روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بخش قابل‌توجهی از رخدادهای امنیتی مدرن با به‌خطر افتادن حساب‌های کاربری آغاز می‌شود. با تبدیل شدن واسطه‌های دسترسی اولیه به یک صنعت مجرمانه کامل، مهاجمان می‌توانند تنها با خرید مجموعه‌ای از نام‌های کاربری و گذرواژه‌های کارکنان، حملات خود به زیرساخت سازمان‌ها را به‌سادگی سازمان‌دهی کنند. گسترش استفاده از روش‌های مختلف دسترسی از راه دور نیز این روند را برای آن‌ها آسان‌تر کرده است. در عین حال، مراحل اولیه چنین حملاتی اغلب کاملاً شبیه فعالیت‌های عادی کارکنان به نظر می‌رسد و برای مدت طولانی از دید سازوکارهای سنتی امنیتی پنهان می‌ماند.

اتکای صِرف به راهکارهای محافظت از حساب‌های کاربری و سیاست‌های گذرواژه کافی نیست. همواره این احتمال وجود دارد که مهاجمان از طریق حملات فیشینگ، بدافزارهای سرقت اطلاعات یا حتی سهل‌انگاری کارکنانی که از یک گذرواژه مشترک برای حساب‌های کاری و شخصی استفاده می‌کنند و به نشت اطلاعات در سرویس‌های جانبی توجهی ندارند، به اطلاعات ورود دست پیدا کنند. در نتیجه، برای شناسایی حملات علیه زیرساخت سازمان، به ابزارهایی نیاز است که علاوه بر تشخیص نشانه‌های مجزای تهدید، از سامانه‌های تحلیل رفتاری نیز بهره ببرند؛ سامانه‌هایی که بتوانند انحراف از رفتار عادی کاربران و فرایندهای سیستم را تشخیص دهند.

استفاده از هوش مصنوعی در سامانه مدیریت رخداد و اطلاعات امنیتی برای تشخیص به‌خطر افتادن حساب‌های کاربری

همان‌طور که پیشتر اشاره شد، برای شناسایی حملاتی که با سوءاستفاده از حساب‌های کاربری انجام می‌شوند، سامانه مدیریت رخداد و اطلاعات امنیتی کسپرسکی به مجموعه‌ای از قوانین تحلیل رفتار کاربران و موجودیت‌ها مجهز شده است. این قوانین برای شناسایی ناهنجاری‌ها در فرایندهای احراز هویت، فعالیت‌های شبکه و اجرای فرایندها روی ایستگاه‌های کاری و سرورهای مبتنی بر ویندوز طراحی شده‌اند. در جدیدترین به‌روزرسانی، این مسیر با افزودن رویکردهای مبتنی بر هوش مصنوعی ادامه یافته است. این سامانه با ایجاد مدلی از رفتار عادی کاربران در زمان احراز هویت، انحراف از سناریوهای معمول را رصد می‌کند؛ از جمله زمان‌های ورود غیرمعمول، زنجیره‌های رویدادی غیرمنتظره و تلاش‌های مشکوک برای دسترسی. این رویکرد امکان شناسایی هم تلاش برای ورود با اطلاعات سرقت‌شده و هم سوءاستفاده از حساب‌های کاربری از پیش به‌خطر افتاده را فراهم می‌کند، حتی در سناریوهای پیچیده‌ای که پیش‌تر ممکن بود شناسایی نشوند.

به‌جای جست‌وجوی نشانه‌های منفرد، سامانه بر تحلیل انحراف از الگوهای رفتاری عادی تمرکز دارد. این موضوع به شناسایی زودهنگام حملات پیچیده، کاهش هشدارهای اشتباه و کم شدن بار عملیاتی تیم‌های مرکز عملیات امنیت منجر می‌شود. در گذشته، برای تشخیص ناهنجاری‌ها با استفاده از قوانین تحلیل رفتاری، لازم بود چندین قانون مجزا ایجاد شود که وظایف اولیه را انجام داده و داده‌های میانی را در فهرست‌های جداگانه ذخیره کنند. اکنون در نسخه جدید سامانه، با استفاده از همبند‌ساز جدید، تشخیص ربایش حساب‌های کاربری تنها با یک قانون تخصصی امکان‌پذیر شده است.

