سرویس ضد حملات هدفمند کسپرسکی (KATA)

No comments

این بستر یک راه حل پیچیده برای سازمان های بزرگ است که از چندین لایه فناوری های شناسایی برای محافظت در برابر حملات هدفمند استفاده میکنند. نظارت آنی بر ترافیک شبکه همراه با محیط آزمایشگاهی (Sandboxing) و تحلیل رفتار کلاینت ها، تصویر کاملی از آنچه که در زیرساخت فناوری اطلاعات یک کسب و کار اتفاق می افتد، ارائه میدهد.

با تلفیق کردن رخدادهای لایه های مختلف شامل شبکه، کلاینت ها و چشم انداز تهدیدات جهانی، KATA تشخیص تهدیدات پیچیده را در زمانی نزدیک به زمان آنی انجام میدهد و به فعال کردن تحقیقات سابق کمک میکند. این راه حل نمونه ای از آزمایشگاه چند لایه کسپراسکی برای حفاظت پیشرفته نسل بعدی میباشد.

در سال های گذشته، بدافزارهای کالا در سایه کمپین های حملات از پیش برنامه ریزی شده و طولانی مدت هدفمند و پیچیده که APT نامیده میشوند، پنهان مانده بودند. با هدف قرار دادن قربانی، چنین حملاتی به راحتی از محافطت تک لایه عبور میکنند. اما با وجود تکنیک های شناسایی بیشتر، احتمال خطای حمله کننده افزایش پیدا میکند.

هدف اصلی راه حل حمله ضد هدفمند، بالا بردن هزینه حمله است تا جایی که حمله سودآورنباشد.

KATA شامل تکنیک های تشخیص زیر است:

  • TAA(Targeted Attack Analyzer) : تحلیلگر حمله هدفمند، فناوری جدیدی که مخصوص KATA توسعه یافته است. این فناوری رخدادها را از کلاینت ها و سایر موتورهای جستجو جمع آوری میکنند تا بر اساس آمار و مدل های یادگیری تصمیم گیری کند.
  • محیط آزمایشگاهی (Sandbox): مبنای نرخ تشخیص  آزمایشگاه کسپراسکی که برنده جایزه شده است، روی یک سرور مجزا قرارمیگیرد. علاوه بر این، پس پردازش ویژه ای اضافه شد تا فعالیت های اتمی مشکوک پرونده ها را نشانه گذاری کند. از طرفی، این یک رویکرد کلی برای کشف ابزارهای مهاجم برای اقداماتش میباشد. از طرفی دیگر، اطلاعات بیشتری در مورد بدافزارها به افسر امنیتی میدهد.
  • اسکن های آنی ترافیک توسط IDS : روشی بسیار موثر برای تشخیص کانال های ارتباطی.
  • بررسی سنتی AV که با تنظیمات خاص کار میکند. تمام تشخیص های کامل و نیمه به TAA برای تحلیل های بیشتر فرستاده میشوند.
  • شبکه امنیتی کسپراسکی(KSN) : برای به دست آوردن اعتبارو شهرت، محبوبیت و همه اطلاعات ممکن درباره اشیایی که توسط KATA پردازش شده اند(پرونده ها، دامنه ها، URLها و غیره)در سطح گسترده ای استفاده میشود. از فضای ابر خصوصی نیز (KPSN) پشتیبانی میشود.
  • کاربر میتواند قوانین یارا (Yara) را برای اسکن اشیا عبوری از KATA بارگذاری کند. اگر شی در بایگانی باشد، KATA آن را باز میکند و آنها را به صورت جداگانه برای اسکن یارا میگذارد.
  • KATA داده ها را از منابع مختلف برای تحیل دریافت میکند:
    • سنسورهای شبکه یک کپی از ترافیک، بازیابی اشیا و ابرداده شبکه را برای تحلیل های بیشتر دریافت میکنند.
    • تلفیق شدن با SMG کسپراسکی این امکان را میدهد که همه پیام ها به KATA فرستاده شوند. موقتا، مشتری میتواند سنسور مخصوص ایمیل KATA را نصب کند.
    • امنیت کلاینت کسپراسکی(Endpoint Security)  میتواند به عنوان یک سنسور نقطه پایانی عمل کند تا همه داده  های ضروری را از کامپیوترهای سراسر شبکه مشتری جمع آوری کند. از طرف دیگر یک عامل (Agent) مستقل میتواند نصب شود که با امنیت یک کلاینت شخص ثالث سازگار باشد.

هدف اصلی KATA شناسایی حمله هدفمند در هر مرحله از زمان توسعه آن است. هر لایه حفاظتی وظیفه تشخیص یک یا چند مرحله از حمله را دارد: محیط آزمایشگاهی (Sandbox)، YARA  و آنتی ویروس وظیفه مانیتور کردن نفوذ، IDS مسئول ارتباطات و چک کردن دزدی اطلاعات، TAA تقریبا بر تمام مراحل نظارت میکند و KSN به همه موارد کمک میکند.

روزبه نوروزیسرویس ضد حملات هدفمند کسپرسکی (KATA)

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *