حملات هدفمند باجافزاری که هر روز بر شمار و میزان پیچیدگی آنها افزوده میشود به یکی از اصلیترین دغدغههای سازمانها و کسبوکارهای بزرگ تبدیل شدهاند. حملاتی که مقابله با آنها در نتیجه از سرگیری دورکاری گسترده کارکنان در کشور در نتیجه شیوع کرونا بیش از پیش چالشبرانگیز شده است.
McAfee Endpoint Security – به اختصار McAfee ENS – از جدیدترین و پیشرفتهترین محصولات امنیت نقاط پایانی است که با فناوریهای یادگیری ماشین (Machine-learning) و ضدبهرهجو (Anti-exploit) قادر به شناسایی پیچیدهترین تهدیدات سایبری از جمله بدافزارهای روز-صفر (Zero-day) و کدهای موسوم به بدون فایل (Fileless) است.
در این مطلب برخی قابلیتهای این محصول بهطور اجمالی مورد بررسی قرار گرفته است.
Endpoint Security Threat Prevention
ماژول Endpoint Security Threat Prevention شامل قابلیتهای متعدد نظیر پویش مبتنی بر امضا و مقابله با بهرهجوها از طریق تحلیل رفتار و پیشینه (Reputation) پروسهها است. بهمنظور بهرهگیری کامل از قابلیتهای مذکور، پیکربندی تنظیمات پویش بلادرنگ و پویش در زمان درخواست بر اساس بهروشها (Best Practice)، بهروز بودن بانک داده بدافزارها (DAT)، هسته اجرایی (Engine)، بانک ضدبهرهجو (Exploit Prevention Content) و ارتباط با سامانه Global Threat Intelligence توصیه میشود.
در بسیاری از حملات هدفمند باجافزاری از تکنیکهای موسوم به بدون فایل بهره گرفته میشود. در این حملات مهاجمان از پروسههای معتبر سیستم عامل PowerShell برای دریافت و اجرای کدهای باجافزار سوءاستفاده میکنند. بررسیهای شرکت امنیتی مکآفی نشان میدهد که مجموع بدافزارهای PowerShell در سهماهه اول 2020 در مقایسه با چهار دوره قبل 1902 درصد افزایش یافتند.
قواعد بخش بینظیر Exploit Prevention قادر به ثبت رفتارهای PowerShell و مسدودسازی هر گونه سوءاستفاده از آنها هستند.
Endpoint Security Firewall
پودمان RDP یا Remote Desktop Protocol قابلیتی در سیستم عامل Windows است که امکان اتصال از راه دور کاربران تعیین شده را به دستگاه فراهم میکند.
تبهکاران سایبری از ابزارهایی همچون Shodan برای شناسایی سرورهای با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات موسوم به Brute Force میکنند.
هدف از اجرای حملات Brute Force رخنه به دستگاه از طریق پودمانی خاص – در اینجا RDP – با بکارگیری ترکیبی از نامهای کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به پودمان RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.
در صورت فراهم شدن اتصال، مهاجمان نرمافزاری را بر روی سرور اجرا کرده و از آن برای دستدرازی به تنظیمات و سرویسهای نرمافزارهای ضدبدافزار، پشتیبانگیری و پایگاه داده نصب شده بر روی آن استفاده میکنند. در ادامه نیز فایل مخرب باجافزار را دریافت کرده و بر روی سرور به اجرا در میآورند.
مؤثرترین راهکار در مقابل این تهدیدات غیرفعال کردن این پودمان است. اما در صورت ضرورت استفاده از RDP، علاوه بر تغییر درگاه پیشفرض آن بهرهگیری از دیواره آتش لازم و ضروری است. نرمافزار ENS دارای یک دیواره آتش حالتمند (Stateful) مجهز به تنظیمات متعدد است که به سادگی میتوان از آن برای حفاظت در برابر حملات مبتنی بر RDP بهره برد. بدینترتیب، امکان اتصال به دستگاه از طریق پودمان RDP تنها به نشانیهای IP خاص محدود شده و ارتباطات خروجی RDP از روی دستگاه فقط به نشانیهای IP مورد تایید سازمان – بهمنظور جلوگیری از حرکت جانبی مهاجمان در سطح شبکه – مجاز خواهد شد.
