امسی سافت در بحث مبارزه با حملات باج افزاری یک رهبر جهانی است. ما یکی از شرکای پروژه no more ransom هستیم و همواره به سازمان های قربانیِ حملات باج افزاری، در به حداقل رساندن خسارت کمک کرده ایم. محصولات ما در حال بر قراری امنیت هزاران شرکت و سازمان در سراسر دنیا هستند و ابزارهای رمزگشای رایگان امسی سافت، مانع از پرداخت صدها میلیون دلار باج توسط قربانیان شده است.
مبارزه با حملات باج افزاری، از پیشگیری کردن و حفاظت از اطلاعات کاربران آغاز می شود. به همین دلیل راه حل ها و محصولات امنیتی ما دارای طیف وسیعی از فناوری های خاص هستند که با کمک یکدیگر، انواع باج افزارهای موجود را شناسایی کرده و مانع از رمزگذاری اطلاعات کاربران می شوند.
به لطف افزایش extortion (اخاذی و باجگیری در چند مرحله)، بکاپ گیری و تهیه نسخه پشتیبان از اطلاعات، مانند قبل یک راه حل قطعی به حساب نمی آید. در نتیجه، استفاده از یک راه حل امنیتیِ کامل و مطمئن در برابر حملات باج افزاری، امری ضروری است.
در این مطلب قصد داریم تا به معرفی لایه های محافظت از باج افزار آنتی ویروس امسی سافت بپردازیم و بررسی کنیم که امسی سافت چگونه از کاربران در برابر خانواده های باج افزاری شناخته شده و یا ناشناخته، محافظت می کند.
1. شناسایی مبتنی بر امضا باج افزار (Signature-based)
در دنیای دیجیتال، همه فایل ها و اشیا موجود دارای ویژگی های خاص خود هستند که می توان با استفاده از آنها، یک امضای دیجیتال منحصر بفرد برای آن ها ایجاد کرد. هنگامی که یک فایل مخرب و آلوده شناخته شود، امضای آن به دیتابیس بدافزار های شناخته شده اضافه می شود و شرکت های امنیت سایبری از این دیتابیس برای شناسایی حملات بدافزاری استفاده می کنند. هنگامی که آنتی ویروس امسی سافت فایلی را اسکن می کند که با امضای مخرب شناخته شده مطابقت دارد، آن فایل به سرعت شناسایی و مسدود می شود.
دیتابیس امضاهای آنتی ویروس امسی سافت به طور مداوم در حال بروزرسانی است تا از کاربران ما در برابر انواع تهدیدات و حملات بدافزاری محافظت کند. به کمک شبکه جمع آوری اطلاعات و مشارکت انحصاری با ID Ransomware، جزء اولین برندهای این صنعت هستیم که از گونه های جدید باج افزار با خبر شده و امضای آن را به سرعت در دیتابیس اضافه می کنیم.
2. شناسایی مبتنی بر رفتار باج افزار (behavior-based)
با اینکه شناسایی مبتنی بر امضا در تشخیص و مسدود سازی حملات باج افزاری بسیار خوب عمل می کند، اما قادر به شناسایی انواع جدید باج افزار (Zero-Day) نیست، چرا که امضای آن ها در هیچ دیتابیس بدافزاری وجود ندارد.
اینجاست که شناسایی مبتنی بر رفتار باج افزار، وارد عمل می شود. شناسایی مبتنی بر رفتار امسی سافت، با شناسایی الگوهای رفتاری غیرمعمول و مسدود کردن فرآیند های مشکوک قبل از اینکه بتوانند تغییری در سیستم شما ایجاد کنند، کار می کند. ماژول رفتارشناسی ما شامل یک لایه اختصاصی ضد باج افزار است که به دنبال تشخیص رفتارهای خاص باج افزار است و حملات باج افزاری را قبل از رمزگذاری اطلاعات، متوقف می کند.
حملات باج افزاری معمولا سلسله رفتارهای خاص و البته مشابهی را دارند که می توان آن ها را به سرعت شناسایی کرد. از این رو ماژول رفتارشناسی امسی سافت می تواند تقریباً هر نوع باج افزار و یا بدافزار دیگری را با اطمینان شناسایی کند، حتی اگر دیتابیس آن بروز نباشد!
