Adaptive Protection چیست؟

آزمایشات نشان میدهد که محافظت تطبیقی Adaptive Protection، حملات احتمالی Living Off the Land را 4 ثانیه سریع‌تر مسدود میکند.

وقتی به روشهای حملات سایبری نظر میکنیم، اغلب به وبسایت‌های ناقص یا آلوده یا فایلهای اجرایی خطرناک ساخته شده توسط مهاجمان فکر میکنیم.

زمانی بود که بازیگران بد معمولاً قبل از اینکه راه‌حلهای آنتی‌ویروس فرصتی برای شناسایی امضای خود و جداسازی تهدید داشته باشند، بدافزاری را مینوشتند که برای آسیب‌رسانی طراحی شده بود. اما مجرمان امروزی از برنامه‌های تجاری قانونی بعنوان پوشش استفاده میکنند.

گزارش 2024 Ransomware Threat Landscape سیمانتک نشان‌ دهنده این افزایش در تکنیک‌های LOTL است، جاییکه عوامل تهدید حملات پیچیده‌ای را از طریق ویژگی‌های سیستم عامل یا ابزارهای قانونی انجام میدهند.

از سال 2021 تا 2023، تقریباً نیمی از حملات باج‌افزاری از ابزار LOTL استفاده میکردند و از هر 10 ابزاری که بیشتر در همه حملات باج‌افزار استفاده میشد، شش نرم‌افزار قانونی بودند.

LOTL به این معناست که برنامه‌های کاربردی قابل اعتماد در محیط شما میتوانند برای اهداف مخرب در حملات هدفمند استفاده شوند.

ابزارهایی مانند اجزای سیستم عامل ویندوز، PsExec، PowerShell، WMI، AnyDesk، Atera، Splashtop و ConnectWise بعنوان ابزارهای استفاده دوگانه نیز شناخته میشوند.

مشکل اینجاست: مدیران سیستم به همین ابزارها تکیه میکنند تا عملکردها را روان و ایمن نگه دارند.

این امر بویژه برای مدیران چالش برانگیز است که بین اعمال عادی و روزمره و رفتارهای غیرمعمولی که میتوانند نشانه فعالیت مخرب بالقوه باشند، تمایز قائل شوند.

این دقیقاً همان چیزی است که مهاجمان روی آن حساب میکنند- و این دلیل اصلی مهندسین سیمانتک است که حفاظت تطبیقی ​​را توسعه داده اند.

شما میتوانید از Adaptive Protection برای کاهش سطح حمله با مسدود کردن رفتارهای خاصی استفاده کنید که این برنامه‌های مورد اعتماد هرگز در محیط شما استفاده نمیکنند.

Adaptive Protection ​​چیست؟

Adaptive Protection، ویژگی منحصربفرد Symantec Endpoint Security (SES)، میباشد که ویژگی‌های فردی روزانه سازمان یا بخش خود را می‌آموزد و ترکیب‌هایی را که خارج از آن نمایه هستند مسدود میکند.

از تجزیه و تحلیل رفتاری استفاده میکند تا بطور خودکار مواردی را که مشاهده میکند، یاد بگیرد و استثناها را اعمال کند، و موارد خارج از استفاده معمولی را بدون تأثیر بر گردشهای کاری و رفتارهای شناخته‌ شده مسدود کند.

حفاظت تطبیقی Adaptive Protection با کوچک کردن سطح حمله و شناسایی رفتارهای غیرعادی که ممکن است نشان دهنده حمله LOTL باشد، زندگی را برای تیمهای امنیتی ساده میکند.

تیمهایی با این ویژگی امنیتی نقطه پایانی میتوانند:

• نظارت و شناسایی رفتارهای عادی در کل سازمان یا گروههای فردی
• یک چارچوب سیاستی بسازید که رفتارهای عادی را اصلاح کند و رفتارهای خارج از هنجار را مسدود کند، از جمله تغییرات رفتارهای عادی
• سطح حمله آنها را کاهش دهید
• تسریع در تشخیص تهدیدات احتمالی

از محافظت تطبیقی ​​برای کاهش سطح حمله خود با مدیریت رفتارهای بالقوه مخاطره آمیز که برنامه های کاربردی قابل اعتماد انجام می دهند، استفاده کنید.
حفاظت تطبیقی ​​از محیط های سازمانی در برابر تغییر چشم انداز تهدید به سمت حملات پیچیده و هدفمند محافظت میکند.

