Есть признанные чемпионы по эксплуатируемым уязвимостям. Например, многие годы в лидерах держится MS Office. Но это не значит, что он плох. Уязвимости есть везде. Просто киберпреступники смотрят на «офис» гораздо пристальнее, чем на его аналоги. Потому что он самый распространенный. Даже если ваша компания готова потратиться и переобучить сотрудников на использование аналогов — как только популярность наберет какой-то другой офисный пакет, он незамедлительно вытеснит MS Office из хит-парада эксплуатируемого ПО.
Есть продукты, функции которых однозначно опасны. Например, те же самые офисные макросы. Да, потенциально они позволяют исполнять вредоносный код. Но если их тотально запретить, то финансовые аналитики и бухгалтеры взвоют, потому что это инструмент, который нужен им для нормальной работы.
Приходится как-то тщательно следить за такими программами и вмешиваться только при выявлении аномальной активности. Но тут есть одна проблема.
Что считать аномалией?
Вся суть методов злоумышленников сводится к тому, что их активность для защитных систем должна выглядеть, как абсолютно легитимная. Как понять, нужен ли в письме, пришедшем конкретному сотруднику, документ с макросом, или это ему прислали троянского коня? А вот этому человеку .js файл прислали по работе, или там вирус?
Чисто теоретически можно было бы вручную проанализировать работу каждого сотрудника, понять, какие инструменты ему нужны, а какие нет; на основе этих данных построить модель угроз и точечно заблокировать функции программ, которыми этот сотрудник пользоваться не должен.
Но тут возникает ряд целый ряд осложнений. Во-первых, чем больше компания, тем сложнее построить корректную модель для каждого сотрудника. Во-вторых, даже в небольшом бизнесе ручная настройка отнимет кучу сил и времени у администраторов. Ну и в-третьих, велика вероятность, что этот процесс придется периодически повторять при изменении в инфраструктуре или инструментарии.
Единственный вариант сберечь силы и нервы администраторам и безопасникам — автоматизировать процесс настройки ограничений.
Адаптивный контроль
Мы реализовали процесс автоматизации следующим образом. Во-первых, системы, построенные на принципах машинного обучения, прошерстили наши базы данных об угрозах и сформулировали типичные паттерны потенциально вредоносной активности. Мы реализовали возможность точечной блокировки этих паттернов на каждом конкретном рабочем компьютере.
Во-вторых, мы создали режим автоматической адаптации (Smart Mode), который позволяет проанализировать активность пользователя и выяснить, какие из правил можно применить, а какие будут мешать нормальной работе. Устроено это так: cначала система собирает статистику срабатывания правил контроля за определенный период времени в режиме обучения, после чего формирует модель нормальной работы пользователя или группы (легитимный сценарий). Затем режим обучения отключается, и активируются только те правила контроля, которые блокируют аномальные действия.
В случае, если модель работы пользователя меняется, система может быть вновь переведена в режим обучения и адаптироваться к новому сценарию. Кроме того, существует и возможность тонкой настройки, на случай если потребуется добавить исключения. Разумеется, это не панацея, но изрядно сократить поверхность возможных атак это позволит.
Модуль Адаптивного контроля аномалий (АКА) входит в состав защитного обновленного решения Kaspersky Security для бизнеса , которое мы только что представили широкой общественности. Скачать пробную версию защитного продукта, в котором эта технология работает, можно кликнув по ссылке ниже.
Источник
Batafsil | Подробно | Read more... InfoCOM
Top News
-
"Астон Вилла" "Ювентус" ярим ҳимоячисини сотиб олмоқчи
"Ювентус" ярим ҳимоячиси Уэстон Маккенни "Астон Вилла" сафига қўшилиши мумкин.
-
“Bitkoin, notkoin va kriptovalutalar bilan muomala shar’an joiz emas” – Fatvo hay’ati.
O‘zbekiston musulmonlari idorasi Fatvo markazi Islom dinida bitkoin, notkoin va boshqa shu kabi kriptovalutalarda savdo-sotiq qilishga munosabat...
-
Беллингем "Боруссия"га фойда келтиришда давом этмоқда
Ўтган дам олиш кунлари Чемпионлар лигасининг финал учрашуви "Реал" ва "Боруссия" ўртасида бўлиб ўтди.
-
FT: Rossiya va Xitoy gaz narxi borasida kelishmovchiliklarga ega.
Xitoy «Sibir qudrati 2»dan gazga narxni Rossiya Federatsiyasidagi ichki narxlar darajasida belgilashni talab qildi, deb yozadi FT. Moskva bunga...
-
Де Брюйне "Манчестер Сити"ни тарк этиши мумкин
"Манчестер Сити" ярим ҳимоячиси Кевин Де Брюйне ёзги трансфер ойнасида жамоасини тарк этиши мумкин.
-
Фергюсон "МЮ"нинг трансферларини ҳал қиляптими?
"Манчестер Юнайтед"нинг собиқ бош мураббийи Алекс Фергюсон "Кристал Пэлас" спорт директори Даги Фридман билан уч футболчининг "Олд Траффорд"га...