3. شناسایی اکسپلویت (Exploit)
زنجیره حملات باج افزاری اغلب با اکسپلویت از آسیب پذیری های امنیتی در سیستم عامل و یا نرم افزار ها آغاز می شود. پس از نفوذ اولیه، مهاجمان با استفاده از انواع مختلف بدافزار ها شروع به جمع آوری اطلاعات در خصوص سیستم عامل کرده و معمولا اقدام به سرقت اطلاعات حساس قبل از اجرا کردن باج افزار می کنند. لایه های حفاظتی آنتی ویروس امسی سافت قبل از اینکه مهاجمان بتوانند در سیستم اختلال ایجاد کنند، زنجیره حمله را قطع می کنند. این سیستم با جلوگیری از فرآیند تزریق کد به برنامه ها برای اجرای کدهای مخرب و استقرار فایل های آلوده به این هدف می رسد. (به عنوان مثال جلوگیری از اجرای اسکریپت های خطرناک PowerShell توسط برنامه های شخص ثالث)
شناسایی اکسپلویت ها اطمینان می دهد که باج افزارها در همان مراحل اولیه حمله تشخیص داده شده و مسدود می شوند، مستقل از اینکه به چه روشی (مانند پیوست های ایمیل، حملات RDP، آسیب پذیری های سیستم عامل و غیره) به سیستم کاربر نفوذ کرده باشند.
4. حفاظت با استفاده از پسورد مدیر
باج افزارها معمولاً چند روز، چند هفته یا حتی ماه ها پس از نفوذ به سیستم اجرا می شوند. مهاجمان از این زمان برای عملیات شناسایی و جمع آوری اطلاعات استفاده می کنند تا میزان خسارت را به حداکثر برسانند. یکی از کارها غیر فعالسازی سیستم های امنیتی و آنتی ویروس می باشد که تضمین می کند باج افزار قادر خواهد بود بلافاصله پس از اجرا بدون مزاحمت و مسدود شدن، کار خود را انجام دهد.
آنتی ویروس امسی سافت، دارای یک سیستم احراز هویت از کاربران است که از غیرفعال کردن آنتی ویروس جلوگیری می کند. پس از تنظیم پسورد مدیر، هر زمان که کاربر و یا فرآیندی بخواهد آنتی ویروس را غیرفعال یا پیکربندی کند، بایستی ابتدا پسورد مورد نظر را وارد کند. به این ترتیب، مهاجمان نمی توانند آنتی ویروس را حذف و یا غیر فعال کنند، حتی اگر به سیستم و شبکه شما نفوذ کرده باشند. با اینکه پسورد مدیر را می توان به صورت محلی در آنتی ویروس تنظیم کرد، توصیه می کنیم از کنسول مدیریت ابری امسی سافت برای پیکربندی، مدیریت، مانیتورینگ و اعمال تنظیمات استفاده کنید.
5. سیستم هشدار حملات RDP
RDP یکی از رایج ترین روش های حملات باج افزاری است. در فرآیند یک حمله مبتنی بر RDP، مهاجمان معمولاً پورت RDP در معرض اینترنت را اسکن کرده و سعی می کنند با استفاده از ابزارهای brute-force به سیستم دسترسی پیدا کنند. پس از نفوذ به سیستم، مهاجم دسترسی کامل به تمامی اجزا سیستم دارد.
آنتی ویروس امسی سافت با مانیتورینگ پیوسته سرویس RDP به مدیران شبکه کمک می کند تا از این نوع حملات در امان باشند. هنگامی که چندین تلاش ناموفق برای ورود به سیستم از طریق RDP شناسایی می شود، سیستم هشدار حملات RDP به مدیر شبکه سریعا اطلاع می دهد. وضعیت سرویس RDP هر سیستم را می توان به راحتی در کنسول مدیریت ابری امسی سافت مشاهده و بررسی کرد.
نتیجه گیری
آنتی ویروس امسی سافت دارای لایه های حفاظتی متعددی است که با همکاری یکدیگر باج افزارها را شناسایی کرده و جلوی رمزگذاری اطلاعات را می گیرند. توجه به این نکته ضروری است که این مطلب صرفا در مورد فناوری های اختصاصی باج افزار بحث می کند و سایر لایه های حفاظتی موجود در آنتی ویروس امسی سافت را شامل نمی شود. بسیاری از این لایه ها می توانند به طور مستقیم یا غیر مستقیم ریسک آلوده شدن به باج افزار را کاهش دهند.
روز خوب و بدون باج افزاری داشته باشید!
برگرفته از:
بدون نظر