في آخر مدونتي لقد تحدثت عن كيفية تحديد “يوم الصفر” والعديد من الإساءات التي من وجهة نظري تعكر المياه ، مما يجعل معالجة المشكلة الفعلية أكثر صعوبة، أو يمكنك ببساطة قبول فرضية أن تهديدات يوم الصفر نادرة جدًا.
في كلتا الحالتين ، أقبل تمامًا أنه لا ينبغي لنا التوقف عن القلق بشأن تهديدات يوم الصفر تمامًا ، لكنني أعتقد أنه يجب علينا وضعها في السياق وتركيز مواردنا وفقًا لذلك. إن الغالبية العظمى من البرامج الضارة التي نواجهها ليست يوم الصفر وهي في الواقع تستغل الثغرات الأمنية المعروفة ولديها تصحيحات متاحة لجعلها غير فعالة.
سيعتمد تركيز مواردك وفقًا لذلك ، بالطبع ، على عدد الموارد التي لديك ومدى مهارتها ، لذلك يجب عليك تكييف القائمة أدناه لتناسب وضعك ، ولكن كقاعدة عامة ، إليك كيفية تحديد أولويات الأشياء:
المحتويات
تطبيق التصحيحات الجديدة هو جزء أساسي من دفاعك.
هناك أوقات (وأماكن) لا يمكن فيها تنفيذ التصحيح على الفور ، ولكن إذا كان بإمكانك التصحيح ، فيجب عليك القيام بذلك – والقيام بذلك في أسرع وقت ممكن.
لا تغفل أهمية تعليم المستخدم.
يتم تسليم نسبة كبيرة من البرامج الضارة عبر هجمات التصيد الاحتيالي ، كما أن التدريب الأفضل سيقلل من عدد المرات التي يتم فيها تنشيط هذه الروابط ، مما يؤدي إلى عدد أقل من الهجمات التي تحتاج دفاعاتك الأخرى إلى تحديدها وحظرها (وبالطبع عدد أقل من المحتمل أن تفوتها).
الدفاع في العمق هو النهج الوحيد المعقول.
نظرًا لأن منشئو البرامج الضارة أصبحوا أكثر مهارة في خداع المستخدمين والتكنولوجيا على حد سواء ، فإن وضع كل بيضك في سلة واحدة يبدو أنه نهج قديم أكثر فأكثر. يتمتع حل أمان نقطة النهاية الذي يستفيد من طرق حماية متعددة بفرصة أكبر ليكون فعالاً.
-
-
- الطريقة الأسرع والأقل كثافة في استخدام الموارد للقبض على البرامج الضارة هي عن طريق التوقيعات. قد يبدو الأمر قليلاً “القرن الماضي” وصحيح أن التوقيعات يمكنها فقط اكتشاف البرامج الضارة التي تمت رؤيتها بالفعل في مكان آخر (وقد تفكر في الرقم 725000 الذي ذكرته في مدونتي السابقة) ولكن ضع في اعتبارك أنه حتى لو كان هذا الطريقة لن تلتقط أحدث البرامج الضارة ، فهي لا تزال أفضل طريقة لتحديد ملفات البرامج الضارة الأخرى البالغ عددها 925 مليونًا في قاعدة البيانات. تسمح تصفية الملفات السيئة المعروفة دون إرهاق جهاز الكمبيوتر الخاص بك بالمزيد من دورات وحدة المعالجة المركزية للمهام الأخرى – أي طرق التعلم الآلي في النقطتين التاليتين ولكن الأهم من ذلك ، تشغيل التطبيقات التي قمت بتشغيل الكمبيوتر من أجلها بالفعل!
- بمجرد تصفية نسبة كبيرة من البرامج الضارة المعروفة ، تحتاج إلى التفكير في كيفية الحماية من النسبة الصغيرة التي لا توجد لها توقيعات – وهذا يعيدنا إلى التعلم الآلي المذكور سابقًا. لفهم المزيد عن التعلم الآلي بشكل عام ، حاول القراءة هذه المدونة كتبه أحد زملائي. ولكن ، لأغراض هذه المدونة ، وفي سياق مكافحة البرامج الضارة ، يأتي التعلم الآلي في نسختين أساسيتين ؛ التعلم الآلي قبل التنفيذ والتعلم الآلي بعد التنفيذ (أو التحليل السلوكي بمساعدة التعلم الآلي). تقوم نكهة التنفيذ المسبق بما تقوله بالضبط على العلبة … فهي تفحص الملف قبل أن تسمح له بالتنفيذ واختباره مقابل نموذج البرامج الضارة. إذا رأى أن الملف من المحتمل إحصائيًا أن يكون برنامجًا ضارًا ، فإنه يحظره – بشكل حاسم قبل يُسمح بالتنفيذ ، وبالتالي قبل أن يحدث أي ضرر على الإطلاق. يتطلب التعلم الآلي بعد التنفيذ أن يتم تنفيذ الملف ، ثم بدلاً من فحص الملف الثابت بحثًا عن مؤشرات على الضرر ، فإنه يراقب السلوك الفعلي للعملية (العمليات). بمجرد توفر بيانات التتبع هذه ، يمكن مقارنتها بنوع مختلف من النماذج ومرة أخرى يمكن إجراء تقدير لما إذا كان من المحتمل أن يكون ضارًا أم لا. كلا المتغيرين لهما قيمة ويكملان بعضهما البعض ، لذا مثلما يجب أن تبحث في الاكتشاف القائم على التوقيع وغير التوقيع ، لذا يجب أن تبحث في إصدارات ما قبل التنفيذ وبعده من التعلم الآلي.
