Նորարարություն

Էլեկտրոնային փոստի անվտանգության սպառնալիքների հայտնաբերման մեթոդաբանությունը

Էլեկտրոնային փոստի անվտանգության սպառնալիքների հայտնաբերման մեթոդաբանությունը


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Անվտանգության համակարգերը ապավինում են անընդհատ թարմացվող սպառնալիքների ստորագրություններին `մշտապես զարգացող սպառնալիքների դեմ պայքարելու համար: Տվյալների շտեմարանի թարմացումներն իրականացվում են ամեն հաճախ, այնպես որ նոր գրոհները ճիշտ են հայտնաբերվում և արգելափակվում:

Այդ պատճառով անվտանգության ընկերությունները հոգ են տանում, որ վերջին սպառնալիքների վերաբերյալ տեղեկատվությունը անհապաղ հավաքագրվի և վերլուծվի ՝ ավելի մեծ խնդիրներ կանխելու համար: Էլեկտրոնային փոստի անվտանգության մեջ գերակշռող գաղափարն այն է, որ դուք կարող եք հաղթել այն, եթե գիտեք դա: Դուք չեք կարող կուրորեն պատասխանել գրոհներին:

Գուցե անհրաժեշտ է, որ ամեն ինչ փոխվի, քանի որ վերջերս BitDam անվտանգության ընկերության կողմից հրապարակված ուսումնասիրությունը բացահայտեց անհայտ հարձակումների հետ գործ ունենալու վտանգները: Անվտանգության համակարգերը կարող են լավ լինել ամենավերջին սպառնալիքների վերաբերյալ տեղեկատվություն հավաքելու հարցում (իրենց ստորագրության տվյալների բազան թարմացնելու և հայտնաբերման հնարավորությունները թարմացնելու համար), բայց դրանց պաշտպանությունը հատկապես անբավարար է, երբ առաջին անգամ բախվում են վնասակար ծրագրակազմի, որն իր տվյալների բազայում չունի համապատասխան սպառնալիքի ստորագրություն:

Ուսումնասիրելով անհայտը

BitDam- ի էլփոստի անվտանգության ուսումնասիրությունը զրոյացնում է ձեռնարկության էլփոստի առաջատար պլատֆորմների թույլ կողմերը անհայտ սպառնալիքների կամ դրանց առաջին անգամ հանդիպած խնդիրների լուծման հարցում: Modernամանակակից համակարգերը բավականին արդյունավետ են եղել արդեն իսկ հայտնաբերված հարձակումները արգելափակելու գործում: Սակայն առավել կարևոր հարցն այն է, թե ինչպես են նրանք վերաբերվում հարձակման նոր մեթոդաբանությանը կամ դրանց տարբերակներին:

Ուսումնասիրության գործընթացը կարող է ամփոփվել հետևյալ կերպ.

  1. Հետազոտողները հավաքել են չարամիտ նմուշներ,
  2. Հաստատվեց, որ դրանք իսկապես վնասակար կամ վնասակար են,
  3. Փոփոխեց ստուգված վնասակար ծրագրաշարը,
  4. Ուղարկեց ստուգված չարամիտ ծրագիրը ՝ էլփոստի հաշիվները նպատակադրելու համար
  5. Հետևել է էլփոստի անվտանգության համակարգերը, որոնք պաշտպանում են հասցեական էլփոստի հաշիվները, և
  6. Հավաքել և վերլուծել է դիտարկվող տվյալները:

Ստուգված չարամիտ ծրագրերը, որոնք հասցրել են անցնել էլեկտրոնային փոստի անվտանգության համակարգերով, հետ ուղարկվում են նվազող հաճախականությամբ `ուսումնասիրության ընթացքում: Առաջին չորս ժամվա ընթացքում չարամիտ պարունակող ֆայլերը կրկին ուղարկվում են յուրաքանչյուր 30 րոպեն մեկ: Հաջորդ 20 ժամվա ընթացքում նորից ուղարկելու հաճախականությունը կրճատվում է ՝ հասնելով 2 ժամը մեկ անգամ: Հաջորդ հաճախականությունը հետագա յոթ օրվա ընթացքում իջեցվում է յուրաքանչյուր 6 ժամը մեկ անգամ և, ի վերջո, դադարեցվում է յոթերորդ օրվանից հետո: Դա արվում է մոդելավորելու համար

Ուսումնասիրությունը սկզբում կենտրոնացել էր Microsoft- ի Office365 ATP- ի և Google- ի G Suite- ի վրա: Այն շարունակական ուսումնասիրություն է, և պլանն է, ի վերջո, ներառել Proofpoint և էլփոստի անվտանգության այլ խոշոր համակարգեր:

Այսպիսով, ինչպե՞ս BitDam- ը ձեռք բերեց «Անհայտ» հազարավոր չարամիտ ծրագրեր:

