طراحی یک ابزار تجزیه و تحلیل مبتنی بر کاربر و موجودیت برای شناسایی باج‌افزارها توسط شرکت Niara

شرکت Niara که یک شرکت امنیتی در گروه شرکت‌های Silicon Valley در کالیفرنیا آمریکاست، تنها یک سال است فعالیت‌های خود را علنی کرده است. این شرکت طی هفته جاری یک ابزار تجزیه و تحلیل مبتنی بر کاربر و موجودیت را راه‌اندازی کرده است که برای شناسایی باج‌افزارهای ناشناخته موجود به کارمی رود.

Niara در این خصوص اولین شرکتی نیست که اقدام به استفاده از روش‌های مبتنی بر احتمالات می‌کند. این شرکت در عین حال مدعی است که با این اقدامات در تلاش است به عنوان یک شرکت سرآمد در میان رقبا مطرح شود و برای این منظور از ابزار و بخش‌های نظارتی و غیر نظارتی برای شناخت بدافزارها در مراحل مختلف کار باج‌افزارها استفاده می‌کند.

این شرکت می‌توانست در گذشته خود را به عنوان یک شرکت معروف در حوزه مبارزه با بدافزارها معرفی کند، اما تلاشی را در این خصوص ترتیب نداد. این شرکت تلاش لازم برای به‌روزرسانی بخش‌های امنیتی را نداشت و فقط اقدام به افزایش آن‌ها می‌کرد و تا قبل از مدت اخیر، تمامی خطرات و تهدیدهای رخ‌داده علیه این شرکت تنها به صورت «یک تهدید شناخته‌شده مضر» شناسایی می‌شد. سریرام راماشاندران در این خصوص معتقد است: «خطرات موجود با استفاده از ابزارهای فعلی قابل‌ رفع است. خطرات همواره وجود دارند، پس چرا باید ابزاری که هنوز هم کار می‌کند را جایگزین کرد؟»

علی‌رغم اینکه ابزار تحلیل رفتاری ابزاری قوی است، اما راماشاندران در این خصوص معتقد است که استفاده از «نواحی خاکستری» روش بهتری است. وی برای مثال حملات whaling (مانند سوءاستفاده از رایانامه‌های تجاری) را مثال می‌زند. ابزارهای امنیتی ممکن است هیچ‌گونه عامل بدافزاری را در چنین رایانامه‌هایی شناسایی نکنند. وی در مثال دیگری، مثالی از شرکت خود را بیان کرد. وی گفت: «ممکن است که یک عامل بدافزاری رایانامه‌ای را با نشانی N۱ARA.COM ارسال کند. از آنجایی‌که این نشانی بسیار شبیه نشانی شرکت Niara است، برای مثال، این رایانامه به مسئول ارشد بخش مالی ارسال می‌شود و در آن رئیس شرکت نحوه انتقال پول به یک حساب مشخص را توضیح داده است. این رایانامه اگرچه هیچ عامل مخربی را در خود ندارد، اما مخرب است، زیرا منبع اصلی فرستنده آن N۱ARA.COM است و هر کسی آن را با NIARA.COM. اشتباه می‌گیرد (جابه‌جایی حرف I و عدد ۱).»

متأسفانه روش‌های سنتی امنیت آن‌طور که باید عوامل بدافزاری را شناسایی نمی‌کنند. در عین حال، یک ماشین که بخش تحلیل زبانی روی آن فعال می‌شود، می‌تواند نام دامنه را بررسی کند و کشف کند که نام منبع اصلی بسیار شبیه، اما متفاوت است. این ابزار سپس به کاربر اخطار و یادآوری لازم را می‌دهد و وی را از خطر وقوع یک مشکل آگاه می‌کند.