- السيناريو الموضح أعلاه حيث يكون الفحص بعد التنفيذ مطلوبًا (لأن فحص ما قبل التنفيذ لم يحدد شيئًا ضارًا ويسمح له بالتنفيذ) هو مقطع أنيق في قيمة احتواء التطبيق. تم تصميم هذا المفهوم ، الذي قدمته McAfee في عام 2017 ، لتقليل الضرر الذي يمكن أن تحدثه عملية خبيثة حتى عندما يتم خداع دفاعات نقطة النهاية. هذا ذو أهمية خاصة بالنظر إلى الانتشار الحالي للبرامج الضارة المشفرة ، حيث أنه حتى إذا كان التحليل السلوكي يحدد البرامج الضارة التي تعمل على نظامك ، فقد يكون قد حذف بالفعل نقاط الاستعادة والبيانات المشفرة وملفات المصدر المكتوبة. سيحدد احتواء التطبيق الديناميكي ما إذا كان الملف ليس له سمعة وإذا لم يكن كذلك (لذلك لا يُعرف بأنه جيد أو سيئ) ، وبافتراض أن الفحص المسبق للتنفيذ يشير إلى أنه آمن ، فسوف يسمح له بالتنفيذ ولكنه سيحتوي في نفس الوقت. هذا يعني أنه إذا تبين لاحقًا أنه ضار ، فسيتم منعه ، على سبيل المثال ، الكتابة فوق بيانات المستخدم ، وتعديل السجل ، والوصول إلى مشاركات الشبكة ومجموعة كاملة من الأشياء الأخرى التي لا نريد أن يفعلها الأشرار.
-
التحكم في التطبيق
- في بعض البيئات ، يمكنك أيضًا التفكير في التحكم في التطبيق كطريقة للتأكد من أن التعليمات البرمجية الضارة لا يمكنها الاستفادة من أي ثغرات قد تكون موجودة. هذا هو نهج من نوع القائمة البيضاء يسمح لقسم تكنولوجيا المعلومات بتحديد مجموعة من التطبيقات والرموز التي يُسمح لها بالتنفيذ وحظر كل شيء آخر. نظرًا لأن التعليمات البرمجية الضارة لن تكون في القائمة البيضاء ، فلا يمكن تشغيلها أبدًا ، فلماذا لا يكون هذا هو الوضع الافتراضي لكل مؤسسة في جميع أنحاء العالم؟ الإجابة: لأنها تميل إلى أن يتم تجاوز قسم تكنولوجيا المعلومات مع المستخدمين الغاضبين الذين يحاولون إنجاز المهمة واكتشاف أن مجموعة محدودة فقط من التطبيقات ستنجح. شخص واحد من محبي متصفح ويب مختلف ، لكن يتم حظره من استخدام هذا التطبيق. شخص آخر لديه جهاز شخصي ويريد تحميل البرنامج ذي الصلة لتوصيله ، لكن لا يمكنه ذلك. يريد شخص ثالث استخدام أداة النقر الجديدة الرائعة في العرض التقديمي فقط ليجد أنه يحتاج إلى برنامج خاص به – وهذا غير مسموح به. والقائمة تطول … ويزداد غضب المستخدمين.
حماية نقطة النهاية
- تعتبر بعض حلول أمان نقاط النهاية أفضل من غيرها ، ولكن يجدر بنا أن نأخذ في الاعتبار أنه لم يكن هناك ، ولن يكون هناك حل مثالي بنسبة 100٪. لا يمكن لأي بائع أن يضمن أن البرامج الضارة أو المتسللين لن تجد طريقها أبدًا إلى بيئتك وهذا هو سبب وجود سوق مزدهر لحلول اكتشاف نقطة النهاية والاستجابة (EDR). تم تصميم هذه الحلول لتحليل البنية التحتية الخاصة بك واستجوابها باستمرار لاكتشاف النشاط الخبيث منخفض المستوى الذي لا يتم تحديده بواسطة أنظمة الدفاع الأخرى ، ومن ثم تمكنك من الرد على تلك التهديدات ، وعزل الأنظمة المصابة ، ومعالجة الضرر واستعادة الخدمة العادية بالسرعة بقدر الإمكان.
باختصار ، تعتبر تهديدات يوم الصفر طريقًا طويلاً أسفل قائمة الأشياء التي أعتقد أنه يجب على الشركات التركيز على معالجتها. هذا لا يعني أنه يجب تجاهلها ، ولكن هناك أشياء أسهل لإصلاحها والتي من المحتمل أن يكون لها تأثير أكثر إيجابية. نصيحتي هي التوقف حتى يصبح الترقيع تحت السيطرة الكاملة ، ويعرف المستخدمون كيفية التصرف كخط دفاعك الأول ولديك حل جيد لمكافحة البرامج الضارة (الاستفادة من التوقيعات والتعلم الآلي) مثبتًا. عندها فقط يجب أن تحول انتباهك إلى مخاطر “يوم الصفر”!
x3Cimg height = “1” width = “1” style = “display: none” src = “https://www.facebook.com/tr؟id=766537420057144&ev=PageView&noscript=1” /> x3C / noscript> ‘ ) ؛