پایگاه دانش آلما / سیمانتک قابلیت Adaptive Protection در سیمانتک؛ محافظ هوشمند در برابر حملات پنهان

قابلیت Adaptive Protection در سیمانتک؛ محافظ هوشمند در برابر حملات پنهان

قابلیت Adaptive Protection در سیمانتک؛ محافظ هوشمند در برابر حملات پنهان

قابلیت Adaptive Protection در سیمانتک؛ محافظ هوشمند در برابر حملات پنهان

با تحول روزافزون دنیای امنیت سایبری، تهدیدهای جدیدی ظاهر شده‌اند که با روش‌های سنتی قابل شناسایی نیستند. مهاجمان سایبری دیگر صرفاً به تروجان‌ها و ویروس‌های کلاسیک متکی نیستند، بلکه از ابزارها و برنامه‌های قانونی برای رسیدن به اهداف خود بهره می‌برند. این شیوه که به آن حملات «زندگی با منابع سیستم» یا Living Off the Land (LOTL) گفته می‌شود، در سال‌های اخیر به یکی از چالش‌های اساسی در حوزه امنیت اطلاعات تبدیل شده است. شرکت سیمانتک با معرفی قابلیت Adaptive Protection در راهکار امنیتی خود، گام مهمی در مقابله با این تهدیدات برداشته است.

 

حملات Living Off the Land؛ تهدیدی در دل ابزارهای قانونی

برخلاف گذشته که حملات سایبری معمولاً از طریق بدافزارهای شناسایی‌شده یا وب‌سایت‌های آلوده انجام می‌شد، امروز مهاجمان حرفه‌ای به دنبال استفاده از برنامه‌های قانونی و شناخته‌شده هستند. برنامه‌هایی مانند PowerShell، PsExec، WMI و حتی ابزارهای مدیریت راه دور مانند AnyDesk و ConnectWise توسط مهاجمان مورد سوءاستفاده قرار می‌گیرند.

 

این تکنیک باعث می‌شود رفتار مخرب در میان فعالیت‌های روزمره سازمان پنهان شود و از آنجا که ابزارهای فوق در بسیاری از عملیات‌های مدیریتی روزانه مورد استفاده قرار می‌گیرند، تشخیص رفتار مشکوک بسیار دشوار می‌شود.

 

گزارشی نگران‌کننده از سیمانتک؛ رشد روزافزون استفاده از تکنیک LOTL

بر اساس گزارش سیمانتک درباره چشم‌انداز تهدیدات باج‌افزاری در سال ۲۰۲۴، نزدیک به نیمی از حملات باج‌افزاری بین سال‌های ۲۰۲۱ تا ۲۰۲۳ با استفاده از تکنیک‌های LOTL انجام شده‌اند. این آمار نگران‌کننده نشان می‌دهد که مهاجمان دیگر نیازی به نوشتن بدافزارهای جدید ندارند؛ آن‌ها از ابزارهایی استفاده می‌کنند که در هر سیستم عاملی یافت می‌شود و همین امر، شناسایی و توقف آن‌ها را دشوارتر از همیشه کرده است.

 

چرا شناسایی این تهدیدات دشوار است؟

دلیل اصلی دشواری مقابله با LOTL، استفاده مهاجم از ابزارهای قانونی است. به‌عنوان مثال، اگر برنامه Microsoft Word اقدام به اجرای PowerShell کند، در نگاه اول ممکن است این یک عملیات عادی به نظر برسد. اما اگر این رفتار قبلاً در سازمان مشاهده نشده باشد، می‌تواند نشانه‌ای از حمله باشد.

 

چالش دیگر اینجاست که مدیران سیستم نیز برای انجام وظایف روزانه خود از همین ابزارها استفاده می‌کنند. بنابراین، تفکیک بین فعالیت‌های مشروع و رفتارهای مشکوک بدون تحلیل پیشرفته و درک رفتار سازمانی، عملاً غیرممکن است.