مهاجمان دیگر از ابزارهای حمله همه منظوره استفاده نمیکنند، بلکه حملات را با استفاده از ابزارهایی که در خود محیط سازمانی وجود دارد سفارشی می کنند.

این حملات Living Off the Land (LOTL) میتوانند در یک محیط حرکت کنند و از ارائه دهندگان امنیتی فرار کنند.

در واقع، Adaptive Protection میتواند بیش از 450 اقدام فردی را مسدود کند. بعنوان مثال، اگر مایکروسافت ورد PowerShell را اجرا میکند اما خارج از محدوده عادی رفتار است، میتوان آنرا مسدود کرد. مجموعه اقدامات مجاز یک پالیسی را برای آن سازمان تشکیل میدهد.

برای تیمهای امنیتی، مزایای واقعی وجود دارد. از آنجاییکه «محافظت تطبیقی» به اقدامات قانونی اجازه میدهد و همزمان اقدامات قانونی را که خارج از استفاده عادی هستند مسدود میکند، در نهایت سطح حمله را کوچک میکند و با توقف حملات LOTL، مهاجمان را خلع سلاح میکند.

در واقع، میتواند حملات LOTL را حتی قبل از اینکه سیستم‌های امنیتی خودشان شناسایی کنند، متوقف کند.

آزمایش حفاظت تطبیقی ​​در محیط عملیاتی

صحبت در مورد نحوه عملکرد حفاظت تطبیقی ​​آسان است، اما سوال اصلی اینست: آیا در سناریوهای دنیای واقعی عمل میکند؟ پاسخ کاملاً مثبت است و ما شاهد آن هستیم.

اخیراً، تصمیم گرفتیم قابلیت‌های Adaptive Protection را در محیط‌هایی که بر اساس محیط‌های عملیاتی واقعی مشتری است، به ‌دقت آزمایش کنیم.

هدف: ارزیابی اینکه چگونه راه‌حل میتواند حملات را در اوایل زنجیره کشتن مسدود کند.

برای اجرای یک آزمایش واقعی در طبیعت (ITW)، ما MRG Effitas را انتخاب کردیم که بدلیل سابقه اثبات شده خود در یافتن نمونه‌های دنیای واقعی که بطور موثر راه‌حلهای امنیتی را ارزیابی میکنند، شناخته شده است.

MRG Effitas دارای یک محیط آزمایش پیشرفته به نام Tempus است که محصولات EPP را در برابر آخرین تهدیدات سایبری ارزیابی میکند و هشدارهای فوری را ارائه میکند.

ما شش دستگاه را راه‌اندازی کردیم که از Symantec Endpoint Protection (SEP) استفاده میکردند، که یکی بعنوان کنترل عمل میکرد و بقیه از پنج پالیسی مختلف allow/deny پیاده‌سازی شده توسط مشتریان واقعی SES استفاده میکردند.

برای شبیه سازی رفتار عادی کاربر، لینک مخرب را در کروم باز کردیم، نمونه را دانلود و اجرا کردیم.

هر نمونه در یک سیستم محافظت نشده اجرا و با نتایج روی سیستم‌های محافظت شده مقایسه شد.

استفاده از ماشینهای مجازی سخت ‌شده، محیط را برای بدافزار نامرئی نگه میدارد و به ما امکان میدهد تا چرخه حیات کامل حمله را مشاهده کنیم.

نتایج با صدای بلند و واضح بود

این آزمایش نشان داد که Symantec Adaptive Protection کار میکند و بخوبی هم کار میکند.

تنها در چند روز، بیش از نیم دوجین مورد را پیدا کردیم که در آنها، Adaptive Protection حفاظت اولیه در برابر تهدیدات را تنها بر اساس کاهش سطح حمله ارائه میکرد.

قابل ذکر است که Adaptive Protection بدافزار را 4 ثانیه سریعتر از سیستمهایی که آنرا اجرا نمیکنند شناسایی کرد.

در نهایت، این تستها بر توانایی Adaptive Protection برای محدود کردن گزینه‌ها و فرصت‌های مهاجم تاکید کرد.

حفاظت تطبیقی ​​فقط در دستگاههای ویندوز پشتیبانی میشود و به لایسنس Symantec Endpoint Security Complete نیاز دارد.