محصول جدید این شرکت دارای بخش‌های مختلفی است که مراحل مختلف آلودگی توسط یک عامل بدافزاری را بررسی می‌کند. یکی از این بخش‌ها بخش سرآیند رایانامه‌ها را بررسی می‌کند. بخش دیگری نیز تمامی پرونده‌های ضمیمه به رایانامه را مورد بررسی و اسکن قرار می‌دهد. این بخش در اصل ساختار پرونده را بررسی می‌کند و به دنبال بدافزارها نیست. بدافزارهای موجود در این فرآیند ممکن است خطر چندانی نداشته باشند، اما در هر حال مهم این است که وارد سامانه می‌شوند. کاربر می‌تواند با تنظیم سامانه در حالت هشدار، حتی در مواقع بروز کوچک‌ترین مشکل، آگاه شود. وی همچنین می‌تواند بخش‌های دفاعی برای مبارزه با عامل بدافزاری را تنظیم کند.

اگر خطرات رخ‌داده کمتر از حد تنظیم‌شده توسط کاربر باشند، بخش بعدی فعال می‌شود. راماشاندران در توضیح بیشتر این بخش اضافه می‌کند: «در این بخش وجود عامل بدافزاری، هرچند با خطر کم، مشهود می‌شود. ما این اتفاق را به کاربر اعلام می‌کنیم. با توجه به اینکه برنامه عکس‌العمل کاربر را در چنین مواردی از قبل رصد کرده است، الگوی رفتاری وی در این خصوص از پیش تنظیم و طراحی شده است و می‌توان گفت که یک الگوی ارتباط دستور و کنترل برای این کاربر طراحی می‌شود. این مراحل در کنار هم باعث شکل‌گیری سه نوع مشکل کم‌خطر می‌شود که در کنار هم این سه مشکل تبدیل به یک مشکل خطرناک می‌شوند و به همین دلیل برنامه اقدام به هشدار جدی در این خصوص می‌کند. این فرآیند را می‌توان به سرعت برای حملات کم‌خطر و آهسته نیز فعال کرد. در عین حال، بخش تحلیلی همواره در هر شرایطی به کار خود ادامه می‌دهد.»

راماشاندران همچنین با اذعان به اینکه این روش برای هر نوع بدافزاری قابل استفاده است، در توضیح بیشتر در این خصوص می‌گوید: «در این برنامه بخش‌هایی نیز وجود دارند که به شکل نظارتی برای شناسایی مشکلات موجود در شبکه که از باج‌افزارها ناشی شده‌اند، استفاده می‌شوند. بررسی‌های شبکه یا شاخص‌های رمزنگاری در میزبان‌ها، به اشتراک‌گذاری پرونده‌های شبکه و یا خدمات نگهداری از اَبر از این‌گونه بخش‌ها هستند. همچنین الگوهای دستیابی نیز توسط این بخش‌ها قابل شناسایی هستند. این الگوها با الگوهای مربوط به انواع مختلف بدافزارها متفاوت‌اند.»

شرکت Niara از بخش‌های آموزشی نظارتی و غیر نظارتی برای شناسایی تهدیدها استفاده می‌کند. راماشاندران در این خصوص یادآور شد: «تلاش برای شناسایی رفتارهای مخرب کاملاً غیر نظارتی (Unsupervised) است. بخش سامانه نام دامنه یک بخش آموزش نظارتی است که در بخش‌های آموزشی شرکت ما کاملاً تخصصی با این مبحث برخورد می‌شود. نکته‌ای که در این زمینه ما را متمایز می‌کند این است که ما مجموعه‌ای از بخش‌های مختلف را داریم که در سطوح مختلف برای دفع عوامل بدافزاری فعالیت می‌کنند. همچنین شرکت ما این اقدامات را با استفاده از روش‌های نظارتی و غیر نظارتی انجام می‌دهد. روش غیر نظارتی معمولاً در پیدا کردن عوامل بدافزاری عملکرد خوبی دارند و بخش‌های نظارتی در رفع این عوامل مفید هستند. در بیشتر موارد نیز از هر دو این روش‌ها استفاده می‌شود.»

وی همچنین در ادامه یادآور شد که هدف این اقدامات، شناسایی شاخصه‌هایی از بدافزارها است تا با استفاده از آن‌ها در سریع‌ترین فرصت ممکن از سوءاستفاده آن‌ها جلوگیری شود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.