التحكم في الحالات الشاذة القابل للتكيّف

تقليص مساحة الهجوم أو التعزيز يمكن أن يثبت فاعلية كبيرة، وأن يكون أسلوبًا وقائيًا غير مكلف. إذا كنت تعرف الثغرات الأمنية التي يعاني منها نظامك وكذلك العوامل التي تؤدي إلى الاستخدام المفرط غير المرغوب فيه لوظائفه، يمكنك حظر الإجراءات التي قد تؤدي إلى استغلال هذه الثغرات حظرًا استباقيًا.

ومع ذلك، قد يعتري الاستخدام اليومي لمثل هذه الأساليب بعض العيوب. أولًا: القيود العامة تتجاهل سيناريوهات معينة، مما قد يؤدي إلى فرض عقوبات على مستخدمين مصرح لهم. على سبيل المثال: وحدات الماكرو في مستندات MS Word تتيح تشغيل PowerShell مباشرة من المستند، وقد أدت هذه الوظيفة "المفيدة" إلى انتشار العديد من البرامج الضارة انتشارًا هائلًا. أما إذا حظرت تنشيط وحدات الماكرو على مستوى الشركة بأكملها، قد يعرقل ذلك عمل موظفي القسم المالي لأنهم يضطرون إلى استخدام مستندات MS Word التي تتضمن وحدات الماكرو.

وهناك مشكلة أخرى، وهي أن التعزيز اليدوي يتطلب تدخلًا كبيرًا من العمالة التي تتسم بالخبرة، وتعديل كل قاعدة حظر للعديد من المجموعات والتطبيقات المختلفة قد يستغرق وقتًا هائلًا، حتى من المسؤولين المتمرسين. وبالإضافة إلى ذلك، فإن التهديدات الجديدة وتغييرات البنية التحتية تتطلب مراجعة سياسات الأمن هذه بشكل منتظم.

إن التحكم في الحالات الشاذة القابل للتكيّف عبارة عن وحدة حماية جديدة في حل Kaspersky Endpoint Security، وهي أداة ذكية للتقليص لمساحة الهجوم التلقائي. تمكّنك هذه التقنية من تخصيص تعزيز النظام وصولًا إلى التخصيص على مستوى الأفراد أو المجموعات المختلفة من المستخدمين بما يتوافق مع متطلباتهم الفريدة المختلفة، مع الحيلولة دون استغلال الثغرات الأمنية في النظام أو الاستخدام المفرط غير المرغوب فيه لوظائفه.

المزايا الرئيسية لوحدة التحكم في الحالات الشاذة القابل للتكيّف:

(1) مجموعة شاملة من قواعد المراقبة الفعّالة التي أنشأها خبراء Kaspersky استنادًا إلى البيانات التي تم جمعها بواسطة تقنيات التعلّم الآلي. خوارزميات تحليل السلوك تتيح لنا العثور على مناهج تجريبية جديدة محتملة لإجراءات مشبوهة في النظام، ولكن هذه الإجراءات قد تكون استثناءات مشروعة في بعض المثيلات المحددة؛ مما يجعل استخدام الحظر العام غير ممكن. لكن تعريف الخبراء لهذه الاستثناءات و"تحديدها" من الممكن أن يحوِّل هذه المناهج التجريبية المحتملة إلى قواعد تعزيز تعمل بشكل كامل.

من الأمثلة الشائعة على السلوك المشبوه هو عندما يتم بدء تشغيل التطبيق بواسطة إحدى عمليات النظام، مثل Windows Session Manager أو Local Security Authority Process أو تطبيق Windows Start-up Application. قد يكون هذا الإجراء مشروعًا في بعض الحالات، مثلما يجري عند تمهيد نظام التشغيل Windows. وتتمثل مهمة الخبراء هنا في تحديد هذه الحالات ثم إنشاء قاعدة مراقبة من شأنها منع عمليات النظام من تنفيذ التطبيقات، ولكن باستثناءات مناسبة تسمح بالتشغيل الصحيح لنظام التشغيل.

(2) التكيف التلقائي(الوضع الذكي) استنادًا إلى تحليل نشاط المستخدم. يقلل هذا بشكل كبير من الحاجة إلى التكوين اليدوي لقواعد المراقبة. في البداية تبدأ وحدة التحكم في الحالات الشاذة القابل للتكيّف بالعمل في وضع التعلم حيث تجمع البيانات الإحصائية حول قواعد المراقبة التي يتم تشغيلها على مدى فترة زمنية محددة، وذلك لإنشاء نموذج نشاط اعتيادي لمستخدم أو مجموعة (السيناريو المشروع للاستخدام). بعدها يعمل النظام في وضع الوقاية حيث لا يقوم بتفعيل إلا القواعد التي تحظر الإجراءات الشاذة عن سيناريو هذه المجموعة أو هذا المستخدم. وإذا تغير نمط نشاط اعتيادي لأي سبب، يمكن تحويل وحدة التحكم في الحالات الشاذة القابل للتكيّف إلى وضع التعلم مرة أخرى بحيث يمكنها إنشاء سيناريو جديد.

على سبيل المثال: يعد وجود ملف JavaScript في ملف مضغوط في أحد المؤشرات على خطورة مرفق بريد الإلكتروني، إذ لا يحتاج العاملون في الإدارة المالية إلى تبادل مثل هذه هذه الملفات المضغوطة لأسباب مشروعة مطلقًا. على أنه من ناحية أخرى، يعد هذا الموقف شائعًا بين مطوري البرامج. عندما يكتشف نظام التحكم في الحالات الشاذة القابل للتكيّف هذه السيناريوهات المختلفة، فإنه سيحظر المرفقات التي تحتوي على محتوى نشط لمجموعة واحدة من المستخدمين (الإدارة المالية) ولكنه لن يحظرها لمجموعة أخرى (مطورو البرامج).

(3) الضبط الدقيق.إلى جانب الوضع التلقائي، يستطيع مسؤول النظام مراقبة تفعيل قواعد الحظر وإنشاء استثناءات فردية عندما يكون السلوك المطلوب حظره جزءًا من نشاط مشروع لمستخدمين أو تطبيقات أو أجهزة معينة.

على سبيل المثال: قد يكون حظر تنفيذ الملفات المزدوجة الامتداد (مثل img18.jpg.exe) هو قاعدة مراقبة صحيحة في 99% من جميع الحالات. ومع ذلك، قد يتم استخدام الملفات المزدوجة الامتداد في بعض الأنظمة استخدامًا مشروعًا (update.txt.cmd). وفي هذه الحالة، يمكن للمسؤول إضافة استثناء للسماح بذلك بكل سهولة.

(4) التآزر بين الأدوات المتعددة. وحدة التحكم في الحالات الشاذة القابل للتكيّف لا تعمل على تقليص مساحة الهجوم والتعرض للتهديدات (بما في ذلك التهديدات الفورية) فحسب، بل تعمل كذلك على تحسين الأداء التعاوني لحل Kaspersky Endpoint Security كجزء من منصة أمنية متعددة الطبقات. يمكن أن يعمل تشغيل قاعدة معينة للتحكم في الحالات الشاذة القابل للتكيّف كإشارة لفحص كائن مشبوه عن كثب بواسطة وحدات حماية أخرى أو عن طريق الخبراء.