1. صفحه نخست
  2. وبلاگ ایدکو
  3. محافظت از ایستگاه‌های کار: کنترل انطباقیِ انحراف

محافظت از ایستگاه‌های کار: کنترل انطباقیِ انحراف

26 اسفند 1397 محافظت از ایستگاه‌های کار: کنترل انطباقیِ انحراف

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چطور مجرمان سایبری به ایستگاه‌های کار حمله می‌کنند؟ آن‌ها به طور کلی از آسیب‌پذیری‌های برنامه‌هایی که مرتباً استفاده می‌شوند و یا قابلیت‌های نرم‌افزارهای قانونی که بالقوه خطرناکند سوءاستفاده می‌کنند. البته راه‌های دیگری هم وجود دارد؛ اما این‌ها اساساً رایج‌ترین روش‌های بهره‌جویی‌اند. پس شاید محدود کردن استفاده از چنین نرم‌افزارهایی به نظر منطقی بیاید. اما چطور می‌توان این کار را بدون وارد کردن لطمه به فرآیندهای سازمانی انجام داد؟ اینکه بی محابا و بدون فکر نرم‌افزاری را مسدود کنیم می‌تواند آسیب بسیار جدی‌ای به یک شرکت وارد کند؛ از همین روست که باید به تفاوت نقش هر یک از کارمندان توجه شود. رویکرد ما در این راستا، کاهش کنترل سطح حمله از طریق کنترل انطباقیِ انحراف[1] با استفاده از فناوری‌های یادگیری ماشین بوده است.

برای سال‌ها، مایکروسافت آفیس[2] به داشتن آسیب‌پذیری‌های مورد بهره‌برداری‌شده معروف بود اما این‌ها به این معنی نیست که این نرم‌افزار بد است. حقیقت این است که آسیب‌پذیری‌ها همه‌جا هستند... و مشکل تنها اینجاست که مجرمان سایبری به دلیل شهرت و وسعت کاربرد برنامه‌های مایکروسافت مسلماً نسبت به سایر همتاها، روی آن توجه و تمرکز بیشتری دارند. حتی اگر شرکت‌ آماده‌ی پرداخت پول بیشتر جهت آموزش مجدد کارمندان برای استفاده از برنامه‌ی جایگزین هم باشد، باز به محض محبوب شدن محصول جایگزین، آن هم به دام مجرمان سایبری خواهد افتاد. پس به هر روی، محبوبیت و شهرت تاوان دارد و تاوانش هم بودن در تیررس نگاه‌هاست.

برخی محصولات دارای قابلیت‌هایی‌اند که آشکارا خطرناکند. برای مثال، ماکروهای[3] داخل همان آفیس می‌توانند برای اجرای کد آلوده مورد استفاده قرار گیرند. اما یک ممنوعیت خشک و خالی هم کاری از پیش نمی‌برد؛ تحلیلگران مالی و حسابداران به این ابزار در عملیات‌های روزانه‌ی خود نیازمندند. منتها می‌بایست روی این برنامه‌ها نهایت نظارت را داشت و تنها در صورت شناسایی فعالیت‌های غیرمعمول در روند آن‌ها دخالت کرد.