Սա, իհարկե, կարևոր հարց է: Ուսումնասիրության համար BitDam- ն օգտագործել է հազարավոր ստուգված չարամիտ ծրագրեր: Եթե ​​այն հասանելի է այս անհայտ չարամիտ ծրագրերին, ապա ողջամիտ է միայն, որ անվտանգության համայնքը կասկածի այդ ընկերությանը: Այնուամենայնիվ, BitDam- ը իրականում ձեռք չի բերել հազարավոր չարամիտ ծրագրեր, որոնք դեռ գրանցված չեն Microsoft- ի և Google- ի սպառնալիքի տվյալների շտեմարաններում: Ուսումնասիրությանը անցնելու համար նրանք պետք է լինեին ստեղծագործ և հնարամիտ:

Սպառնալիքների աղբյուրը, որոնք անհայտ կհամարվեն Office365- ի և G Suite- ի համար, ուսումնասիրությունն իրականացնելու կարևորագույն մարտահրավերներից մեկն է: BitDam- ը չունի սպառնալիքների առատ աղբյուրներ, որոնք դեռ չեն հայտնաբերվել անվտանգության խոշոր համակարգերի կողմից: Լուծում. Սպառնալիքների փոփոխումը ՝ դրանք նոր ու անհայտ դարձնելու համար:

Վերջերս հայտնի, բայց հայտնի սպառնալիքների անհայտության վերափոխումը հնարավոր է դարձել ՝ օգտագործելով երկու մեթոդ: Առաջինն այն էր, որ չարամիտ պարունակող ֆայլերի հեշը փոխելով ՝ դրանց համար բարենպաստ տվյալներ ներմուծելով: Երկրորդ մեթոդը պահանջում էր մակրոի ստատիկ ստորագրության փոփոխում `ավելացնելով պատահական բառերից բաղկացած մեկնաբանություններ և վերափոխելով յուրաքանչյուր մակրո գործառույթի ծածկագիրը բազային տողի:

Այլ կերպ ասած, թեստերի համար օգտագործված անհայտ սպառնալիքները առկա վերջինների տարբերակներն են: Այս տարբերակների օգտագործումը հետազոտողների համար լուծեց երկու հիմնական խնդիր. Վարակված ֆայլերը փորձնական էլ. Փոստերին կցելու խնդիր և չարամիտ ծրագրի ուղղակի զտիչ (քանի որ դրանք արդեն գտնվում են Office365 և G Suite տվյալների բազայում): Microsoft- ի և Google- ի էլփոստի ծառայություններն ավտոմատ կերպով ստուգում են էլ. Փոստին կցվող ֆայլերը այնպես, ինչպես սկանավորում են այն կցորդները, որոնք փորձում են մուտքագրել մուտքի արկղեր:

Այս ամբողջ գործընթացը հետազոտողներին ներկայացրեց հետևյալ eureka պահերը.

  • Էլ.փոստի համակարգերը հակված են սխալ հայտնաբերել առկա սպառնալիքների տարբերակները, նույնիսկ եթե բնօրինակ սպառնալիքներում արդեն գրանցված են իրենց ստորագրությունները:
  • Հեշտ է վնասակար ծրագրերի այնպիսի տարբերակներ արտադրել, որոնք անվտանգության համակարգերին անհայտ են թվում: Արհեստական ​​հետախուզության միջոցով վնասակար ծրագրերի անհամար տարբերակներ կարող են ստեղծվել և օգտագործվել ավելի շատ հարձակումների համար:

Սա բացատրում է, թե ինչու BitDam- ի հետազոտողները ստիպված էին կատարել 3-րդ քայլը վերոնշյալ գործընթացում: Փոփոխությունն անհրաժեշտ է կենսունակ անհայտ սպառնալիքներ ներկայացնելու և փորձարկման էլ. Փոստերում չարամիտ ֆայլերի կցումը հնարավոր դարձնելու համար:

Բարձր հայտնաբերման բաց թողնված տեմպերի և TTD- ի խնդիրը

Լուծելով չարամիտ ֆայլեր կցելու խնդիրները և անհապաղ հայտնաբերելը Office365- ի և G Suite- ի կողմից, հետազոտողները անցան թեստերի և բախվեցին մտահոգիչ արդյունքների:

Թեստերը կատարելուց մի քանի շաբաթ անց, Office365- ը ցույց տվեց, որ առաջին բախման միջին արագությունը 23% է: Առաջին շաբաթվա ընթացքում բաց թողնված ցուցանիշն ամենաբարձրն էր (31%): G Suite- ն էլ ավելի վատ արդյունք ցույց տվեց ՝ գրանցելով առաջին բախման միջին 35,5% ցուցանիշ: Likeիշտ այնպես, ինչպես Office365- ը, առաջին շաբաթվա ընթացքում այն ​​գրանցեց ամենաբարձր ցուցանիշը ՝ ցնցող 45%:

Տագնապալի է նաև (TTD) թվերը հայտնաբերելու ժամանակը: Առաջին հանդիպումից 483 ժամվա ընթացքում Office365- ը ունեցել է միջին TTD: G Suite- ի համար դա 26,4 ժամ է:

