自适应异常控制
减少攻击面或安全强化可作为一种高效且价格低廉的预防技术。如果您知道系统的漏洞及其多余的功能,则可以主动阻止可能导致利用这些漏洞的操作。
但是,这种方法在日常使用中可能存在不足。首先,一般性限制会忽略特定场景,这会对合法用户造成负面影响。例如,MS Word 文档中的宏允许直接从文档运行 PowerShell,而这种从“实用”视角出发设计的功能导致了许多恶意软件的盛行。但是,如果您阻止整个公司激活宏,则可能会发现,财务部门的员工会感到不满:他们必须结合使用 MS Word 文档与宏。
另一个问题在于,手动安全强化需要专家投入大量精力。即使对于经验丰富的管理员,针对许多不同的组和应用程序分别调整各阻止规则也将花费大量时间。最重要的是,新的威胁和基础架构的更改要求定期修订这些安全策略。
自适应异常控制 (AAC) 是 Kaspersky Endpoint Security 解决方案的全新保护模块,是一种用于自动减少攻击面的智能工具。这项技术使您可以自定义系统的安全强化功能,以匹配个人或不同用户组所需的保护等级,从而反映他们的各种独特要求,同时防止利用系统漏洞或部署过多的功能。
自适应异常控制模块的主要功能:
(1) Kaspersky 专家根据机器学习技术检索到的数据创建了一套全面的有效控制规则。行为分析算法使我们能够通过全新的潜在启发式方法来查找系统中的可疑操作,但这些操作在某些特定情况下可能是合法的 - 因此不能使用常规阻止措施。但是,专家对此类异常的定义和“定位”可以将这些潜在启发式方法转变为功能全面的安全强化规则。
可疑行为的常见示例是某个应用程序由某些系统进程启动:例如 Windows 会话管理器、本地安全授权进程或 Windows 启动应用程序。在某些情况下,这可能是合法的操作,例如,在Windows 操作系统启动时。专家的任务是辨别这些情况,然后创建一条控制规则,该规则将阻止系统进程执行应用程序 - 但包含了适当的例外情况,以允许操作系统正常运行。
(2) 基于用户活动分析的自动自适应(智能模式)。这大大减少了手动配置控制规则的需求。首先,AAC 模块开始在学习模式下工作,收集有关在特定时间段内触发的控制规则的统计数据 - 创建用户或组的正常活动模型(合法场景)。然后,在预防模式下,系统仅激活适当的规则,以阻止对于此组或用户场景表现异常的操作。如果正常活动的模式由于某种原因而改变,则可以将 AAC 模块切换回学习模式,使之可以创建新的场景。
例如,危险电子邮件附件的一个指标是存在存档文件形式的 JavaScript:财务部门员工永远不会产生交换此类存档文件的合理理由。但另一方面,这种需求在开发人员中十分常见。当自适应异常控制发现这些不同的情况时,它将为一组用户(财务部门)阻止具有活动内容的附件,但不会为另一组用户(开发人员)阻止附件。
(3) 微调。除了自动模式外,当要阻止的行为可能是特定用户、应用程序或设备的合法活动的一部分时,系统管理员还可以控制阻止规则的激活并创建单独的例外情况。
例如,在 99% 的情况下,阻止执行具有双扩展名的文件(比如 img18.jpg.exe)将是正确的控制规则。但是,在某些系统中,可以合法使用具有双扩展名的文件 (update.txt.cmd)。在这种情况下,管理员可以轻松添加例外情况以允许这种行为。
(4) 多工具协同作用。自适应异常控制模块不仅减少了攻击面和包括零日攻击在内的威胁风险:它还将 Kaspersky Endpoint Security 作为多层安全平台的一部分,提高了协作性能。特定 AAC 规则的触发可以充当信号,以便其他保护模块或专家对可疑对象进行仔细检查。