الدفاعات المتقدمة ضد الهجمات المستهدفة: منصة KATA

كيف تحمي الشركات نفسها من التهديدات المستعصية المتقدمة؟

إن ما يسمى بالتهديدات المستعصية المتقدمة هي حملات هجوم متطورة ومستهدفة وطويلة المدى، وعادة ما تكون معدة بشكل جيد للغاية ومصممة بشكل احترافي لتجاوز الحماية ذات الطبقة الواحدة.

الغرض الرئيسي من الحل المضاد للتهديدات المستعصية المتقدمة/مكافحة الهجمات المستهدفة هو زيادة تكلفة شن الهجوم إلى الدرجة التي لا تصبح فيها هذه الممارسة ممكنة عمليًا أو قابلة للتطبيق اقتصاديًا. تعتمد هذه الحلول على تطبيق تقنيات متعددة، فكلما زادت طبقات الاكتشاف المختلفة التي يمكن تنفيذها وكلما زادت مراقبة نقاط الدخول المحتملة لتنفيذ الهجمات، زادت احتمالية الكشف عن الهجوم، بغض النظر عن مقدار الوقت والمال الذي يستعد المهاجم لاستثماره فيها.

منصة KATA تجمع بين Kaspersky Anti Targeted Attack وKaspersky EDR، وهي بهذا خير مثال على هذا النوع من حلول المؤسسات، وطبقات تقنياتها المتقدمة تتضمن ما يلي:

تحليل نسبة استخدام الشبكة: تتميز هذه الوحدة بقدرات اكتشاف السلوك وتحلل حركة نقل البيانات والكائنات باستخدام تقنية IDS وسمعة عنوان URL:

• تجمع تقنية اكتشاف التسلل بين اكتشاف التهديدات التقليدية والمتقدمة، والتي يتم تشغيلها بواسطة مجموعة فريدة من قواعد IDS لتحليل حركة نقل البيانات، والتي يتم توجيهها نحو الهجمات المستهدفة. يتم تحديث مجموعات قواعد المعرّفات تلقائيًا وفوريًا.
• تحليل سمعة عنوان URL. يتم الكشف عن عناوين URL المشتبه فيها أو غير المرغوب فيها استنادًا إلى بيانات السمعة من Kaspersky Security Network العالمية المستندة إلى السحابة، والتي تتضمن أيضًا معلومات حول عناوين URL والمجالات المرتبطة بالهجمات المستهدفة.

آلية تحديد الوصول:آلية تحديد الوصول تشغل عناصر مشبوهة على أجهزتها الافتراضية لاكتشاف النشاط الضار،  وبهذا تتلقى آلية تحديد الوصول نماذج مهام التنفيذ التي تتضمن معلمات المحاكاة الافتراضية استنادًا إلى مصدر الكائن الذي تم تقييمه، والغرض من التقييم (مثل نوع نظام أو أنظمة التشغيل، وتكوين نظام التشغيل، والبيئة، ومعلمات بدء العينة، ومدة التنفيذ).

تجمع آلية تحديد الوصول ما يلي أثناء تنفيذ العينة:

• سجلات سلوك العينة (بما في ذلك اتصالات وظائف النظام، والتكرار مع عمليات وملفات أخرى، وأنشطة الشبكة، وعناوين URL، إلخ)
• عمليات التفريغ
• الكائنات التي تم إسقاطها
• حركة المرور الناتجة عن العينة

بمجرد اكتمال التنفيذ، يتم تخزين المنتجات التي تم الحصول عليها، وبعدها تعالجها أداة فحص مخصصة. إذا تبيّن أن العينة ضارة، سيتم إرجاع الحكم وسيتم تعيين النتائج إلى قاعدة معارف MITRE ATT&CK. يتم تخزين جميع البيانات المجمعة داخليًا لتمكين المزيد من التحليل لتكتيكات الخصم وتقنياته دون الحاجة إلى طلبات آلية تحديد الوصول الإضافية، مما يوفر الموارد على الخادم.