 

Adaptive Protection؛ پاسخ هوشمند سیمانتک به تهدیدات جدید

سیمانتک با معرفی قابلیت پیشرفته Adaptive Protection در راهکار Symantec Endpoint Security (SES)، راهکاری هوشمندانه برای مقابله با حملات مبتنی بر LOTL ارائه کرده است. این قابلیت با تحلیل رفتار روزمره سازمان و یادگیری الگوهای معمول، می‌تواند فعالیت‌های خارج از الگوی عادی را شناسایی و مسدود کند.

 

عملکرد Adaptive Protection چگونه است؟

هنگامی که Adaptive Protection در یک سازمان فعال می‌شود، ابتدا رفتارهای رایج و معمول کاربران، سیستم‌ها و برنامه‌ها را به‌صورت خودکار ثبت می‌کند. در این مرحله، هیچ فعالیتی مسدود نمی‌شود، بلکه تمام رفتارها فقط تحت نظارت قرار می‌گیرند.

 

پس از گذشت یک دوره زمانی مشخص (۹۰، ۱۸۰ یا ۳۶۵ روز)، مدیر سیستم می‌تواند تصمیم بگیرد که کدام رفتارها مجاز بوده‌اند و کدام‌ها مشکوک هستند. اگر رفتاری تاکنون در محیط سازمان مشاهده نشده باشد، به احتمال زیاد خارج از الگوی عادی است و می‌تواند مسدود شود، بدون آنکه تأثیر منفی بر عملکرد کاربران واقعی داشته باشد.

 

مزایای اصلی Adaptive Protection برای تیم‌های امنیتی

ویژگی Adaptive Protection مزایای فراوانی برای تیم‌های امنیت سازمان به همراه دارد:

 کاهش سطح حمله (Attack Surface) با مسدودسازی رفتارهای ناشناخته

 شناسایی زودهنگام تهدیدات پیش از آنکه سیستم‌های امنیتی کلاسیک آن‌ها را شناسایی کنند

 عدم نیاز به تعریف قوانین پیچیده دستی برای مجاز یا غیرمجاز کردن برنامه‌ها

 جلوگیری از حملات LOTL بدون اختلال در روندهای کاری روزانه

 مثال‌هایی از اقدامات مسدودشده توسط Adaptive Protection

یکی از ویژگی‌های برجسته Adaptive Protection این است که می‌تواند بیش از ۴۵۰ رفتار مختلف را به‌صورت هوشمند شناسایی و در صورت لزوم مسدود کند. برای مثال، اگر یک سند Word اقدام به اجرای PowerShell کند و این رفتار در الگوی عادی سازمان وجود نداشته باشد، سیستم به‌صورت خودکار آن را مسدود می‌کند.

 

آزمون واقع‌گرایانه MRG Effitas برای ارزیابی Adaptive Protection

برای بررسی اثربخشی واقعی Adaptive Protection، شرکت سیمانتک با همکاری MRG Effitas که یکی از آزمایشگاه‌های معتبر در زمینه تست محصولات امنیتی است، آزمایشی دقیق را انجام دادند. در این آزمون، رفتار Adaptive Protection در برابر تهدیدات واقعی و روز دنیا بررسی شد.

 

MRG Effitas از یک محیط پیشرفته به نام Tempus استفاده کرد که امکان شبیه‌سازی تهدیدات واقعی، اجرای بدافزارها و مقایسه رفتار سیستم‌های محافظت‌شده و محافظت‌نشده را فراهم می‌کرد. این محیط به گونه‌ای طراحی شده بود که برای بدافزارها نامرئی باشد و بتوان رفتار واقعی آن‌ها را بدون مزاحمت مشاهده کرد.