Endpoint Security Web Control
مهاجمان در حملات حرفهای از تکنیک حفره آبیاری (Watering Hole) و ایمیلهای فیشینگ هدفمند (Spear Phishing) حاوی لینک به سایتهای مخرب برای رخنه اولیه به شبکه سازمان بهره میگیرند. اگر چه معمولا در زمان حضور کاربر در سازمان ارتباطات اینترنتی او از طریق محصولات موسوم به Web Proxy محافظت شده است اما در خارج از سازمان (برای مثال به دلیل دور کار شدن) که دیگر خبری از تجهیزات پیشرفته مذکور نیست کاربر به این تهدیدات آسیبپذیرتر میشود. Endpoint Security Web Control با رصد نتایج جستجوی ظاهر شده در موتورهای جستجوگر و سایتهای فراخوانی شده بر روی دستگاه، کاربر را از گزند تهدیدات مبتنی بر وب ایمن نگاه میدارد.
دسترسی به سایتها بر اساس میزان بی خطر، پیشینه – بر اساس اطلاعات سامانه Global Threat Intelligence –، محتوا، نشانی URL یا نام دامنه آنها مطابق با سیاستهای سازمان قابل مدیریت است. تنظیمات پیکربندی شما را قادر به تنظیم پیکربندی میکند.
Endpoint Security Adaptive Threat Protection
بخش Adaptive Threat Protection دارای قابلیتهایی نظیر یادگیری ماشین، اطلاعات تهدید (Threat Intelligence)، پویش اسکریپت و تحلیل رفتار برنامههاست که امکان مقابله مؤثر با تکنیکهای پیچیده مورد استفاده در حملات هدفمند را فراهم میکند.
پویشگر Real Protect آن با رصد فعالیتهای مشکوک بر روی سیستمها و استفاده از تکنیکهای رفتارشناسی الگوهای مخرب را شناسایی میکند. همچنین Real Protect میتواند با پویش اسکریپتهای اجرا شده در بستر شبکه مخرب بودن آنها را تشخیص داده و نسبت به متوقف کردن آنها اقدام کند. پویشگر اسکریپت Real Protect با یکپارچگی با AMSI در Windows سیستمها را از گزند اسکریپتهای موسوم به Non-browser-based که در آنها از پروسههای معتبری همچون PowerShell،و JavaScript و VBScript بهره گرفته میشود حفظ میکند.
Endpoint Security Enhanced Remediation
اگر تا بحال با پیام موسوم به “اطلاعیه باجگیری” (Ransom Note) مواجه شده باشید بهخوبی میدانید که این پیام تداعیکننده وارد آمدن زیان مالی، اتلاف شدن روزها و شاید هفتهها، از دست دادن دادههای باارزش سازمان و یا حتی افشای آنهاست.
Enhanced Remediation از قابلیتهای پیشرفته McAfee ENS است که برای ایمن نگاه داشتن اطلاعات از گزند باجگیران سایبری طراحی شده است. این قابلیت با رصد هر پروسه با پیشینه نامشخص و تهیه پشتیبان از تغییرات اعمال شده توسط آن به محض محرز شدن مخرب بودن آن تغییرات اعمال شده بر روی سیستم و اسناد را به حال قبل باز میگردند.
Endpoint Security Story Graph
Story Graph در McAfee ENS فعالیت تهدید را از بدو ورود به سیستم تا زمان متوقف شدن توسط ATP به تصویر می کشد. تصویر زیر نمونهای را نشان میدهد که در آن یک سند Word که از طریق فیشینگ هدفمند به دست قربانی رسیده، اجرا شده و در آن ماکرویی حاوی PowerShell برای برقراری ارتباط با سرور فرماندهی (C2) فراخوانی شده است. در ادامه پس از ترفیع سطح دسترسی مهاجم، حرکت جانبی (Lateral Movement) در سطح شبکه آغاز میشود.
