مقابله با بدافزارها به کمک قابلیت‌های Microsoft Defender ATP

عدم وجود یک راهکار مناسب جهت مقابله با بدافزارها در سازمان‌ها، همانند باز بودن درب‌های سازمان برای ورود مهاجمین است و دارایی‌های سازمان را در معرض خطر قرار می‌دهد. قابلیت‌های نسل جدید Microsoft Defender ATP در Windows 10 تمامی نیازهای ضدبدافزار، ضدویروس و موارد مشابه را برای شرکت‌ها و سازمان‌ها برطرف می‌کند. با این زیرساخت Built-In، مدیران امنیت سازمان‌ها می‌توانند زمان و پولی که در گذشته برای پیاده‌سازی و نگهداری از سخت‌افزارها و نرم‌افزارهای ضد بدافزار هزینه می‌کردند، را ذخیره نمایند و با داشتن بودجه و زمان بیشتر بر روی اولویت‌های امنیتی دیگر متمرکز شوند.

راهکارهای ضد بدافزار امروزی، باید توانایی محافظت و مبارزه با بد‌افزارهای پیچیده مخرب را داشته باشند. استراتژی ضد بدافزار مرسوم در سازمان‌ها به این شکل است که متخصصان امنیت IT را به جای پیشگیری در موقعیتی واکنشی نسبت به حملات قرار می‌دهد که این استراتژی چالش‌های مدرن امروزی را به خوبی پوشش نمی‌دهد. داشتن راهکارهای امنیتی سریع و نوآورانه که با سرعت پیدایش تهدید‌ها جدید هماهنگی دارند، بیش از همیشه اهمیت پیدا کرده است.

یکی از اهداف اصلی در مرکز عملیات‌ و مهندسی سرویس‌های مرکزی مایکروسافت (Microsoft Core Services Engineering and Operations) یا CSEO که در گذشته با نام Microsoft IT شناخته می‌شد، ارائه محیط پردازشی ایمن‌تر و قابل اطمینان‌تر است. این مرکز سال‌ها است که از دستگاه‌های مشتریان در مقابل بدافزارها محافظت می‌کند. این کار گاهی با کمک راهکارهای ضدویروس Third-Party که برروی دستگاه‌های مشتریان نصب و توسط Microsoft System Center Configuration Manager یا SCCM مدیریت می‌شد، انجام می‌گرفت. با عرضه Windows 10 روشی مدرن‌تر و جدید برای محافظت از دستگاه‌های مشتریان نیز عرضه شد. Windows Defender Advanced Threat Protection یا به اختصار ATP نتیجه یک طراحی کاملا جدید از روش محافظت Microsoft از مشتریانش است. این راهکار Agnetless بوده و درون هسته Windows 10 قرار دارد و به نحوی طراحی شده که به نسبت نیازهای متخصصان امنیتی برای جلوگیری از حملات احتمالی فرایندهای یادگیری، رشد و وقف پذیری را دارا می‌باشد.

با Windows 10 کاربران می‌توانند از قابلیت‌های امنیتی پیش‌فرض استفاده کرده تا محافظت از بدافزار و دیگر قابلیت‌های کلیدی امنیتی برای محافظت از دستگاه را از ابتدا نصب ویندوز در اختیار داشته باشند. Microsoft Defender ATP یک زیرساخت یک‌پارچه برای محافظت از ویندوز است که قابلیت‌های بسیاری از جمله موارد ذیل را دارد:

• آنتی ویروس
• محافظت در برابر حملات Exploit
• کاهش سطح حمله یا Attack Surface Reduction
• کنترل فعالیت برنامه‌های کاربردی
• مجزاسازی بر مبنای سخت‌افزار

قبل از پرداختن به قابلیت‌های امنیتی Microsoft Defender ATP ابتدا تاریخچه محافظت در برابر بدافزار در ویندوز بررسی می‌شود.

تاریخچه راهکار ضد بدافزار در ویندوز

در گذر زمان، راهکار محافظت از بدافزار Microsoft از نصب جداگانه برنامه‌های آنتی ویروس به صورت Third-Party و System Center Endpoint Protection  یا SCEP  به سمت Microsoft Defender ATP و قابلیت‌های آنتی ویروس آن حرکت داشت. در ذیل به چگونگی و دلیل این انتقال پرداخته می‌شود.

