Ochrona stacji roboczych: jak nie przesadzić z blokowaniem

Aby zmniejszyć powierzchnię ataku, można zablokować wiele dziurawych funkcji w oprogramowaniu. Jak to zrobić, aby nie zakłócić pracy?

W jaki sposób cyberprzestępcy atakują stacje robocze? Zwykle wykorzystują luki w często używanych programach lub potencjalnie niebezpieczne funkcje w legalnym oprogramowaniu. Oczywiście istnieją też inne sposoby, jednak te są najczęściej wykorzystywane. Może się więc wydawać logiczne, że korzystanie w takiego oprogramowania należy zablokować. Ale jak to zrobić, aby nie ucierpiała na tym płynność pracy? Bezmyślne blokowanie oprogramowania może przynieść firmie raczej szkodę; zatem należy wziąć pod uwagę różne potrzeby pracowników. Nasze podejście polega na zmniejszeniu powierzchni ataku poprzez adaptacyjną kontrolę anomalii przy użyciu technologii uczenia maszynowego.

Przez wiele lat pakiet MS Office był wątpliwie wyróżniany za liczbę luk, które wykorzystują cyberprzestępcy. Jednak nie oznacza to, że oprogramowanie to jest co do zasady złe. Luki są wszędzie. Sęk w tym, że cyberprzestępcy skupiają się częściej na pakiecie Office niż na jego odpowiednikach, ponieważ jest on najczęściej wykorzystywany. Nawet jeśli Twoja firma jest gotowa zapłacić za wyszkolenie pracowników, aby korzystali z alternatywnego rozwiązania, może się okazać, że za jakiś czas na popularności zyska inny pakiet, który przejmie po nim miano lidera wykorzystywanego oprogramowania.

Niektóre produkty zawierają funkcje, które bez wątpienia są niebezpieczne. Na przykład we wspomnianym pakiecie Office makra mogą zostać użyte do wykonania szkodliwego kodu. Jednak powszechny zakaz byłby niepraktyczny, ponieważ analitycy finansowi i księgowe potrzebują tych narzędzi w swojej codziennej pracy.

Całe zadanie polega na nadzorowaniu takich programów i interweniowaniu tylko wtedy, gdy pojawi się nietypowe działanie. Jest jednak jeden problem.

Jak rozpoznać nietypowe działanie?

Cyberprzestępcy działają tak, aby nie wzbudzać podejrzeń systemów zabezpieczających. W jaki sposób system cyberbezpieczeństwa może określić, czy wysłana do pracownika wiadomość zawiera ważny dokument z trojanem wykorzystującym marka? Czy ta osoba wysłała plik .js do celów związanych z pracą, czy może plik zawiera wirusa?

Teoretycznie możliwe by było ręczne przeanalizowanie pracy każdego pracownika, ustalenie potrzebnych narzędzi i na tej podstawie stworzenie modelu zagrożeń i zablokowanie niektórych funkcji programu.

Jednak powstaje tu wiele komplikacji. Po pierwsze, im większa jest firma, tym trudniej jest utworzyć dokładny model dla każdego pracownika. Po drugie, nawet w małych firmach ręczna konfiguracja wymaga poświęcenia sporo czasu i pracy ze strony administratorów. Po trzecie, proces ten prawdopodobnie trzeba będzie powtarzać za każdym razem, gdy infrastruktura firmowa lub narzędzia zostaną zmienione.

Aby ułatwić pracę administratorom i osobom odpowiedzialnym za bezpieczeństwo IT, należy zautomatyzować proces konfigurowania ograniczeń.

Kontrola adaptacyjna

Proces automatyzacji zaimplementowaliśmy w następujący sposób: najpierw systemy utworzone w oparciu o uczenie maszynowe zapoznały się z naszymi bazami zagrożeń i wygenerowały standardowe wzorce potencjalnie szkodliwej aktywności. Następnie zastosowaliśmy blokowanie punktowe tych wzorców na każdej stacji roboczej.

Później utworzyliśmy tryb adaptacji automatycznej (o nazwie „Smart”) w celu analizy aktywności użytkownika i określenia, które reguły można zastosować, a które mogłyby zakłócać jego pracę. Działa to tak: najpierw system działa w trybie uczenia, gromadząc statystyki uruchamiania reguł kontroli w określonym przedziale czasu. Na tej podstawie tworzy model normalnej pracy użytkownika lub grupy (oryginalny scenariusz). Następnie tryb uczenia zostaje wyłączony i aktywowane zostają tylko te reguły kontroli, które blokują nietypowe działania.

W sytuacji, gdy model pracy użytkownika zostanie zmieniony, system może zostać przełączony z powrotem w tryb uczenia i dostosowany do nowego scenariusza. Ponadto istnieje opcja zastosowania wyjątków.

Nie jest to panaceum, jednak znacząco zmniejsza powierzchnię potencjalnych ataków.

Moduł Adaptacyjnej kontroli anomalii wchodzi w skład zaktualizowanego rozwiązania Kaspersky Endpoint Security for Business Advanced. Więcej informacji na temat rozwiązania znajduje się tutaj.

Porady