Anpassningsbar avvikelsekontroll

Begränsning av sårbara utrymmen och striktare regler är en både effektiv och billig skyddsteknik. Ju mer du vet om systemets sårbarheter och vilka funktioner du inte aktiv använder, desto lättare är det att välja rätt förebyggande åtgärder mot attacker som riktar in sig på just dessa.

Det finns dock även nackdelar med dessa metoder. Vissa scenarion ignoreras vid användning av allmänna restriktioner, vilket kan innebära problem för behöriga användare. Ta den här situationen som ett exempel. Det går att köra PowerShell i ett Word-dokument med hjälp av makron och denna "användbara" funktion har orsakat enorm spridning av skadlig programvara. En fullständig blockering av dessa makron kan dock vara problematiskt för vissa avdelningar i företaget. Många ekonomiavdelningar använder till exempel makron i Word-dokument.

Ett annat problem är att manuell tillämpning av striktare regler tar mycket lång tid och kräver expertis. Varje justering av en blockeringsregel för olika grupper och program tar enormt lång tid att utföra, även för de mest erfarna administratörerna. Dessutom innebär nya hot och ändringar i infrastrukturen att dessa säkerhetspolicyer regelbundet måste anpassas.

Anpassningsbar avvikelsekontroll (AAC, Adaptive Anomaly Control) är en ny säkerhetsmodul för Kaspersky Endpoint Security-lösningen. Detta är ett smart verktyg som begränsar utrymmen som kan utsättas för attacker per automatik. Med den här tekniken går det att anpassa de strikta systemreglerna på individ- eller gruppnivå, så att alla kan få åtkomst till de funktioner som de behöver utan att systemet utsätts för risker eller belamras med onödiga funktioner.

Huvudfunktioner för den anpassningsbara avvikelsekontrollsmodulen:

(1) En omfattande uppsättning av effektiva kontrollregler skapade av Kasperskys experter, baserad på data som samlats in med maskininlärningsteknik. Beteendeanalysalgoritmer underlättar vid identifiering av nya misstänkta och potentiellt heuristiska åtgärder i systemet. Dessa åtgärder kan dock vara befogade i vissa situationer och kan därför inte blockeras för allmänna ändamål. Dessa potentiellt heuristiska åtgärder kan dock omvandlas till fullt fungerande striktare regler genom att låta experter definiera och precisera undantag för dessa.

Ett vanligt exempel på misstänkt beteende är när program startas via en systemprocess, som Windows Sessionshanteraren, Process för lokala säkerhetsfunktioner eller Startprogrammet i Windows. I vissa situationer finns det en befogad anledning till detta, till exempel vid omstart av Windows-operativsystemet. Experternas uppgift är att identifiera dessa förhållanden och skapa en kontrollregel för att förhindra att dessa program öppnas via systemprocesserna, med undantag för de åtgärder som krävs för att operativsystemet ska fungera som det ska.

(2) Automatisk anpassning (smart läge) baseras på användaraktivitetsanalyser. I detta läge minskas behovet av manuell konfiguration av kontrollregler avsevärt. AAC-modulen startar i inlärningsläget och samlar in statistiska uppgifter om kontrollregler som aktiverats under en viss tidsperiod. Detta för att kunna få en översikt över användarens eller gruppens normala aktivitetsmönster (befogade fall). I förhindringsläget aktiveras sedan enbart de regler som blockerar onormala aktivitetsmönster för gruppen eller användaren. Växla tillbaka till inlärningsläget i ACC-modulen om normala aktivitetsmönster ändras, så att den kan lära sig det nya mönstret.

Ett tecken för dem som arbetar på ekonomiavdelningen kan till exempel vara förekomsten av JavaScript eftersom de inte har nytta av dessa arkiv. Däremot har många utvecklare behov av dessa. När AAC-modulen har registrerat de olika fallen för avdelningarna blockerar den bilagor med aktivt innehåll för ena gruppen (ekonomiavdelningen) men inte för den andra (utvecklarna).

(3) Finjustering. Utöver det automatiska läget är det även möjligt för systemadministratörer att aktivera blockeringsregler och skapa individuella undantag om det visar sig att ett befogat användar-, program- eller enhetsbeteende har blockerats.

Du bör till exempel i stort sett alltid blockera dubbla tilläggsfiler som img18.jpg.exe, medan tilläggsfiler som update.txt.cmd kan användas utan problem i vissa system. I det här fallet kan administratören enkelt lösa problemet genom att skapa ett undantag.

(4) Kombinera flera verktyg. Utöver att begränsa de utrymmen som kan vara sårbara för attacker och hot (inkl. dag noll-attacker) underlättar AAC-modulen även samarbetet mellan Kaspersky Endpoint Security som en del av en plattform med säkerhet på flera nivåer. Aktivering av specifika AAC-regler kan användas som en indikator på att en mer utförlig undersökning av ett misstänkt objekt bör utföras av en annan säkerhetsmodul eller av experter.