يوجد مجموعة شاملة من المزايا (تشمل الإدراج العشوائي لبيئة نظام التشغيل، وتسارع الوقت في الأجهزة الافتراضية، وتقنيات مكافحة التهرب، ومحاكاة نشاط المستخدم، إلخ) تساهم في الاكتشاف المستند إلى السلوك عالي الكفاءة. ويستخدم برنامج الحماية عددًا من التقنيات الحاصلة على براءة اختراع ويمكن تشغيلها في كل من الوضعين التلقائي واليدوي.

Kaspersky Security Network هي بنية تحتية عالمية سحابية تتضمن الأحكام المتعلقة بالسمعة ومعلومات أخرى عن العناصر التي تعالجها منصة KATA (الملفات والنطاقات وعناوين URL وعناوين IP وغيرها). أيضًا توفر شبكة KSN إمكانية الاكتشاف باستخدام نماذج التعلم الآلي السحابي، مثل التعلم الآلي السحابي لنظام Android:النظام الأساسي يجمع البيانات الوصفية لملفات APK المحلية ويرسلها إلى شبكة KSN التي ترد عليه بحكم أنشأه النموذج المستند إلى التعلم الآلي. وبصفتها حلًا خاصًا قائمًا على السحابة، تتوفر Kaspersky Private Security Network (KPSN) للمؤسسات غير القادرة على إرسال بياناتها إلى سحابة KSN العالمية ولكنها لا تزال ترغب في الاستفادة من قاعدة بيانات السمعة العالمية من Kaspersky. وبالإضافة إلى الوصول الخاص إلى قاعدة بيانات المعلومات عن التهديدات العالمية لدينا، يتم تخزين الأحكام الصادرة من منصة KATA على قاعدة بيانات KPSN محلية وتتم مشاركتها تلقائيًا مع منتجات Kaspersky الأخرى المنشورة ضمن البنية التحتية التنظيمية للاستجابة التلقائية. يمكن للمؤسسات التي تنشر KPSN الاستفادة من السمعة التي توفرها أنظمة خارجية دون خطوات وسيطة، وذلك عبر واجهة برمجة التطبيقات.

يمكن أن يكتشف محلل الهجمات المستهدفة (TAA) الإجراءات المشتبه فيها استنادًا إلى مناهج استدلالية محسّنة للخلل، موفرًا قدرات مؤتمتة في الوقت الحقيقي لتعقب التهديدات. يدعم هذا كذلك التحليل التلقائي للأحداث، والعلاقة المتبادلة بين هذه الأحداث ومجموعة فريدة من مؤشرات الهجوم التي تولدها أجهزة رصد التهديدات من Kaspersky. وفي كل مرة يكتشف فيها محلل الهجمات المستهدفة عيبًا كبيرًا، يتلقى أخصائي أمن تكنولوجيا المعلومات وصفًا كتابيًا وتوصيات (مثل كيفية الحد من مخاطر تكرار الحدث المكتشف) وإشارة إلى الثقة بالحكم ومدى خطورة الحدث من أجل مساعدته في التصنيف. يتم تعيين جميع مؤشرات الهجوم إلى MITRE ATT&CK لتوفير معلومات مفصلة، بما في ذلك التقنية المستخدمة المحددة في ATT&CK والوصف واستراتيجيات التخفيف من المخاطر؛ وهذا يعني أنه يمكنك الاستفادة تلقائيًا من أبحاث التهديدات عالية المستوى دون التحميل الزائد على الخبراء الداخليين ذوي المهارات العالية، مما يتيح لهم الوقت لتنفيذ مهام أخرى معقدة، مثل التحقيق في الحوادث العميقة والبحث عن التهديدات. يمكنك أيضًا إنشاء قاعدة بيانات مخصصة من مؤشرات الهجوم بحيث تناسب البنية الأساسية الخاصة بك على سبيل المثال أو قطاع صناعتك.

