Есть признанные чемпионы по эксплуатируемым уязвимостям. Например, многие годы в лидерах держится MS Office. Но это не значит, что он плох. Уязвимости есть везде. Просто киберпреступники смотрят на «офис» гораздо пристальнее, чем на его аналоги. Потому что он самый распространенный. Даже если ваша компания готова потратиться и переобучить сотрудников на использование аналогов — как только популярность наберет какой-то другой офисный пакет, он незамедлительно вытеснит MS Office из хит-парада эксплуатируемого ПО.
Есть продукты, функции которых однозначно опасны. Например, те же самые офисные макросы. Да, потенциально они позволяют исполнять вредоносный код. Но если их тотально запретить, то финансовые аналитики и бухгалтеры взвоют, потому что это инструмент, который нужен им для нормальной работы.
Приходится как-то тщательно следить за такими программами и вмешиваться только при выявлении аномальной активности. Но тут есть одна проблема.
Что считать аномалией?
Вся суть методов злоумышленников сводится к тому, что их активность для защитных систем должна выглядеть, как абсолютно легитимная. Как понять, нужен ли в письме, пришедшем конкретному сотруднику, документ с макросом, или это ему прислали троянского коня? А вот этому человеку .js файл прислали по работе, или там вирус?
Чисто теоретически можно было бы вручную проанализировать работу каждого сотрудника, понять, какие инструменты ему нужны, а какие нет; на основе этих данных построить модель угроз и точечно заблокировать функции программ, которыми этот сотрудник пользоваться не должен.
Но тут возникает ряд целый ряд осложнений. Во-первых, чем больше компания, тем сложнее построить корректную модель для каждого сотрудника. Во-вторых, даже в небольшом бизнесе ручная настройка отнимет кучу сил и времени у администраторов. Ну и в-третьих, велика вероятность, что этот процесс придется периодически повторять при изменении в инфраструктуре или инструментарии.
Единственный вариант сберечь силы и нервы администраторам и безопасникам — автоматизировать процесс настройки ограничений.
Адаптивный контроль
Мы реализовали процесс автоматизации следующим образом. Во-первых, системы, построенные на принципах машинного обучения, прошерстили наши базы данных об угрозах и сформулировали типичные паттерны потенциально вредоносной активности. Мы реализовали возможность точечной блокировки этих паттернов на каждом конкретном рабочем компьютере.
Во-вторых, мы создали режим автоматической адаптации (Smart Mode), который позволяет проанализировать активность пользователя и выяснить, какие из правил можно применить, а какие будут мешать нормальной работе. Устроено это так: cначала система собирает статистику срабатывания правил контроля за определенный период времени в режиме обучения, после чего формирует модель нормальной работы пользователя или группы (легитимный сценарий). Затем режим обучения отключается, и активируются только те правила контроля, которые блокируют аномальные действия.
В случае, если модель работы пользователя меняется, система может быть вновь переведена в режим обучения и адаптироваться к новому сценарию. Кроме того, существует и возможность тонкой настройки, на случай если потребуется добавить исключения. Разумеется, это не панацея, но изрядно сократить поверхность возможных атак это позволит.
Модуль Адаптивного контроля аномалий (АКА) входит в состав защитного обновленного решения Kaspersky Security для бизнеса , которое мы только что представили широкой общественности. Скачать пробную версию защитного продукта, в котором эта технология работает, можно кликнув по ссылке ниже.
Источник
Batafsil | Подробно | Read more... InfoCOM
Top News
-
Rossiya O‘zbekistonga kichikroq AESlar qurishni ham taklif qildi.
O‘zbekiston va Rossiya 2,4 GW quvvatli yirik atom elektr stansiyasi qurilishi bilan birga, har birining quvvati 55 MWgacha bo‘lgan 6 ta reaktordan...
-
"Ювентус" Алекс Сандро жамоадан кетаётганини эълон қилди
"Ювентус" чап қанот ҳимоячиси Алекс Сандро жамоани тарк этишини эълон қилди.
-
"Челси" бош мураббийлик учун асосий номзодни танлади
"Челси" Маурисио Почеттинони истеъфога чиқариш қароридан кейин янги бош мураббийни тайинлаш устида ишламоқда.
-
Kia O‘zbekistonda Carens yangi krossvenini taqdim etmoqda.
2024 yil 24 may kuni Toshkent shahrida yangi Kia Rohat dilerlik markazi ochildi. Ushbu kunda, Kia avtomobil brendining O‘zbekistondagi rasmiy...
-
Eron O‘zbekistonda poliuretandan mahsulotlar ishlab chiqarmoqchi.
Eronlik tadbirkorlar O‘zbekistonda poliuretan, polimer va EVA xomashyosidan turli xil mahsulotlar ishlab chiqarish bo‘yicha loyihani amalga...
-
"ПСЖ" "Манчестер Сити" юлдуз футболчисини рад этди
"ПСЖ" жамоани кучайтириш йўлларини қидирмоқда.