Есть признанные чемпионы по эксплуатируемым уязвимостям. Например, многие годы в лидерах держится MS Office. Но это не значит, что он плох. Уязвимости есть везде. Просто киберпреступники смотрят на «офис» гораздо пристальнее, чем на его аналоги. Потому что он самый распространенный. Даже если ваша компания готова потратиться и переобучить сотрудников на использование аналогов — как только популярность наберет какой-то другой офисный пакет, он незамедлительно вытеснит MS Office из хит-парада эксплуатируемого ПО.
Есть продукты, функции которых однозначно опасны. Например, те же самые офисные макросы. Да, потенциально они позволяют исполнять вредоносный код. Но если их тотально запретить, то финансовые аналитики и бухгалтеры взвоют, потому что это инструмент, который нужен им для нормальной работы.
Приходится как-то тщательно следить за такими программами и вмешиваться только при выявлении аномальной активности. Но тут есть одна проблема.
Что считать аномалией?
Вся суть методов злоумышленников сводится к тому, что их активность для защитных систем должна выглядеть, как абсолютно легитимная. Как понять, нужен ли в письме, пришедшем конкретному сотруднику, документ с макросом, или это ему прислали троянского коня? А вот этому человеку .js файл прислали по работе, или там вирус?
Чисто теоретически можно было бы вручную проанализировать работу каждого сотрудника, понять, какие инструменты ему нужны, а какие нет; на основе этих данных построить модель угроз и точечно заблокировать функции программ, которыми этот сотрудник пользоваться не должен.
Но тут возникает ряд целый ряд осложнений. Во-первых, чем больше компания, тем сложнее построить корректную модель для каждого сотрудника. Во-вторых, даже в небольшом бизнесе ручная настройка отнимет кучу сил и времени у администраторов. Ну и в-третьих, велика вероятность, что этот процесс придется периодически повторять при изменении в инфраструктуре или инструментарии.
Единственный вариант сберечь силы и нервы администраторам и безопасникам — автоматизировать процесс настройки ограничений.
Адаптивный контроль
Мы реализовали процесс автоматизации следующим образом. Во-первых, системы, построенные на принципах машинного обучения, прошерстили наши базы данных об угрозах и сформулировали типичные паттерны потенциально вредоносной активности. Мы реализовали возможность точечной блокировки этих паттернов на каждом конкретном рабочем компьютере.
Во-вторых, мы создали режим автоматической адаптации (Smart Mode), который позволяет проанализировать активность пользователя и выяснить, какие из правил можно применить, а какие будут мешать нормальной работе. Устроено это так: cначала система собирает статистику срабатывания правил контроля за определенный период времени в режиме обучения, после чего формирует модель нормальной работы пользователя или группы (легитимный сценарий). Затем режим обучения отключается, и активируются только те правила контроля, которые блокируют аномальные действия.
В случае, если модель работы пользователя меняется, система может быть вновь переведена в режим обучения и адаптироваться к новому сценарию. Кроме того, существует и возможность тонкой настройки, на случай если потребуется добавить исключения. Разумеется, это не панацея, но изрядно сократить поверхность возможных атак это позволит.
Модуль Адаптивного контроля аномалий (АКА) входит в состав защитного обновленного решения Kaspersky Security для бизнеса , которое мы только что представили широкой общественности. Скачать пробную версию защитного продукта, в котором эта технология работает, можно кликнув по ссылке ниже.
Источник
Batafsil | Подробно | Read more... InfoCOM
Top News
-
«Fuqarolar yig‘ini raisi saylovi to‘g‘risida»gi qonun loyihasi e’lon qilindi.
Fuqarolar yig‘ini raisi lavozimiga nomzod tegishli hududdagi ko‘chalar, ko‘p kvartirali uylardan doimiy yoki vaqtincha istiqomat qilayotgan saylash...
-
2025 yilda ko‘mir qazib chiqarish hajmi 10 million tonnaga yetkazilishi kutilmoqda .
Prezident Shavkat Mirziyoyev 13 may kuni ko‘mir qazib chiqarishni oshirish rejalari taqdimoti bilan tanishdi. .
-
Ukraina Vovchansk uchun janglarda Rossiya taktik muvaffaqiyatga erishganini ma’lum qildi.
Ukraina Qurolli kuchlari Bosh shtabiga ko‘ra, Xarkiv yo‘nalishidagi vaziyat murakkab va dinamik ravishda o‘zgarib bormoqda. Uning ma’lumotlariga...
-
Rossiya qo‘shini Xarkiv oblastida «yo‘qotishlar bilan hisoblashmasdan» oldinga yurmoqda. Urush suratlari.
Ukrainada urushning 809-kuni o‘tdi..
-
14 may kuni harorat 38 darajagacha ko‘tariladi.
«O‘zgidromet» 14 may, seshanba kuni kuzatiladigan ob-havo to‘g‘risida ma’lumot berdi..
-
Farosatdan "qisilgan" odamlar - foto.
Tozalikda yaponlarga havas qilamiz, ammo ularday bo‘lishga urinib ko‘rmaymiz. Buni O‘zbekiston ko‘chalarida yurib, har yoqqa uloqtirilgan...