محرك محسّن للحماية من البرمجيات الضارة:من خلال العمل على عقدة مركزية، وبامتلاك إعدادات أكثر حدة من تلك التي تم تمكينها على تكوين نقطة النهاية، يفحص المحرك الكائنات بحثًا عن تعليمات برمجية ضارة أو يحتمل أن تكون خطرة، بالإضافة إلى إرسال كائنات تحتوي على محتويات من المحتمل أن تكون ضارة إلى آلية تحديد الوصول. ينتج عن ذلك اكتشافات دقيقة للغاية يمكن أن تكون ذات قيمة كبيرة أثناء مرحلة التحقيق في الحادث.

فحص مؤشرات الاختراق:تسمح منصة Kata بتحميل مؤشرات الاختراق مركزيًا من مصادر بيانات التهديدات وتدعم الفحص التلقائي المجدول لها، الأمر الذي يعمل على تيسير عمل المحللين. يمكن استخدام عمليات فحص قواعد البيانات بأثر رجعي لإثراء جودة المعلومات حول أحداث الأمان والحوادث المُبلغ عنها مسبقًا.

التحقق من صحة شهادة:تتحقق وحدة Certcheck من صحة الشهادات الموقعة ومن وجود شهادات مشبوهة من عدمه.

تشمل خدمات منصة KATA لخبراء أمن تكنولوجيا المعلومات أيضًا ما يلي:

الاكتشاف عبر قواعد YARA: YARA من أكثر الأدوات استخدامًا للبحث عن أنواع جديدة من البرمجيات الضارة، وهي تدعم قواعد المطابقة المعقدة للبحث في ملفات ذات خصائص وبيانات تعريف محددة، مثل السلاسل التي تميز نمط مبرمِج معين. من الممكن إنشاء قواعد YARA مخصصة وتحميلها لتحليل الكائنات للتهديدات الخاصة بمؤسستك المحددة.

التحليل بأثر رجعي:أتمتة جمع البيانات والكائنات والأحكام وتخزينها المركزي يسمح بإجراء تحليل بأثر رجعي أثناء التحقيق في الهجمات متعددة المراحل، حتى في الحالات التي يتعذر فيها الوصول إلى نقاط النهاية المعرضة للخطر أو عندما يتم يقوم مجرمون إلكترونيون بتشفير البيانات. بالإضافة إلى ذلك، يمكن إعادة الفحص الدوري للملفات المحفوظة من البريد وحركة نقل البيانات على الويب تلقائيًا مع تطبيق أحدث قواعد الكشف المحدثة.

أداة فعالة ومرنة لإنشاء الاستعلامات من أجل البحث عن التهديدات بحثًا استباقيًا: يمكن للمحللين إنشاء استعلامات معقدة بحثًا عن سلوك غير نمطي وأحداث مشبوهة وتهديدات خاصة بالبنية الأساسية لديك من أجل تحسين الاكتشاف المبكر لأنشطة الجرائم على الإنترنت.

الوصول إلى بوابة المعلومات المتعلقة بالتهديدات من Kaspersky:استعلامات التهديدات اليدوية في قاعدة معارف معلومات التهديدات لدينا لمحللي أمن تكنولوجيا المعلومات توفر سياقًا إضافيًا للبحث عن التهديدات والتحقيق الفعال.

تجمع منصة KATA البيانات لتحليلها من مصادر مختلفة:

يتلقى مستشعر الشبكةنسخًا من جميع بيانات نسبة استخدام الشبكة حيث يسترد منها الكائنات وبيانات تعريف الشبكة لمزيد من التحليل. تكتشف مستشعرات الشبكة الأنشطة في مناطق متعددة من بيئة تكنولوجيا المعلومات مما يتيح اكتشاف التهديدات المعقدة في بيئات الوكيل والويب والبريد الإلكتروني "في الوقت شبه الحقيقي":

• بإمكان مستشعر الشبكة استخراج معلومات حول مصدر الحركة على الشبكة، ووجهتها وحجمها وتواترها (حتى إذا كان الملف مشفرًا). هذه المعلومات كافية بوجه عام لاتخاذ قرار بشأن مستوى الاشتباه الواجب تطبيقه ولاكتشاف الهجمات المحتملة. بروتوكولات SMTP وPOP3 وPOP3S وHTTP وHTTPS وICAP وFTP وDNS مدعومة.
• يمكن لمستشعر الشبكة اعتراض حركة نقل البيانات على الويب والتعامل مع الكائنات التي يتم إرسالها بواسطة بروتوكول HTTPS عن طريق التكامل مع الخادم الوكيل عبر بروتوكول ICAP.
• يدعم مستشعر البريد الإلكتروني التكامل مع خوادم البريد عبر اتصال POP3 وSMTP بصندوق البريد المحدد. يمكن تكوين أداة الاستشعار لمراقبة أي مجموعة من صناديق البريد.