• Windows 7: بررسی SCEP و راهکارهای Third-Party

از آنجا که Windows 7 راهکار مقابله با بدفزار به صورت Built-In نداشت، SCEP را برروی دستگاه‌های مشتریانش با کمک Microsoft SCOM برای بروزرسانی و پخش کردن Signatureهای آنتی ویروس، نصب می‌کرد. مایکروسافت همچنان از SCEP برای محافظت از نسخه‌های قدیمی‌تر از ویندوز استفاده می‌کند.

• Windows 8: در این نسخه، SCEP برای مدیریت از آنتی ویروس به صورت Built-In بروزرسانی شد.

Windows Defender Antivirus با عرضه Windows 8 برای محافظت، از تجهیزات مشتریان رو نمایی شد اما این قابلیت بیشتر برای کاربران غیر سازمانی طراحی شده بود. با این حال در مرکز این راهکار، قابلیت‌های ضد‌بدافزار در سطح سازمانی وجود داشت. در آن زمان Configuration Manager که برای مدیریت SCEP استفاده می‌شد توانایی مدیریت Windows Defender Antivirus در Windows 8 را نداشت. به همین دلیل مایکروسافت به قابلیت‌هایی مانند Telemetry و مدیریت راحت‌تر وظایف مرتبط به امنیت احتیاج داشت، آن‌ها به نصب کردن SCEP ادامه دادند.

با توجه به این موضوع مایکروسافت تیم SCOM را مجاب به سازگاری با Windows Defender Antivirus ساخت. با این روش مایکروسافت و دیگر متخصصان امنیتی می‌توانستند از تمام توانایی این دو برنامه‌ی کاربردی استفاده کنند. حال مایکروسافت دیگر نیازی به نصب زیرساخت جدید یا بروزرسانی ضدبدافزار نداشت و زمان و تلاش کمتری برای مدیریت Agent و بروزرسانی‌های Signature بدافزارها صرف می‌شد. این امر باعث بوجود آمدن روش‌های جدید برای مدیریت و عرضه راهکارهای محافظت در برابر بدافزار برای سازمان‌ها شد.

• Windows 10: در این نسخه مایکروسافت SCEP را با Microsoft Defender ATP جایگزین کرد.

با عرضه Widnows 10 و معرفی Microsoft Defender ATP، مایکروسافت قابلیت‌های آنتی ویروس در سطح سازمانی مورد نیاز را به طور مستقیم داخل سیستم‌عامل خود قرار داده بود. Microsoft Defender ATP با Configuration Manager به طور یکپارچه برای ارائه مدیریت سازمانی و قابلیت‌های تعیین سیاست همراه با دسته‌ای از Telemetry برای تطبیق با قوانین، فعالیت می‌کند. قابلیت‌های آنتی ویروس پویا بوده و توسط Cloud Intelligence پشتیبانی می‌شود تا کاربران را از تهدیدهای شناخته شده و ناشناخته محافظت کند. این در حالی است که تهدیدهای جدید در راهکارهای قبلی فقط تنها بعد از شناسایی از سوی مایکروسافت و بروزرسانی اطلاعات ویروس‌ها، قابل شناسایی بودند.

حال که راهکار محافظت از بدافزار مایکروسافت قسمتی از Microsoft Defender ATP است، حسگرهای رفتاری Endpointهای هوشمند و هوش مصنوعی فعالیت اسکن ویروس‌های جدید را بر عهده دارند. مایکروسافت قابلیت‌های آمارگیری Cloud Intelligence و هوشیاری نسبت تهدیدات دارد که به آن‌ها در شناسایی و پاسخ‌گویی سریع به تهدیدها کمک می‌کند. علاوه بر قابلیت‌های آنتی ویروس Microsoft Defender ATP مایکروسافت، می‌تواند از فایروال Built-In و دیگر ویژگی‌های امنیتی استفاده کند که در ذیل به برخی از آن‌ها اشاره می‌شود.

