Control de anomalías adaptable

Control de anomalías adaptable

Este método de reducción de la superficie de ataque combina la simplicidad de las reglas de endurecimiento y la inteligencia de la sintonización automática basada en análisis del comportamiento.

La reducción de la superficie de ataque o el endurecimiento, pueden ser una técnica de prevención altamente efectiva y económica. Si conoce las vulnerabilidades de su sistema y su funcionalidad excesiva, puede bloquear de forma proactiva las acciones que podrían derivar en la explotación de estos fallos.

Sin embargo, puede haber inconvenientes en el uso diario de tales métodos. En primer lugar, las restricciones generales ignoran situaciones específicas que pueden penalizar a los usuarios legítimos. Por ejemplo, las macros en documentos de MS Word permiten ejecutar PowerShell directamente desde el documento y esta funcionalidad "útil" ha llevado a muchas epidemias de malware. Sin embargo, si bloquea la activación de macros para toda la empresa, es posible que descubra el descontento de los empleados del departamento financiero que tienen que utilizar documentos de MS Word con macros.

Otro problema es que el endurecimiento manual implica mucho trabajo experto. Incluso para los administradores experimentados, el ajuste de cada regla de bloqueo para muchos grupos y aplicaciones diferentes requeriría mucho tiempo. Además de esto, las nuevas amenazas y los cambios en la infraestructura requieren que estas políticas de seguridad se revisen periódicamente.

El control de anomalías adaptable (AAC), un nuevo módulo de protección de la solución Kaspersky Endpoint Security, es una herramienta inteligente para reducir automáticamente la superficie de ataque. Esta tecnología le permite personalizar el fortalecimiento del sistema hasta el nivel de las personas o de diferentes grupos de usuarios, lo que refleja sus diversos requisitos únicos y, al mismo tiempo, evita la explotación de las vulnerabilidades del sistema o la funcionalidad excesiva.

Características clave del módulo de control de anomalías adaptable:

(1) Un conjunto completo de reglas de control eficacescreado por los expertos de Kaspersky y basado en los datos recuperados por las técnicas de aprendizaje automático. Los algoritmos de análisis de comportamiento nos permiten encontrar nueva heurística potencial de acciones sospechosas en el sistema, pero estas acciones pueden ser legítimas en algunos casos específicos, de modo que no se puede utilizar el bloqueo general. Sin embargo, la definición y la "identificación" de tales excepciones por parte de los expertos pueden convertir esta heurística potencial en reglas de endurecimiento completamente funcionales.

Un ejemplo común de comportamiento sospechoso es cuando un proceso del sistema inicia una aplicación: El administrador de sesiones de Windows, por ejemplo, el proceso de autoridad de seguridad local o la aplicación de inicio de Windows. Hay casos en los que esto podría ser una acción legítima; por ejemplo, cuando se inicia el sistema operativo Windows. La tarea de los expertos es identificar estas condiciones y, a continuación, crear una regla de control que bloquee la ejecución de las aplicaciones por parte del proceso del sistema, pero con las excepciones apropiadas, lo que permite el funcionamiento correcto del sistema operativo.

(2) Adaptación automática(modo inteligente) basada en el análisis de actividad del usuario. Esto reduce significativamente la necesidad de configurar manualmente las reglas de control. En primer lugar, el módulo AAC comienza a funcionar en el modo de aprendizaje, recopilando datos estadísticos sobre las reglas de control activadas durante un período específico, para crear un modelo de actividad normal para un usuario o grupo (escenario legítimo). Seguidamente, en el modo de prevención, el sistema activa solo las reglas que bloquean las acciones anómalas para el escenario de este grupo o usuario. Si un patrón de actividad normal debe cambiar por cualquier motivo, el módulo AAC puede cambiarse al modo de aprendizaje, con lo que puede crearse un nuevo escenario.

Por ejemplo, un indicador de un archivo adjunto de correo electrónico peligroso es la presencia de JavaScript en el archivo: Los empleados del departamento de finanzas nunca necesitarían intercambiar legítimamente dichos archivos. Por otro lado, esta situación es común entre los desarrolladores. Cuando el control adaptable de anomalías descubre estos diferentes escenarios, bloqueará los archivos adjuntos con contenido activo de un grupo de usuarios (departamento de finanzas), pero no los bloqueará para otro grupo (desarrolladores).

(3) Ajuste preciso.Además del modo automático, el administrador del sistema puede controlar la activación de reglas de bloqueo y crear excepciones individuales, cuando el comportamiento que se bloquea puede ser parte de la actividad legítima de usuarios, aplicaciones o dispositivos en particular.

Por ejemplo, bloquear la ejecución de archivos de doble extensión (como img18.jpg.exe) sería la regla de control correcta en el 99 % de los casos. Sin embargo, en algunos sistemas, los archivos de extensión doble se pueden utilizar de manera legítima (Update.txt.cmd). En este caso, el administrador puede agregar fácilmente una excepción para permitir esto.

(4) Sinergia entre varias herramientas.El módulo de control de anomalías adaptable no solo reduce la superficie de ataque y la exposición a amenazas, incluidos los días cero: también mejora el rendimiento de colaboración de Kaspersky Endpoint Security como parte de una plataforma de seguridad de varios niveles. La activación de una regla AAC en particular puede actuar como una señal para un examen más detallado de un objeto sospechoso mediante otros módulos de protección o por expertos.