 

جزئیات اجرای تست؛ مقایسه سیستم‌های محافظت‌شده و محافظت‌نشده

در این آزمایش، ۶ ماشین مجازی راه‌اندازی شد که یکی از آن‌ها به‌عنوان سیستم کنترل بدون محافظت استفاده شد و پنج ماشین دیگر از نسخه‌های مختلف Symantec Endpoint Security همراه با سیاست‌های متفاوت استفاده‌شده توسط مشتریان واقعی سیمانتک بهره می‌بردند.

 

برای شبیه‌سازی یک حمله واقعی، نمونه بدافزار از طریق مرورگر Chrome بارگذاری و اجرا شد. رفتار این نمونه در سیستم‌های مختلف مقایسه شد تا عملکرد Adaptive Protection به‌دقت ارزیابی شود.

 

نتایج آزمایش؛ تفاوت چهار ثانیه‌ای سرنوشت‌ساز

نتایج آزمایش بسیار چشمگیر بود. Adaptive Protection توانست تهدیدات را چهار ثانیه زودتر از سیستم‌هایی که فاقد این قابلیت بودند شناسایی کند. این چند ثانیه در دنیای امنیت سایبری می‌تواند تفاوت بین جلوگیری از حمله و آلوده شدن گسترده سیستم‌ها باشد.

 

همچنین مشخص شد که Adaptive Protection صرفاً با تکیه بر کاهش سطح حمله و بررسی رفتارهای خارج از الگو، توانسته بسیاری از تهدیدات را بدون شناسایی سنتی توسط موتور آنتی‌ویروس متوقف کند.

 

شفافیت و کارایی؛ ویژگی برجسته Adaptive Protection

یکی از دغدغه‌های همیشگی مدیران امنیت اطلاعات این است که ابزارهای امنیتی جدید نباید اختلالی در روندهای کاری ایجاد کنند. Adaptive Protection دقیقاً با در نظر گرفتن این موضوع طراحی شده است. این سیستم به‌گونه‌ای عمل می‌کند که اجازه فعالیت به تمامی رفتارهای شناخته‌شده و مجاز را می‌دهد و فقط رفتارهای خارج از الگو را به‌صورت خودکار مسدود می‌کند.

 

این شفافیت و سازگاری بالا باعث شده که سازمان‌ها بدون نگرانی از ایجاد اخلال در عملکرد کاربران، بتوانند این قابلیت را فعال کنند و از مزایای آن بهره‌مند شوند.

 

مکانیزم Adaptive Protection، ابزار کلیدی برای مقابله با تهدیدات مدرن

در دنیایی که مهاجمان هر روز تاکتیک‌های جدیدتری برای مخفی‌سازی فعالیت‌های مخرب خود ابداع می‌کنند، داشتن ابزاری مانند Adaptive Protection یک مزیت رقابتی بزرگ برای سازمان‌ها محسوب می‌شود. سیمانتک با این فناوری نوآورانه نشان داد که هم‌پای مهاجمان حرکت می‌کند و راهکارهایی متناسب با نیازهای روز طراحی می‌کند.

 

آزمایش‌های انجام‌شده توسط MRG Effitas نیز گواهی بر این است که Adaptive Protection نه‌تنها در تئوری، بلکه در عمل نیز کارآمد است و می‌تواند یکی از مؤثرترین ابزارها برای جلوگیری از حملات LOTL باشد.

 

نگاهی به آینده؛ حضور سیمانتک در کنفرانس Virus Bulletin

برای بررسی دقیق‌تر یافته‌های آزمایش و گفتگو پیرامون تکنیک‌های مقابله با حملات پنهان، لیام اُمورچو از سیمانتک و زومبور کوواچ از MRG Effitas در کنفرانس Virus Bulletin در دوبلین حضور خواهند داشت. در این نشست تخصصی، کارشناسان به تشریح عملکرد Adaptive Protection و نحوه مقابله آن با حملات LOTL بدون تأثیر بر عملیات عادی خواهند پرداخت.

 

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)

    اگر کد خوانا نیست اینجا را کلیک کنید
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد
    مطالب مرتبط