• محافظت در برابر حملات ناشی از Exploit که از قابلیت‌های (Microsoft Intelligent Security Graph (ISG است برای شناسایی Exploitهای فعال استفاده می‌گردد و فرایندهای مورد نیاز برای توقف این گونه حملات در هر مرحله از اجرا را انجام می‌دهد. با اینکه برای استفاده از آسیب‌پذیری مورد حمله، مکانیزم ارسال و Payload می‌تواند تغییر کند، رفتارها و Vectorهای اصلی وجود دارد که حملات مختلف به آن پایبند می‌باشند. با استفاده از ISG و مرتبط ساختن رخدادهای مختلف ناشی از رفتارهای مخرب، محافظت در برابر حملاتی که از Exploit استفاده می‌نماید، راهکار Microsoft Defender ATP توانایی و کنترل‌های مورد نیاز برای مقابله با تهدیدهای جدید را دارد. 4 قسمت اصلی روش‌های محافظت در برابر حملات ناشی از Exploit در راهکار Microsoft Defender ATP به قرار ذیل است:

– کاهش سطح حمله (Attack Surface Reduction (ASR: دسته‌ای از کنترل‌ها که شرکت‌ها و سازمان‌ها می‌توانند از آن‌ها برای جلوگیری از آلوده شدن کامپیوترهایشان با متوقف ساختن تهدیدهای بر مبنای آفیس، اسکریپت و ایمیل استفاده کنند.

– محافظت از شبکه:از Endpoint در مقابل تهدیدهای برمبنای اینترنت با متوقف کردن هر گونه روندی که قصد خارج شدن از سیستم و انتقال به میزبان‌ها یا IPهای غیر قابل اطمینان از طریق Windows Defender SmartScreen محافظت به عمل می‌آورد.

– کنترل دسترسی به پوشه‌ها: این قابلیت از اطلاعات حساس کاربر برای مقابله با Ransomware که قصد دسترسی به پوشه‌های محافظت شده را دارند، با متوقف ساختن Proccessهای ناشناس محافظت می‌کند.

– محافظت در برابر Exploitها:بسته‌هایی که تاثیرات مخرب Exploitها را کاهش می‌دهد و به راحتی برای محافظت از سیستم‌ها و برنامه‌های کاربردی کاربران قابل پیکربندی می‌باشد.

• کنترل برنامه‌های کاربردی: این قابلیت آسیب‌های ناشی از تهدیدهای امنیتی را با محدود ساختن دسترسی برنامه‌های کاربردی و کدهایی که درون هسته سیستم اجرا می‌شوند، کاهش می‌دهد و کاربران می‌توانند سیاست‌هایی بسازند که کدهای بی نشان و فایل‌های MSI را متوقف کرده و PowerShell را در حالت Constrained Language Mode اجرا کند.
• Device Integrity: این قابلیت از چندین ویژگی سخت‌افزاری و نرم‌افزاری امنیتی سازمان برای اطمینان از سلامت دستگاه استفاده می‌کند. این قابلیت همچنین از سلامت فرایند Boot و Runtime سیستم اطمینان حاصل می‌کند و مانع آلوده شدن آن‌ها به نحوی که بدافزارهای پیشرفته و Exploitها خود را از سیستم‌های دفاعی پنهان کنند می‌شود.

در ادامه تجربیاتی که در این بازه زمانی با استفاده از قابلیت‌های نسل جدید محافظت Microsoft Defender ATP در مقابل بدافزارها به دست آورده شده پرداخته می‌شود.