Story Graph سیر زمانی، وابستگیها و ارتباطات رویداد را بصری میکند. با این قابلیت، راهبران و تحلیلگران امنیت میتوانند به سرعت از رفتار مخرب متوقف شده توسط ATP آگاه شوند و از گسترش فعالیتهای مهاجم در بستر شبکه جلوگیری کنند. اطلاعات جامع ارائه شده نظیر پروسه والد و نشانی IP مورد استفاده در جریان دریافت کد مخرب میتواند در تحقیقات تکمیلی بسیار کارگشا باشد. باید توجه داشت چنانچه در این مثال ماژول Threat Prevention همان طور که در بالا اشاره شد به نحوی تنظیم شده بود که سوءاستفاده از PowerShell را مسدود کند این حمله بسیار زودتر متوقف میشد.
Endpoint Security Self Protection
در صورت موفقیت در رخنه به سیستم بسیار محتمل است که مهاجم اقدام به ویرایش، حذف یا غیرفعال کردن محصولات امنیتی کند. Self Protection تنظیمات متعددی را در اختیار راهبران قرار میدهد که ضمن محدودسازی حذف محصول، تلاش برای دستدرازی به فایلها و سرویسها را مسدود و گزارش میکند.
تحلیل گران امنیتی باید همواره سیستمهایی که Self Protection آنها غیرفعال است را مورد توجه ویژه قرار دهند. McAfee ePO دارای گزارشی با عنوان Endpoint Security: Self Protection Compliance Status است که میتوان آن را بهطور مستمر در داشبورد رصد کرد یا در مجموعه گزارشهای روزانه لحاظ کرد.
لازم به ذکر است که Mac OS و Linux هر دو توسط McAfee ENS قابل پشتیبانی هستند.
درباره مکآفی
شرکت McAfee در سال 1987 توسط بنیانگذار آن، John McAfee، تأسیس شد. بعدها، وی سهام خود را بهطور کامل فروخت و از شرکت کنارهگیری کرد ولی نام McAfee همچنان با این شرکت باقی ماند. البته برای مدت کوتاهی از اواخر دهه 1990 میلادی تا سال 2004، نام شرکت به Network Associates تغییر یافت ولی دوباره با تصمیم مدیران شرکت، نام McAfee انتخاب شد.
در سال 1998 این شرکت اقدام به خرید شرکت Dr. Solomon’s که شرکت مهندسی شبکه گستر نمایندگی انحصاری آن را در ایران داشت، نمود.
در سال 2010، شرکت Intel با پرداخت 7/7 میلیارد دلار، McAfee را بهطور کامل خرید و در اختیار گرفت. در پی آن شرکت McAfee با حفظ ساختار، بهعنوان یک شرکت تابعه متعلق به Intel تحت مجموعه بزرگ Intel Security به فعالیت خود ادامه داد.
در اواخر سال 2016 شرکت سرمایهگذاری TPG Capital اقدام به خرید 51 درصد از سهام Intel Security از Intel نمود و این شرکت از اوایل سال 2017 فعالیت رسمی خود را با منابع و سرمایهای بیشتر اما بهصورت مستقل از دو شرکت صاحب سهام خود – Intel و TPG Capital – با همان نام قدیمی McAfee و با شعار جدید “قدرت در با همدیگر بودن است” (.Together is power) آغاز کرد.
McAfee با بیش از 7 هزار متخصص و اختراع بیش از 1550 فناوری ثبت شده یکی از بزرگترین و اصلیترین تأمینکنندگان امنیت نقاط پایانی در جهان است.
فناوریهای رفتارشناسی و یادگیری ماشین آن که بدون هر گونه محدودیت در تمام نقاط جهان از جمله ایران در دسترس هستند محصولات این شرکت را قادر به مقابله با پیچیده ترین تهدیدات امروزی کردهاند.
در حال حاضر 622 میلیون نقطه پایانی در سرتاسر جهان تحت پوشش محصولات McAfee قرار دارند. 87 درصد از بزرگترین بانکهای جهان تحت پوشش راهکارهای مکآفی قرار دارند. 80 درصد از یکصد شرکت برتر (موسوم به Fortune 100) از محصولات شرکت McAfee برای حفاظت از سیستمهای خود استفاده میکنند.