کنترل ناهنجاری تطبیقی یک پدیده پیچیده در سازمان‌ها و جوامع است که به تعادل و هماهنگی میان اعضا و زیرساخت‌های سازمانی اشاره دارد. این مفهوم بر مطالعه تعاملات و روابط میان انسان‌ها، فرآیندها و ساختارهای سازمانی متمرکز است. هدف اصلی کنترل ناهنجاری تطبیقی، ایجاد سیستم‌هایی است که با تغییرات و چالش‌های مختلف، سازمان را به تعادل و پایداری هدایت کنند. این مفهوم نشانگر اهمیت توانایی سازمان‌ها در پاسخگویی به محیط اطراف و تنظیم بهینه روابط داخلی است. در این مقاله از پیرامون امنیت، تیم شبکه گستر به بررسی عوامل مؤثر بر کنترل ناهنجاری تطبیقی با Kaspersky Endpoint Security می‌پردازد و راهکارهایی را برای تقویت این کنترل‌ها به شما ارائه خواهد داد.

کاهش سطح حمله یا سخت شدن می‌تواند یک روش پیشگیری بسیار موثر و ارزان باشد. اگر آسیب پذیری‌های سیستم خود را به خوبی تحلیل و بررسی کردید و عملکرد آن را می‌شناسید، می‌توانید اقداماتی را که می‌تواند باعث بهره‌برداری از این نقص‌ها شود را مسدود و ‌به‌راحتی کنترل کنید. در ادامه بیشتر در این مسیر شما را راهنمایی می‌کنیم.

در مسیر کنترل ناهنجاری تطبیقی با چه چالش‌هایی مواجه هستید؟

با این حال ممکن است چالش‌هایی را در استفاده روزمره از این روش‌ها تجربه کنید. در گام اول محدودیت‌های عمومی سناریوهای خاص نادیده گرفته می‌شوند که می‌تواند کاربران قانونی را جریمه کند.

به عنوان مثال ماکروها در اسناد MS Word اجرای PowerShell را مستقیماً ازروی مدرک ممکن می‌سازد و این عملکرد مفید منجر به اپیدمی‌های بسیاری از بدافزارها شده است. اما اگر فعال سازی ماکروها را برای کل شرکت مسدود کنیم، احتمال آن وجود دارد که متوجه شوید کارمندان بخش مالی راضی نیستند؛ زیرا آنها باید از اسناد MS Word با ماکروها استفاده کنند.

مشکل دیگر این است که ایمن سازی توسط فرد، نیروی کار متخصص زیادی را نیاز خواهد داشت. حتی برای مدیران باتجربه، تنظیم هرقانون مسدود کردن برای گروه ها و برنامه های مختلف زمان زیادی را می‌طلبد. علاوه ‌بر این، تهدیدات جدید و تغییرات زیر ساختی مستلزم این است که سیاست‌های امنیتی، مرتب مورد بازبینی قرار بگیرند. در بیشتر موارد سازمان‌ها از رویکردهای کم هزینه مانند؛ کمک گرفتن از شرکت‌های امنیت شبکه استفاده می‌کنند تا چالش‌های خود را به سطح پایینی برسانند.

کنترل ناهنجاری تطبیقی AAC چیست و چه کاربردهایی دارد؟

کنترل ناهنجاری تطبیقی (AAC) یک ماژول حفاظتی جدید از راه حل امنیتی کسپرسکی Kaspersky endpoint است که یک ابزار هوشمند برای کاهش خودکار سطح حمله است. این فناوری به شما امکان این را می‌دهد تا سخت شدن سیستم را تا سطح افراد یا گروه‌های مختلف کاربران که نیازهای منحصر به فرد مختلف دارند را منعکس کنید. شما به‌راحتی می‌توانید تا مسائل خود را به خوبی سفارشی کنید و در عین حال از سواستفاده از آسیب‌ها یا عملکرد بیش از حد سیستم جلوگیری کنید.

الگوریتم های تحلیل رفتار به ما این امکان را می‌دهند اکتشاف‌های بالقوه جدیدی از اقدامات مشکوک در سیستم پیدا کنیم، اما این اقدامات می‌توانند در برخی موارد خاص مشروع باشند بنابراین مسدود کردن عمومی نمی‌تواند استفاده شود.

با این حال تعریف و نشان داد دقیق چنین استثناهایی توسط متخصصان می‌تواند این اکتشاف‌های بالقوه را به قوانین سخت سازی کاملا کاربردی تبدیل کند.