مزایای استفاده از محافظت در مقابل بدافزارهای پیشرفته در Microsoft Defender ATP

با استفاده از آنتی ویروس Built-In در Windows 10 به همراه برخی از ویژگی‌های مضاعف آنتی ویروسی Microsoft Defender ATP بسیاری از فعالیت‌های مدیریت سیاست و دیگر وظایفی که مایکروسافت برای اطمینان از امنیت مشتریان خود به آن نیازمند بود دیگر ضروری نبوده یا بهینه سازی شده است. برای مثال این شرکت دیگر نیازی به راه‌اندازی و مدیریت سیستم‌های ضد بدافزار Third-Party ندارد و همه مواردی که به آن احتیاج دارند درون سیستم‌عامل قرار دارد که از طریق Windows Update بروزرسانی می‌شود. مایکروسافت همچنین دیگر نیاز به خریداری و نگه‌داری سرورهایی که فعالیت‌های ضد بدافزار یا دیگر عملیات‌ سخت‌افزاری را انجام می‌دادند را ندارد، فعالیت‌هایی که زمانی بیش از 60% از زمان این شرکت را به خود اختصاص می‌داد. در حال حاضر مایکروسافت با دریافت Telemetry و کار برروی آن زمان بیشتری نسب به انجام فعالیت‌های عملیاتی برروی امنیت می‌گذارد. این شرکت در حال صرفه‌جویی در هزینه و زمانی است که درگذشته صرف برنامه‌ریزی، آزمایشات، نصب کردن و بروزرسانی ضد بدافزارها می‌شد.

علاوه بر این صرفه جویی‌ها، قابلیت‌های آنتی ویروس مایکروسافت ارائه دهنده محافظت‌هایی ورای اسکن کردن فایل سیستم‌های یک دستگاه برای شناسایی فایل‌ها و رفتارهای مخرب است. آمارگیری پیشرفته، یادگیری ماشینی و هوش مصنوعی به طور مداوم در زمینه شناسایی در حال پیشرفت هستند و این امر به مایکروسافت این امکان را می‌دهد که تهدیدهایی که تا به حال مشاهده نشده را بدون بروزرسانی اطلاعات بدافزار، شناسایی کند.

محافظت مبتنی بر سرویس Cloud

راهکار Microsoft Defender ATP مایکروسافت ارائه دهنده محافظت مبتنی بر سرویس Cloud برای شناسایی و متوقف ساختن تهدیدهای جدید است. حفاظت اختصاصی بر اساس یادگیری ماشینی، تجزیه‌و‌تحلیل Big-Data به صورت خودکار یا توسط انسان و تحقیقات مقاومت در برابر تهدیدها بروزرسانی می‌شود.

اسکن سیستمی Real-Time

Microsoft Defender ATP قابلیت اسکن سیستمی دائما فعال با استفاده از مانیتورینگ پیشرفته فایل‌ها و روند رفتاری که با نام محافظت Real-Time نیز شناخته می‌شود را نیز دارد. ATP با قابلیت‌های پیشرفته درون حافظه، کنترل‌های کاهش سطح حمله یا Attack Surface Reduction و محافظت از شبکه، از بدافزارها بدون فایل نیز جلوگیری می‌کند.

متوقف سازی بلافاصله بدافزار

یکی از قابلیت‌های Microsoft Defender ATP متوقف ساختن بلافاصله یا Block at First Sight می‌باشد. به گزارش مایکروسافت، تقریبا 96% از تمامی بدافزارهای شناسایی و متوقف شده توسط ATP تنها یک بار همچین ضدبدافزاری در دنیای سایبری رویت شده‌ است. اگر تهدیدی ناشناخته باشد یا Metadataی کافی از آن در دست نباشد، آنتی ویروس مایکروسافت به طور خودکار نمونه‌ای از تهدید را برای سرویس Cloudش ارسال می‌کند تا آن را برای تهدیدهای Zero-Day مورد تجزیه و تحلیل قرار دهند. این امر شامل اجرای فایل‌های مشکوک درون یک محیط مجازی‌سازی شده نیز می‌شود.

مدیریت ساده

نسبت به راهکارهای دیگر که تنظیمات Policy پیچیده‌ای دارند، تنظیم این محصول مایکروسافت ساده‌تر بوده و منابع کمتری به خود اختصاص می‌دهد که این امر باعث افزایش کارایی کامپیوتر می‌شود.