وبالإضافة إلى تحليل نسبة استخدام الشبكة بالكامل، يمكن للنظام الأساسي توفير استجابة تلقائية على مستوى البوابة للتهديدات المعقدة باستخدام Kaspersky Secure Mail Gateway وKaspersky Web Traffic Security كحساسات شبكة كاملة الميزات تخدم منصة KATA.

مستشعرات نقطة النهاية (Kaspersky EDR ) تجمع كل البيانات الضرورية من نقاط النهاية عبر البنية التحتية لديك. الوكيل الذي يتم نشره على نقاط النهاية يراقب العمليات والتفاعلات واتصالات الشبكة المفتوحة وحالة نظام التشغيل والتغييرات التي تطرأ على الملفات وما إلى ذلك، ثم يرسل البيانات والمعلومات التي تم جمعها فيما يتعلق باكتشاف الأحداث المشبوهة إلى منصة KATA لإجراء المزيد من الدراسة والتحليل، وكذلك للمقارنة مع الأحداث التي تم اكتشافها في تدفقات المعلومات الأخرى.

استخدام منصة KATA

من خلال تطبيق التقنيات المذكورة أعلاه ضمن بنية خوادم موحدة وإدارة مركزية، توفر منصة KATA أمن نقاط دخول التهديدات المحتملة على مستوى الشبكة ونقاط النهاية، بما في ذلك خوادم الويب والبريد وأجهزة الكمبيوتر الشخصية والمحمولة والخوادم والأجهزة الافتراضية، مما يوفر رؤية تفصيلية لما يحدث في البنية التحتية لتكنولوجيا المعلومات في مؤسستك. توفِّر منصة KATA مجموعة شاملة من الأدوات لاكتشاف التهديدات المتعدد الأبعاد وإجراء التحقيق المتعمق والبحث الاستباقي عن التهديدات والاستجابة المركزية للحوادث المعقدة.

تتكامل منصة KATA مع Kaspersky Endpoint Security for Business لتوفير حماية لنقطة النهاية التي تتضمن الحظر التلقائي للتهديدات والاستجابات للحوادث المعقدة، كما تتكامل أيضًا بشكل وثيق مع Kaspersky Security Mail Gateway وKaspersky Web Traffic Security لحظر التهديدات المستندة إلى البريد الإلكتروني والويب ولتوفير استجابة تلقائية للتهديدات الأكثر تعقيدًا. يعمل هذا الحل المتكامل على تقليل الوقت والطاقة اللذين تحتاج فرق أمن تكنولوجيا المعلومات إلى إنفاقهما على الحماية المتقدمة من التهديدات، وذلك بفضل التشغيل التلقائي الأمثل للإجراءات الدفاعية على مستوى الشبكة ونقاط النهاية، مع إثراء المعلومات حول التهديدات وإدارتها عبر وحدة تحكم ويب واحدة.

تحمي منصة KATA البنية التحتية للشركات من التهديدات المعقدة والهجمات المستهدفة دون الحاجة إلى استقطاب موارد إضافية؛ وتعمل المنصة المضمنة في استراتيجيتك القائمة على تزويد فريق أمن تكنولوجيا المعلومات أو مركز عمليات الأمن لديك لمواجهة التهديدات المعقدة والهجمات المستهدفة بشكل موثوق وفعال، مما يكمل تقنيات الحماية القائمة التي توفرها جهة خارجية ويدعم التفاعل مع معلومات الأمن وإدارة أحداثه.