سایر به‌روزرسانی‌های سامانه نظارت و تحلیل یکپارچه کسپرسکی

با پیچیده‌تر شدن زیرساخت‌ها و افزایش حجم رخدادها، الزامات مربوط به کارایی سامانه، انعطاف‌پذیری در مدیریت دسترسی و سهولت استفاده روزمره اهمیت بیشتری پیدا می‌کند. یک سامانه مدیریت رخداد و اطلاعات امنیتی مدرن باید علاوه بر دقت در شناسایی تهدیدها، بدون نیاز مداوم به ارتقای سخت‌افزار یا بازطراحی فرایندها، پایداری خود را حفظ کند. به همین دلیل، در نسخه ۴٫۲ گام دیگری در جهت کاربردی‌تر و سازگارتر شدن این پلتفرم برداشته شده است. این به‌روزرسانی‌ها معماری، سازوکارهای شناسایی و تجربه کاربری را تحت تأثیر قرار می‌دهند.

افزودن نقش‌های انعطاف‌پذیر و کنترل دسترسی جزئی‌نگر

یکی از نوآوری‌های کلیدی نسخه جدید، مدل نقش‌دهی انعطاف‌پذیر است. اکنون مشتریان می‌توانند نقش‌های اختصاصی خود را برای کاربران مختلف ایجاد کنند، نقش‌های موجود را کپی کرده و سطح دسترسی‌ها را متناسب با وظایف هر متخصص تنظیم کنند. این قابلیت به تفکیک دقیق‌تر مسئولیت‌ها میان تحلیل‌گران، مدیران سامانه و مدیران ارشد کمک کرده، ریسک اعطای دسترسی بیش‌ازحد را کاهش می‌دهد و بازتاب بهتری از فرایندهای داخلی سازمان در تنظیمات سامانه ارائه می‌دهد.

همبند‌ساز جدید[1] و افزایش پایداری پلتفرم

در نسخه ۴٫۲، نسخه آزمایشی همبند‌ساز جدید معرفی شده است. این موتور رخدادها را سریع‌تر پردازش می‌کند و به منابع سخت‌افزاری کمتری نیاز دارد. برای مشتریان، این موضوع به معنای موارد زیر است:

•          عملکرد پایدار در شرایط بار کاری بالا
•          امکان پردازش حجم بالای داده بدون نیاز فوری به گسترش زیرساخت
•          عملکرد قابل پیش‌بینی‌تر سامانه

پوشش تکنیک‌ها و تاکتیک‌ها بر اساس چارچوب حملات شناخته‌شده

کسپرسکی به‌صورت مستمر در حال گسترش پوشش تکنیک‌ها، تاکتیک‌ها و رویه‌های حمله بر اساس چارچوب‌های معتبر امنیتی است و در حال حاضر بیش از شصت درصد این چارچوب‌ها توسط سامانه پوشش داده می‌شود. قوانین شناسایی به‌طور منظم به‌روزرسانی شده و همراه با پیشنهادهای واکنشی ارائه می‌شوند. این موضوع به مشتریان کمک می‌کند تا دید روشنی نسبت به سناریوهای حمله تحت کنترل داشته باشند و توسعه راهبردهای دفاعی خود را بر اساس یک مدل پذیرفته‌شده در صنعت برنامه‌ریزی کنند.

سایر اقدامات ارتقادهنده

در نسخه ۴٫۲ امکان پشتیبان‌گیری و بازیابی رخدادها و همچنین خروجی گرفتن داده‌ها در آرشیوهای امن با کنترل صحت اضافه شده است که برای انجام تحقیقات، حسابرسی‌ها و رعایت الزامات قانونی اهمیت بالایی دارد. همچنین، جست‌وجوهای پس‌زمینه برای سهولت کار تحلیل‌گران پیاده‌سازی شده است؛ به‌طوری که جست‌وجوهای پیچیده و پردازش‌محور بدون تأثیر بر وظایف اولویت‌دار اجرا می‌شوند و تحلیل مجموعه‌های بزرگ داده با سرعت بیشتری انجام می‌گیرد.

کسپرسکی به‌طور منظم سامانه مدیریت رخداد و اطلاعات امنیتی خود را به‌روزرسانی می‌کند و با گسترش قابلیت‌های شناسایی، بهبود معماری و افزودن توانمندی‌های مبتنی بر هوش مصنوعی، تلاش دارد این پلتفرم را هرچه بیشتر با شرایط واقعی تیم‌های امنیت اطلاعات منطبق کند؛ به‌گونه‌ای که نه‌تنها در واکنش به رخدادها مؤثر باشد، بلکه به ایجاد یک مدل دفاعی پایدار برای آینده نیز کمک کند.

[1]منظور از همبند‌ساز جدید، موتور پردازش و تحلیل رویدادها در سامانه است که با بهبود نحوه ارتباط و هم‌بستگی میان رخدادهای امنیتی، باعث افزایش سرعت پردازش، کاهش مصرف منابع و در نتیجه پایداری بیشتر سامانه می‌شود.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.