 بروزرسانی‌های امنیتی

مایکروسافت مانند گذشته دیگر روند پیچیده‌ای برای بروز نگه داشتن ضد بدافزار خود برای دستگاه‌های مشتریانش ندارد. حتی اگر کاربری برای مدت زمان کوتاهی وارد حساب کاربری سازمانی خود نشود، Windows Update از بروز ماندن ATP اطمینان حاصل می‌کند. از آنجایی که Windows Update به صورت خودکار دستگاه مشتری را بروز نگه می‌دارد، دیگر نگرانی در مورد رسیدن فایل‌های بروزرسانی به سرورها یا راه‌اندازی راهکار برروی Endpoint وجود ندارد.

علاوه بر این سرور دیتاسنترهایی که از نصب و بروزرسانی سرورهای AntiMalware مشتری پشتیبانی می‌کردند دیگر فعالیت ندارند وهمچنین دیگر کاربران نیاز به خرید و نگه‌داری سرورهایی که فعالیت‌های ضد بدافزار یا دیگر عملیات‌ سخت‌افزاری را انجام می‌دادند، را ندارند، فعالیت‌هایی که گاهی بیش از 60% از زمان این شرکت‌ها را به خود اختصاص می‌داد.

Exclude نمودن فایل‌های خاص

مایکروسافت با عرضه ATP به لیست‌های Exlution وسیع مانند آن‌هایی که برای محصولات آنتی ویروس Third-Party برای اطمینان از سطح کارایی و تولیدی دستگاه مشتریان عرضه می‌شدند، ندارد. کاربران می‌توانند فایل‌های به خصوص مورد اطمینان، Processها و پوشه‌های خود را Exclude کنند. برای مثال Exclude فایل‌های به خصوصی از ویندوز در اسکن ضد بدافزار می‌تواند در سرعت Boot این سیستم‌عامل تاثیرگذار باشد. بسیاری از کارمندان شرکت مایکروسافت اجازه دسترسی Administrator برروی کامپیوتر محلی خود دارند تا بتوانند دستگاه خود را بسته به نیازهایشان پیکربندی کنند. این امر به خصوص در شرکت مایکروسافت به دلیل تعداد توسعه دهندگان نرم‌افزاری و محیط‌های آزمایشی از اهمیت بالایی برخوردار است چراکه به دلیل اینکه در صورت اختلال در فعالیت کامپایلر توسط فعالیت‌های ضد بدافزار باید فرایند کامپایل مجددا اجرا گردد. یک توسعه دهنده نرم‌افزاری می‌تواند با درخواست <compile name>.exe به عنوان یک استثناء در ATP از این اختلال جلوگیری کند.

استفاده ATP در دیتاسنترها

مایکروسافت از قابلیت‌های آنتی ویروس Windows Defender ATP در دیتاسنترهای Windows Server 2016 نیز استفاده می‌کند. به استثناء چند مورد فعالیت، پیکربندی و مدیریت ATP برای Windows Server 2016 مانند Windows 10 می‌باشد که در ذیل به آن پرداخته می‌شود:

• در Windows Server 2016 جداسازی خودکار بر اساس نقش مشخص شده برای سرور پیاده می‌شود.
• در Windows Server 2016 در صورت وجود محصول آنتی ویروس دیگر، قابلیت آنتی ویروس ATP به صورت خودکار از کار نمیافتد.

یک راهکار برای محافظت، شناسایی و پاسخ‌گویی به حملات

قابلیت‌های نسل بعدی Microsoft Defender ATP نتایج عالی برای استفاده داخلی این شرکت و امتیازهای صنعتی به همراه داشته است. این راهکار دیگر احتیاجی به پیاده‌سازی نداشته، مدیریت آن ساده بوده و با وجود بروزرسانی خودکار در وقت و هزینه‌ای که پیشتر برای خرید محصولات ضد بدافزار و حفظ و نگه‌داری آن‌ها صرف می‌شد، صرفه‌جویی می‌شود. Microsoft Defender ATP در زمینه محافظت از دستگاه‌های کاربران از حملات سایبری نیز کاربرد دارد. Microsoft Defender ATP به کاربران خود محافظت پیشگیرانه‌ای ارائه می‌دهد که حملات و Exploitهای Zero-Day را شناسایی می‌کند و یک مدیریت متمرکز برای چرخه‌ی امنیتی در ارتباطات End to End ایجاد می‌نماید.