Պարզաբանելու համար առաջին բախման տեմպը վերաբերում է այն տոկոսադրույքին, որով էլփոստի անվտանգության համակարգերը չկարողացան հայտնաբերել իրենց ուղարկված ստուգված չարամիտ ծրագիրը: Մյուս կողմից, TTD- ն վերաբերում է այն ժամանակին, երբ անվտանգության համակարգերը պահանջում են չարամիտ ծրագրերը հայտնաբերելուց հետո, երբ դրանք ներկայացվել են առաջին անգամ:

Հայտնաբերման խափանումները թույլ կետեր են ստեղծում, որոնք թույլ են տալիս ներթափանցել սպառնալիքները: Երկար TTD- ներով ռիսկերը խորանում են: 48 ժամ տևողությամբ TTD- ը նշանակում է, որ էլփոստի հաշիվները խոցելի են երկու օրվա ընթացքում: Անվտանգության համակարգը միայն տեղեկանում է, որ այն սպառնալիքը, որը թույլ էր տալիս ավելի վաղ անցնել, պետք է արգելափակված լիներ: Այդ ժամանակ էլփոստի օգտվողները կարող են արդեն ներբեռնել կցված ֆայլերը կամ սեղմել վնասակար հղումները:

Օգտագործելով գերակշռող սպառնալիքների հայտնաբերման մոտեցումը, անհրաժեշտ կլինի, որ անվտանգության համակարգերը թարմացնեն տվյալների շտեմարանները սպառնալիքի ստորագրությամբ հենց դրա թողարկումը: Դա պարզապես անհնար է:

Նույնականացումը միակ լուծումը չէ

Նոր և դեռ չբացահայտվող հարձակումների խնդրի լուծման միակ միջոցը անհայտին իմանալը չէ: Ի վերջո, գործնականում անհնար է հայտնաբերել սպառնալիքները և թարմացնել սպառնալիքի ստորագրության շտեմարանները հենց դրանց թողարկման պահին:

Որպես այդպիսին, BitDam- ն առաջարկում է վերանայել, թե ինչպես է գործում սպառնալիքի հայտնաբերումը: Հարձակումները հայտնաբերելու համար մեծապես ապավինելու նորացված տվյալների (տվյալների վրա հիմնված) փոխարեն, գաղափարը `մոդելային մոտեցում որդեգրելն է:

BitDam- ը մշակել է ATP լուծում, որն օգտագործում է սպառնալիք-ագնոստիկ շարժիչ: Այն ներկայացնում է հայտնաբերման մոտեցում, որը հարձակման մասին տեղեկատվություն չի պահանջում ՝ որոշելու համար, արդյոք ինչ-որ բան վնասակար է և պետք է արգելափակվի: Այն կենտրոնանում է ծրագրերի ֆայլերի հետ փոխգործակցության եղանակի վրա:

Կատարման «մաքուր» հոսքերի մոդելները ստեղծվում են, որպեսզի հավելվածները գործեն, թե ինչպես են գործում, երբ նրանք աշխատում են անվտանգ, անաղարտ կամ բարորակ ֆայլերի հետ: Եթե ​​ATP շարժիչը դիտարկի կատարման հոսքեր, որոնք շեղվում են այն բանից, թե ինչպես են ընթանում մաքուր հոսքերը, տրամաբանական որոշում կլինի կասեցնել կասկածելի ֆայլը:

BitDam- ի մոդելի վրա հիմնված սպառնալիքների հայտնաբերման շարժիչը շատ արդյունավետ է եղել, ինչի վկայությունն է այն, թե ինչպես է նա հայտնաբերել Office365- ի և G Suite- ի կողմից առաջին իսկ հանդիպման ժամանակ բաց թողնված սպառնալիքները: Դա ցույց է տալիս, որ անհրաժեշտ չէ իմանալ անհայտը `այն ճիշտ գնահատելու համար որպես վնասակար կամ վնասակար:

Որպես եզրակացություն

Անհայտ լինելը սպառնալիքներն ավելի ռիսկային ու վախեցնող է դարձնում: Բարեբախտաբար, միշտ չէ, որ լուծումը պետք է լինի անհայտի հակառակը: BitDam- ը ներկայացրել է սպառնալիքների հայտնաբերման մոդելի վրա հիմնված մոտեցում, որն ապացուցված է, որ թեստերը շատ արդյունավետ են: Դա կարող է նույնիսկ TTD- ն հասցնել զրոյի: Այս մեթոդը, սակայն, նպատակ չունի տվյալների վրա հիմնված ռազմավարությունները փոխարինել: Դա կարող է խթանել էլեկտրոնային փոստի անվտանգության համակարգերի արդյունավետությունը, բայց դրա համար, ամենայն հավանականությամբ, անհրաժեշտ կլինի թարմացված սպառնալիքների վերաբերյալ տեղեկատվություն `չափազանց կեղծ դրական արդյունքների հնարավորությունը լուծելու համար, եթե դրանք չափազանց ագրեսիվ դառնան:


Դիտեք տեսանյութը: Առաքել Մովսիսյանը, նույն ինքը Շմայսը, Երևանում է. Ես ոչ մի տեղ չունեմ արտագաղթելու (Մայիս 2022).