Mukautuva poikkeamien hallinta
Hyökkäyspinnan pienentäminen tai järjestelmän vahvistaminen voi olla erittäin tehokas ja edullinen estotekniikka. Jos tunnet järjestelmäsi haavoittuvuudet ja ylimääräiset toiminnot, voit estää ennakoivasti toimet, jotka voivat johtaa näiden aukkojen hyväksikäyttöön.
Näiden menetelmien päivittäisessä käytössä voi kuitenkin olla haittapuolia. Yleisissä rajoituksissa ei huomioida erityistilanteita, mistä voi olla haittaa luvallisille käyttäjille. Esimerkiksi MS Word -asiakirjojen makroilla voi suorittaa PowerShell-komentosarjan suoraan asiakirjasta, ja tämä ”tarpeellinen” toiminto on johtanut moniin haittaohjelmaepidemioihin. Jos kuitenkin estät makrojen aktivoinnin koko yritykseltä, saatat havaita, että talousosaston työntekijät eivät ole tyytyväisiä: heidän on käytettävä makroja sisältäviä MS Word -asiakirjoja.
Toisena ongelmana on se, että manuaalinen vahvistus vaatii paljon asiantuntijoiden työtä. Monien erilaisten ryhmien ja sovellusten jokaisen estosäännön muokkaaminen veisi liian kauan jopa kokeneilta järjestelmänvalvojilta. Tämän lisäksi uudet uhat ja infrastruktuurin muutokset edellyttävät näiden suojauskäytäntöjen säännöllistä tarkistamista.
Mukautuva poikkeamien hallinta (AAC), Kaspersky Endpoint Security -ratkaisun uusi suojausmoduuli, on älykäs työkalu automaattiseen hyökkäyspinnan pienentämiseen. Tämän tekniikan avulla voit mukauttaa järjestelmän vahvistamisen jopa henkilöiden tai eri käyttäjäryhmien tasolle heidän vaatimustensa mukaisesti ja estää samalla järjestelmän haavoittuvuuksien tai ylimääräisten toimintojen hyväksikäytön.
Mukautuvan poikkeamien hallinnan moduulin tärkeimmät ominaisuudet:
(1) Kattava joukko tehokkaita hallintasääntöjäKasperskyn asiantuntijoilta. Ne perustuvat koneoppimisen tekniikoilla haettuun dataan. Toiminta-analyysin algoritmien avulla voimme löytää järjestelmässä ilmenevän epäilyttävän toiminnan uusia mahdollisia heuristiikkoja, mutta nämä toimet voivat olla tietyissä tilanteissa luvallisia, joten yleistä estoa ei voi käyttää. Jos asiantuntijat määrittävät ja etsivät nämä poikkeukset, näistä mahdollisista heuristiikoista voi saada täysin toimiva vahvistussääntöjä.
Tyypillinen esimerkki epäilyttävästä toiminnasta on tilanne, jossa sovelluksen käynnistää järjestelmäprosessi, esimerkiksi Windowsin istunnonhallinta, paikallisen suojauspalvelun prosessi tai Windowsin käynnistyssovellus. On tilanteita, joissa tämä voi olla luvallinen toimi, esimerkiksi Windows-käyttöjärjestelmän käynnistyessä. Asiantuntijoiden tehtävänä on löytää nämä tilanteet ja luoda sääntö, joka estää järjestelmäprosessia suorittamasta sovelluksia, mutta sopivin poikkeuksin, jotka sallivat käyttöjärjestelmän asianmukaisen toiminnan.
(2) Automaattinen mukautuminen(älykäs tila) perustuu käyttäjien toiminnan analyysiin. Tämä vähentää huomattavasti hallintasääntöjen manuaalisen määrittämisen tarvetta. Mukautuvan poikkeamien hallinnan moduuli alkaa ensin toimia oppimistilassa, keräten tilastotietoja tietyn ajanjakson aikana käynnistetyistä hallintasäännöistä, jotta se luo normaalin toimintamallin käyttäjää tai ryhmää varten (luvallinen tilanne). Estotilassa järjestelmä aktivoi vain ne säännöt, jotka estävät toimet, jotka poikkeavat tämän ryhmän tai käyttäjän tilanteesta. Jos normaalin toiminnan malli muuttuu jostakin syystä, mukautuvan poikkeamien hallinnan moduulin voi vaihtaa takaisin oppimistilaan, jotta se voi luoda uuden tilanteen.
Esimerkiksi yksi vaarallisen sähköpostiliitteen merkki on arkistossa oleva JavaScript: talousosaston työntekijöillä ei ole luvallista tarvetta käsitellä tällaisia arkistoja. Toisaalta tämä tilanne on tyypillinen ohjelmistokehittäjille. Kun mukautuva poikkeamien hallinta havaitsee nämä eri tilanteet, se estää aktiivista sisältöä sisältävät liitteet yhdeltä käyttäjäryhmältä (talousosasto), mutta se ei estä sitä toiselta ryhmältä (ohjelmistokehittäjät).
(3) Hienosäätö.Automaattisen tilan lisäksi järjestelmänvalvoja voi hallita estosääntöjen aktivoitumista ja luoda yksittäisiä poikkeuksia, kun estettävä toiminta voi kuulua tiettyjen käyttäjien, sovellusten tai laitteiden luvallisen toiminnan piiriin.
Esimerkiksi se, että estetään sellaisten tiedostojen suorittaminen, joissa on kaksi tiedostopäätettä (esim. img18.jpg.exe), olisi oikea hallintasääntö 99 prosentissa kaikista tapauksista. Joissakin järjestelmissä kahden tiedostopäätteen tiedostojen käyttö on kuitenkin luvallista (update.txt.cmd). Tässä tapauksessa järjestelmänvalvoja voi lisätä helposti poikkeuksen tämän sallimiseksi.
(4) Useiden työkalujen synergia.Mukautuvan poikkeamien hallinnan moduuli ei ainoastaan pienennä hyökkäyspintaa ja uhille altistumista, nollapäivähyökkäykset mukaan lukien: se myös tehostaa Kaspersky Endpoint Securityn toimintaa osana monitasoista suojausympäristöä. Mukautuvan poikkeamien hallinnan moduulin tietyn säännön käynnistyminen voi toimia merkkinä, jonka perusteella muut suojausmoduulit tai asiantuntijat tutkivat epäilyttävää kohdetta tarkemmin.