Uyarlanabilir Anormallik Kontrolü
Saldırı alanı azaltma veya güçlendirme, oldukça etkili ve düşük maliyetli bir önleme tekniği olabilir. Sisteminizin açıklarını ve kapsamlı işlevlerini biliyorsanız bu kusurların kötüye kullanılmasına yol açabilecek eylemleri proaktif olarak engelleyebilirsiniz.
Ancak bu tür yöntemlerin genel kullanımlarında sorunlar ortaya çıkabilir. Öncelikle, genel kısıtlamalar bazı özel senaryoları yok sayar ve meşru kullanıcılara gereksiz cezalar uygulanabilir. Örneğin, MS Word belgelerindeki makrolar, doğrudan belgeden PowerShell komutu çalıştırılmasını mümkün kılar. Bu "faydalı" işlev, birçok kötü amaçlı yazılım salgınına yol açmıştır. Ancak tüm şirket için makro etkinleştirmeyi engellerseniz MS Word'ü makrolarla kullanmak zorunda olan finans departmanı çalışanlarını mutsuz edebilirsiniz.
Bir başka sorun, manuel güçlendirmenin yüksek miktarda uzman iş gücü gerektirmesidir. Çok sayıda farklı grup ve uygulama için her bir engelleme kuralını tek tek ayarlamak deneyimli yöneticilerin bile çok fazla vaktini alır. Buna ek olarak yeni tehditler ve altyapı değişiklikleri, bu güvenlik ilkelerinin düzenli olarak gözden geçirilmesini gerektirir.
Kaspersky Endpoint Security çözümünün yeni bir koruma modülü olan Uyarlanabilir Anormallik Kontrolü (AAC), otomatik saldırı alanı azaltmaya yönelik akıllı bir araçtır. Bu teknoloji, çeşitli benzersiz ihtiyaçları gözeterek sistem güçlendirmeyi birey veya farklı kullanıcı grupları düzeyine kadar özelleştirmenize olanak tanır ve sistemin açıklarının ya da kapsamlı işlevselliğinin kötüye kullanılmasını engeller.
Uyarlanabilir Anormallik Kontrolü (AAC) modülünün temel özellikleri:
(1) Kaspersky uzmanları tarafından Makine Öğrenimi teknikleri aracılığıyla toplanan verilere dayalı olarak oluşturulan kapsamlı bir etkili denetim kuralları kümesi. Davranış analizi algoritmaları, sistemdeki şüpheli eylemlere yönelik yeni potansiyel bulgular keşfetmemize olanak tanır ancak bu eylemler bazı özel durumlarda meşru olabilir. Bu nedenle genel bir engelleme yaklaşımı kullanılamaz. Ancak bu tür istisnaların uzmanlar tarafından tanımlanması ve tam olarak "saptanması", bu potansiyel bulguları tam işlevli güçlendirme kurallarına dönüştürebilir.
Şüpheli davranışa yaygın bir örnek, bir uygulamanın başka bir sistem işlemi tarafından başlatılmasıdır: Örneğin Windows Oturum Yöneticisi, Yerel Güvenlik Yetkilisi İşlemi veya Windows Başlangıç Uygulaması. Windows İşletim Sistemi önyüklemesi gibi bazı durumlarda bu meşru bir eylem de olabilir. Uzmanların görevi, bu durumları tespit etmek ve ardından, işletim sisteminin düzgün çalışmasını sağlayan uygun istisnalarla birlikte, sistem işlemi tarafından uygulamaların yürütülmesini engelleyen bir denetim kuralı oluşturmaktır.
(2) Kullanıcı etkinliği analizini temel alan Otomatik adaptasyon (Akıllı Mod). Bu, denetim kurallarının manuel yapılandırması ihtiyacını büyük oranda azaltır. Öncelikle AAC modülü, Öğrenme Modunda çalışmaya başlar ve bir kullanıcı ya da grup için normal etkinlik modeli oluşturmak üzere belirli bir süre aralığında tetiklenen denetim kuralları hakkında istatistiki veriler toplar (meşru senaryo). Ardından sistem, Önleme Modunda, yalnızca bu grup ya da kullanıcının senaryosu için anormal olan eylemleri engelleyen kuralları etkinleştirir. Herhangi bir sebeple normal etkinlik düzeni değişirse AAC modülü, yeni bir senaryo oluşturabilmek için Öğrenme Moduna geçirilebilir.
Örneğin, tehlikeli bir e-posta ekinin göstergelerinden biri, arşivde JavaScript bulunmasıdır: Finans Departmanı çalışanlarının, bu tür arşivleri paylaşması için hiçbir zaman meşru bir sebep bulunmaz. Öte yandan bu durum, geliştiriciler arasında yaygındır. Uyarlanabilir Anormallik Kontrolü bu farklı senaryoları keşfettiğinde, etkin içeriğe sahip ekleri tek bir kullanıcı grubu (Finans Departmanı) için engelleyip diğer bir grup (geliştiriciler) için engellemeyecektir.
(3) İnce ayar. Otomatik modun yanı sıra engellenecek davranışın belirli kullanıcılar, uygulamalar veya cihazlara ait meşru etkinliğin bir parçası olabileceği durumlarda sistem yöneticisi, engelleme kurallarının etkinleştirilmesini kontrol edebilir ve ayrı istisnalar oluşturabilir.
Örneğin, çift uzantılı dosyaların (ör. img18.jpg.exe) yürütülmesini engellemek, tüm senaryoların %99'unda doğru bir denetim kuralıdır. Ancak bazı sistemlerde, çift uzantılı dosyaların kullanımı meşru olabilir (update.txt.cmd). Bu durumda yönetici, buna izin vermek için kolayca bir istisna ekleyebilir.
(4) Çoklu araç sinerjisi. Uyarlanabilir Anormallik Kontrolü modülü, saldırı alanını ve sıfır gün gibi tehditlere maruziyeti azaltmasının yanı sıra Çok Katmanlı Güvenlik platformunun bir parçası olarak Kaspersky Endpoint Security'nin iş birliği performansını da iyileştirir. Belirli bir AAC kuralının tetiklenmesi, şüpheli bir nesnenin diğer koruma modülleri ya da uzmanlar tarafından daha yakından incelenmesi için bir gösterge görevi görebilir.