"غیرمعمول" را چطور می‌توان تعریف کرد؟

اساساً مجرمان سایبری طوری اقدام می‌کنند که گویی تمام کارهایشان قانونی است. در حقیقت به چشم سیستم‌های امنیتی تمامی فعالیت‌هایشان موجه به نظر می‌آید. پس یک سیستم امنیت سایبری چطور می‌تواند تشخیص دهد آیا پیام ارسال‌شده به یک کارمند حاوی داکیومنت مهم به همراه یک ماکرو است یا تروجان؟ آیا آن فرد تنها برای مقاصد کاری اقدام به ارسال فایل  js. کرده یا این فایل در خود ویروسی را به طور پنهانی جای داده است؟ این امکان هم وجود دارد (دست کم به لحاظ نظری) که بتوان به طور دستی عملکرد هر کارمند را تحلیل کرد و مطمئن شد به چه ابزارهایی نیاز داشته و یا نیاز ندارند. و بعد می‌توان بر اساس اطلاعات بدست آمده مدل تهدیدی ساخت و بطور موشکافانه‌ای برخی قابلیت‌های برنامه را مسدود کرد. اما درست در همین مرحله است که پیچیدگی‌های مختلف روی کار می‌آیند. اول از همه اینکه، هر قدر شرکت بزرگ‌تر باشد سخت‌تر می‌توان برای هر کارمند مدل دقیقی طراحی کرد. دوم اینکه حتی در شرکت‌های کوچک هم تنظیمات دستی زمان و تلاش زیادی از مدیران می‌گیرد. سوم اینکه، این پروسه احتمالاً با تغییر زیرساخت‌های سازمانی و یا ابزارها می‌بایست مدام تکرار گردد. محض سلامت فکری مدیران و مسئولان امنیت آی‌تی تنها راه اتوماتیزه کردن فرآیند تنظیماتِ محدودیت‌هاست.

کنترل انطباقی

ما فرآیند اتوماتیزه را به روش‌های زیر اعمال نموده‌ایم:

ابتدا، سیستم‌های ساخته شده بر پایه‌ی اصول فناوری یادگیری ماشین شروع کردند به جست‌وجوی پایگاه‌های اطلاعاتی تهدید ما و بعد الگوهایی استاندارد از فعالیت بالقوه آلوده تولید کردند. بعد شروع کردیم به اجرای بلوکه کردنِ دقیق این الگوها روی هر ایستگاه کاریِ مشخص. دوم اینکه "حالت انطباق اتوماتیک"[4] (همان حالت هوشمند) ساختیم تا بواسطه‌ی آن بتوانیم فعالیت کاربر را تحلیل نموده و تعیین کنیم کدام قوانین را می‌توان پیاده کرد و کدامیک می‌توانند در یک عملیات معمول تداخل ایجاد کنند.

عملکردش به شرح زیر است:

سیستم ابتدا آمار مربوط به هدف‌گیریِ قوانین نظارتیِ یک بازه‌ی زمانی‌ مشخص -در حالت یادگیری- را جمع‌آوری نموده و بعد مدلی از عملکرد معمول کاربر یا گروه طراحی می‌کند (سناریوی قانونی). بعد از آن، حالت یادگیری غیرفعال می‌شود و تنها آن دسته از قوانین نظارتی که کارشان مسدود کردن اقدامات نامعمول است فعال می‌شوند.

در صورتی که مدل کاری کاربر تغییر داده شد، سیستم می‌تواند به حالت یادگیری سوئیچ شود و به سناریوی جدید سازگار گردد. علاوه بر این، در صورت نیاز به اضافه شدن برخی محرومیت‌ها، آپشنی برای تنظیم دقیق نیز وجود دارد. شاید اکسیر نجات‌دهنده نباشد اما به طور قابل ملاحظه‌ای سطح حملات احتمالی را کاهش می‌دهد.

شکل دادن بخشی از امنیت اندپوینت کسپرسکی (به روز شده) برای راه‌حل پیشرفته‌ی سازمانی، کار ماژول کنترل انطباقیِ انحراف (AAC) است؛ چیزی که به تازگی از آن به طور عمومی پرده برداشتیم.

 

[1] adaptive anomaly control

[2] MS Office

[3]ماکرو (Macro) در حقیقت دستورات و عملیات ضبط شده‌ای است که در مواقع نیاز با یک کلیک فراخوانی می‌شوند.

[4] automatic adaptation mode

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

مطالب کاربردی

هم اکنون شرکت تجارت الکترونیک ایرانیان افتخار دارد در زمینه ارائه راهکارهای امنیت اطلاعات و ارتباطات بیش از 750 سازمان و شرکت دولتی و خصوصی را در کنار خود داشته باشد. مهمترین هدف شرکت در کلیه فعالیت های خود، استفاده از آخرین دستاوردهای علمی و ایجاد رضایتمندی مشتریان است...

لینک های مفید

تماس با ما

عضویت در خبرنامه

تمامی حقوق این سایت برای شرکت گسترش خدمات تجارت الکترونیک ایرانیان محفوظ است.