Есть признанные чемпионы по эксплуатируемым уязвимостям. Например, многие годы в лидерах держится MS Office. Но это не значит, что он плох. Уязвимости есть везде. Просто киберпреступники смотрят на «офис» гораздо пристальнее, чем на его аналоги. Потому что он самый распространенный. Даже если ваша компания готова потратиться и переобучить сотрудников на использование аналогов — как только популярность наберет какой-то другой офисный пакет, он незамедлительно вытеснит MS Office из хит-парада эксплуатируемого ПО.
Есть продукты, функции которых однозначно опасны. Например, те же самые офисные макросы. Да, потенциально они позволяют исполнять вредоносный код. Но если их тотально запретить, то финансовые аналитики и бухгалтеры взвоют, потому что это инструмент, который нужен им для нормальной работы.
Приходится как-то тщательно следить за такими программами и вмешиваться только при выявлении аномальной активности. Но тут есть одна проблема.
Что считать аномалией?
Вся суть методов злоумышленников сводится к тому, что их активность для защитных систем должна выглядеть, как абсолютно легитимная. Как понять, нужен ли в письме, пришедшем конкретному сотруднику, документ с макросом, или это ему прислали троянского коня? А вот этому человеку .js файл прислали по работе, или там вирус?
Чисто теоретически можно было бы вручную проанализировать работу каждого сотрудника, понять, какие инструменты ему нужны, а какие нет; на основе этих данных построить модель угроз и точечно заблокировать функции программ, которыми этот сотрудник пользоваться не должен.
Но тут возникает ряд целый ряд осложнений. Во-первых, чем больше компания, тем сложнее построить корректную модель для каждого сотрудника. Во-вторых, даже в небольшом бизнесе ручная настройка отнимет кучу сил и времени у администраторов. Ну и в-третьих, велика вероятность, что этот процесс придется периодически повторять при изменении в инфраструктуре или инструментарии.
Единственный вариант сберечь силы и нервы администраторам и безопасникам — автоматизировать процесс настройки ограничений.
Адаптивный контроль
Мы реализовали процесс автоматизации следующим образом. Во-первых, системы, построенные на принципах машинного обучения, прошерстили наши базы данных об угрозах и сформулировали типичные паттерны потенциально вредоносной активности. Мы реализовали возможность точечной блокировки этих паттернов на каждом конкретном рабочем компьютере.
Во-вторых, мы создали режим автоматической адаптации (Smart Mode), который позволяет проанализировать активность пользователя и выяснить, какие из правил можно применить, а какие будут мешать нормальной работе. Устроено это так: cначала система собирает статистику срабатывания правил контроля за определенный период времени в режиме обучения, после чего формирует модель нормальной работы пользователя или группы (легитимный сценарий). Затем режим обучения отключается, и активируются только те правила контроля, которые блокируют аномальные действия.
В случае, если модель работы пользователя меняется, система может быть вновь переведена в режим обучения и адаптироваться к новому сценарию. Кроме того, существует и возможность тонкой настройки, на случай если потребуется добавить исключения. Разумеется, это не панацея, но изрядно сократить поверхность возможных атак это позволит.
Модуль Адаптивного контроля аномалий (АКА) входит в состав защитного обновленного решения Kaspersky Security для бизнеса , которое мы только что представили широкой общественности. Скачать пробную версию защитного продукта, в котором эта технология работает, можно кликнув по ссылке ниже.
Источник
Batafsil | Подробно | Read more... InfoCOM
Top News
-
Рюдигер: "Агар ғолиб бўлишни истасангиз, "Реал"га ўтинг"
"Реал Мадрид" марказий ҳимоячиси Антонио Рюдигер "қироллик" клубига ўтиши ҳақида гапирди.
-
"Боруссия Дортмунд" сўнгги 10 йилликнинг энг яхши натижасини кўрсатди
Шанба куни Лондондаги "Уэмбли" стадионида Чемпионлар Лигаси финалида "Дортмунд" ва "Реал Мадрид" ўзаро тўқнаш келди ва унда "қироллик клуби"...
-
"Бавария" Дэвис бўйича бир қарорга келди
Журналист Флориан Плеттенберг ижтимоий тармоқларда "Бавария" ҳимоячиси Альфонсо Дэвиснинг келажаги ҳақидаги янгиланган маълумотлари билан бўлишди.
-
Farg‘onada to‘y kortejida avtomobildan tanasini chiqarib soxta pul sochgan yigitga chora ko‘rildi.
Yigit mayda bezorilik sodir etgan deb topilib, o‘n sutka qamoq jazosi tayinlangan. Haydovchiga qanday chora ko‘rilgani ochiqlanmagan..
-
"Астон Вилла" "Ювентус" ярим ҳимоячисини сотиб олмоқчи
"Ювентус" ярим ҳимоячиси Уэстон Маккенни "Астон Вилла" сафига қўшилиши мумкин.
-
May oyida eng qimmat va eng arzon palov qayerda tayyorlangani ma’lum qilindi.
Davlat statistika agentligi 2024 yilning may oyi uchun palov indeksini e’lon qildi..