یک مثال متداول از رفتار مشکوک زمانی است که یک برنامه توسط برخی از فرایندهای سیستمی راه اندازی می‌شود به عنوان مثال مدیر جلسه ویندوز (Windows Session Manager)، یا پروسه امنیت محلی (Local Security Authority Process)،  یا برنامه استارت آپ ویندوز (Windows Start-up Application).**

مواردی وجود دارد که می‌تواند یک اقدام قانونی باشد؛ به عنوان مثال هنگامی که سیستم عامل ویندوز بالا می‌رود. وظیفه کارشناسان شناسایی این شرایط است، سپس یک قانون کنترل ایجاد می‌کنند که اجرا برنامه‌ها را توسط فرآیند سیستم مسدود می‌کند، اما با استثناهای مناسب که امکان عملکرد صحیح سیستم عامل را فراهم می‌کند.

سازگاری خودکار(حالت هوشمند) بر اساس تجزیه و تحلیل فعالیت کاربر.

این روش به‌طور قابل توجهی نیاز به پیکربندی دستی قوانین کنترل را کاهش می‌دهد ابتدا ماژول AAC در حالت یادگیری شروع به کار  می‌کند و داده‌های آماری را در مورد قوانین کنترلی که در یک بازه زمانی خاص راه‌ اندازی شده اند جمع آوری می‌کند. برای ایجاد یک مدل فعالیت عادی برای یک کاربر یا گروه (سناریوی قانونی). سپس در حالت پیشگیری سیستم فقط آن دسته از قوانینی را فعال می‌کند که اقدامات غیر عادی برای این گروه یا سناریوی کاربر را مسدود کند.

اگر الگوی فعالیت عادی به هر دلیلی تغییر کند ماژول AAC می‌تواند به حالت یادگیری برگردد، بنابراین می‌تواند یک سنایوی جدید ایجاد کند.

برای مثال یکی از شاخص‌های پیوست خطرناک ایمیل وجود جاوا اسکریپ در آرشیو است؛ کارمندان بخش مالی هرگز نیازی به تبادل قانونی چنین آرشیوهایی ندارند. از طرفی این وضعیت در بین توسعه دهندگان رایج است. هنگامی که کنترل ناهنجاری تطبیقی این سناریوهای مختلف را کشف می‌کند، پیوست های دارای محتوای فعال را برای یک گروه از کاربران (دپارتمان مالی) مسدود می‌کند، اما آن را برای گروه دیگر (توسعه دهندگان) مسدود نمی‌کند.

تنظیم دقیق:

در کنار حالت خودکار، مدیر سیستم می‌تواند فعال سازی قوانین مسدودسازی را کنترل کند و استثناهای فردی ایجاد کند. زمانی که رفتاری باید مسدود شود می‌تواند بخشی از فعالیت قانونی کاربران، برنامه‌ها یا دستگاه‌های خاص باشد.

به عنوان مثال، مسدود کردن اجرای فایل های پسوند دو گانه (img18.jpg.exe) قانون کنترل صحیح در 99% از همه موارد خواهد بود. با این حال در برخی از سیستم ها فایل‌های پسوند دوگانه ممکن است به طور قانونی استفاده شوند (update.txt.cmd). در این مورد ادمین به راحتی می‌تواند یک حالت جدید اضافه کند تا این امکان را فراهم کند.

هم افزایی چند ابزاری

ماژول کنترل ناهنجاری تطبیقی نه تنها سطح حمله و قرار گرفتن در معرض تهدیدات از جمله روزهای صفر را کاهش می‌دهد بلکه عملکرد مشترک Kaspersky Endpoint Security را به عنوان بخشی از یک پلتفرم امنیتی چند لایه بهبود می‌بخشد. راه اندازی یک قانون AAC خاص می‌تواند به عنوان سیگنالی برای بررسی دقیق‌تر یک شی مشکوک توسط سایر ماژول‌های حفاظتی یا توسط کارشناسان عمل کند.

کلام آخر:

کنترل ناهنجاری تطبیقی با Kaspersky Endpoint Security روشی است که در آن می‌توانید به ارزان ترین و مؤثرترین روش ممکن سطح حمله را کاهش دهید و تمامی اقداماتی که باعث می‌شود از نقص‌های سیستم شما سواستفاده شود را مسدود و کنترل کنید.

شرکت شبکه گستر نماینده رسمی کسپرسکی در ایران با بیش از ۳۰سال سابقه در ارائه محصولات امنیت و مجری برخی از بزرگ‌ترین پروژه‌های طراحی، نصب، راه‌اندازی و پشتیبانی محصولات نرم افزاری ضدویروس و سخت فزاری فایروال در کشور است، در این مسیر شما را همراهی می‌کند تا با درنظر گرفتن بهترین راهکارها که مناسب سازمان شماست بالاترین سطح امنیت را تجربه کنید. برای کسب اطلاعات بیشتر باما در تماس باشید.

منبع: Kaspersky