا نیاز به بررسی تنظیمات وجود دارد.

تغییرات نسخه لینوکس

نسخه لینوکسی نیز ارتقاهای مهمی دریافت کرده است. مهم‌ترین تغییر، سیستم بازطراحی‌شده کنترل فهرست مجاز است که اکنون از امضای مبتنی بر گواهی استفاده می‌کند و فرآیند به‌روزرسانی نرم‌افزارهای موردنیاز دستگاه را ساده‌تر می‌سازد. لینوکس برخلاف ویندوز، زیرساخت گواهی یکپارچه ندارد؛ بنابراین کسپرسکی — به درخواست یکی از بزرگ‌ترین مشتریان خود — زیرساخت لازم را ایجاد کرده است. اکنون برای تأیید یک نرم‌افزار جدید کافی است آن را با گواهی خودتان امضا کنید تا توسط راهکار پذیرفته و اجرا شود.

قابلیت Web Threat Protection

اگرچه بسیاری از سیستم‌های تعبیه‌شده کاربر مستقیم ندارند، اما در برخی سناریوها از پروتکل‌های وب استفاده می‌کنند، مانند:

• دستگاه‌های PoS که به CRM تحت وب سازمان متصل می‌شوند؛
• ترمینال‌های پزشکی که با پورتال داخلی بیمارستان ارتباط دارند.

در این شرایط، وب می‌تواند نقطه حمله باشد (مثلاً Watering Hole). همچنین این قابلیت برای زمانی که راهکار روی سیستم‌عامل لینوکسی قدیمی نصب می‌شود کاربرد مهمی دارد.

برنامه‌های آینده Kaspersky Embedded Systems Security

به‌روزرسانی بعدی برای سه‌ماهه اول سال ۲۰۲۶ برنامه‌ریزی شده است و شامل موارد زیر می شود:

• سازگاری کامل با Kaspersky Managed Detection and Responseبرای تحلیل تهدیدهای پیچیده توسط تیم SOC کسپرسکی؛
• افزودن قابلیت BadUSB Prevention به نسخه لینوکس؛
• پشتیبانی از معماری ARM در نسخه لینوکس برای محافظت از نسل جدید سیستم‌های کم‌مصرف.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.