Tilpasset styring af uregelmæssigheder

Reduktion af angrebsoverflade, også kaldet hærdning, kan være en yderst effektiv og billig forebyggelsesteknik. Hvis du kender dit systems sårbarheder og dets høje funktionalitet, kan du proaktivt blokere handlinger, der kan føre til udnyttelse af disse fejl.

Der kan dog være ulemper ved daglig brug af sådanne metoder. Først og fremmest ignorerer generelle begrænsninger specifikke scenarier, som kan straffe legitime brugere. For eksempel gør makroer i MS Word-dokumenter det muligt at køre PowerShell direkte fra dokumentet, og denne "nyttige" funktionalitet har ført til mange malware-epidemier. Men hvis du blokerer aktivering af makroer for hele virksomheden, kan du opleve, at medarbejdere i økonomiafdelingen bliver utilfredse, da de skal bruge MS Word-dokumenter med makroer i deres arbejde.

Et andet problem er, at manuel hærdning kræver meget ekspertarbejde. Selv for erfarne administratorer ville tilpasningen af hver blokeringsregel for en hel masse forskellige grupper og programmer kræve uoverkommeligt meget tid. Derudover kræver nye trusler og ændringer i infrastrukturen, at disse sikkerhedspolitikker revideres regelmæssigt.

Det nye beskyttelsesmodul fra Kaspersky Endpoint Security Solution, Adaptive Anomaly Control (AAC), er et smart værktøj til automatiseret reduktion af angrebsoverfladen. Denne teknologi giver dig mulighed for at tilpasse systemets hærdning helt ned til niveauet for enkeltpersoner eller forskellige grupper af brugere, på en måde der afspejler deres forskellige unikke krav, og samtidig bliver det muligt at forhindre udnyttelse af systemets sårbarheder eller overdreven funktionalitet.

Nøglefunktioner i Adaptive Anomaly Control-modulet:

(1) Et omfattende sæt effektive kontrolregler udarbejdet af Kasperskys eksperter og baseret på data hentet fra maskinlæringsteknikker. Adfærdsanalysealgoritmer gør det muligt for os at finde ny potentiel heuristik af mistænkelige handlinger i systemet, men disse handlinger kan i nogle specifikke tilfælde være legitime, og derfor kan en generel blokering ikke bruges. Eksperternes definition og fremhævelse af sådanne undtagelser kan imidlertid gøre denne potentielle heuristik til fuldt fungerende hærdningsregler.

Et almindeligt udbredt eksempel på mistænkelig adfærd er, når et program startes af en systemproces: f.eks. Windows Session Manager, en lokal sikkerhedsgodkendelsesproces eller et Windows-opstartsprogram. Der er tilfælde, hvor dette kan være en legitim handling – f.eks. når Windows OS starter op. Eksperternes opgave er at identificere disse betingelser og derefter oprette en kontrolregel, der blokerer programeksekveringen ved systemprocessen, men med passende undtagelser, der giver mulighed for korrekt drift af OS.

(2) Automatiseret tilpasning (Smart Mode) baseret på brugeraktivitetsanalyse. Dette reducerer betydeligt behovet for manuel konfiguration af kontrolregler. For det første begynder AAC-modulet at fungere i læringstilstand og indsamle statistiske data om kontrolregler, der udløses over en bestemt tidsperiode med det formål at oprette en normal aktivitetsmodel for en bruger eller gruppe (et legitimt scenarie). Mens det er i forebyggelsestilstand aktiverer systemet derefter kun de regler, der blokerer de handlinger, der er unormale for denne gruppes eller brugers scenarie. Hvis et mønster af normal aktivitet af en eller anden grund skulle ændre sig, kan AAC-modulet skiftes tilbage til læringstilstand, så det kan skabe et nyt scenarie.

For eksempel er tilstedeværelsen af JavaScript i arkivet en indikator for en farlig fil vedhæftet en e-mail: Økonomiafdelingens medarbejdere ville aldrig behøve at udveksle sådanne arkiver. På den anden side er denne situation almindeligt forekommende blandt udviklere. Når Adaptive Anomaly Control opdager disse forskellige scenarier, blokerer den vedhæftede filer med aktivt indhold for en gruppe brugere (økonomiafdelingen), men den blokerer ikke for en anden gruppe (udviklere).

(3) Finindstilling. Sideløbende med automatisk tilstand kan systemadministratoren styre aktiveringen af blokeringsregler og oprette individuelle undtagelser, når den funktionsmåde, der skal blokeres, kan være en del af bestemte brugeres, programmers eller enheders legitime aktivitet.

For eksempel ville blokering af eksekveringen af dobbelte udvidelsesfiler (som img18.jpg.exe) være den korrekte kontrolregel i 99 % af alle tilfælde. I nogle systemer bliver dobbelte udvidelsesfiler dog anvendt lovligt (update.txt.cmd). I dette tilfælde kan administratoren nemt tilføje en undtagelse for at tillade dette.

(4) Synergi med flere værktøjer. Adaptive Anomaly Control-modulet reducerer ikke kun angrebsoverfladen og eksponeringen for trusler, herunder nuldagssårbarheder, men det forbedrer også Kaspersky Endpoint Security som en del af en sikkerhedsløsningsplatform i flere lag. Udløsningen af en bestemt AAC-regel kan fungere som et signal til nærmere undersøgelse af et mistænkeligt objekt af andre beskyttelsesmoduler eller af eksperter.