اشتراک مقالات

محافظت از داده‌های حیاتی در برابر بدافزار و باج‌افزار در Mictosoft 365 – قسمت اول

194 مشاهده 4 30 اردیبهشت, 1401

بدافزار و باج‌افزار

بدافزار متشكل از ويروس، نرم‌افزارهاي جاسوسی و ديگر نرم‌افزارهای مخرب است. Microsoft 365 سازوكارهايی حفاظتی دارد كه نمی گذارد بدافزاری از جانب Client يا سرور Microsoft 365 وارد آن شود. استفاده از نرم‌افزارهای ضدبدافزار يكی از سازوكارهای اصلی برای محافظت از منابع Microsoft 365 در برابر نرم‌افزارهای مخرب است. نرم افزار ضدبدافزار ویروس‌ها، بدافزارها، RootKitها، کرم‌ها و سایر نرم‌افزارهای مخرب را شناسایی و از ورود آن‌ها به سیستم‌های سرويس‌دهی جلوگیری می‌کند. اين نرم‌افزارها هم امكان كنترل پيشگيرانه و هم شناساگرانه پس از ورود نرم‌افزار مخرب را برای كاربر فراهم می كنند.

هريك از راهكارهای ضد بدافزار موجود، نسخه نرم‌افزار و Signatureهای درحال‌اجرا را ردیابی می‌کند. مديريت مركز دانلود خودكار نسخه‌های به‌روز Signature از وبسايت تعريف ويروس Vendor و اعمال به‌روزرسانی حداقل به‌طور روزانه برعهده ابزار ضدبدافزار مناسب هر تيم خدماتی است. ابزار ضدبدافزار مناسب هر تيم خدماتی در هر Endpoint، مديريت مركزی عملكردهای زير را برعهده دارد:

  • اسكن خودكار محيط
  • اسكن دوره‌ای فايل سيستم (حداقل هرهفته)
  • اسكن فايل‌ها به‌صورت Real-time همزمان با دانلود، باز شدن يا اجرا شدن آن‌ها
  • مديدانلود خودكار نسخه‌های به‌روز Signature از وبسايت تعريف ويروس Vendor و اعمال به‌روزرسانی، دست‌كم به‌طور روزانه
  • هشداردهی، پاکسازی و کاهش بدافزارهای شناسایی‌شده

هنگامی که ابزارهای ضدبدافزار، بدافزار را شناسایی می‌کنند، آن بدافزار را Block می‌کنند و هشداری برای پرسنل تیم سرويس‌دهی Microsoft 365 ،Microsoft 365 Security و یا تیم امنیت و تطبيق‌پذيری سازمان مایکروسافت ايجاد می كنند كه اداره مراكز داده را برعهده دارد. پرسنلی كه هشدار را دريافت می كنند، فرآيند واكنش به حادثه را آغاز می كنند. حوادث ردیابی و حل‌و‌فصل می‌شوند و تجزیه و تحلیل پس از رخداد انجام می‌شود.

برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید.

Exchange Online Protection در برابر بدافزار

همه پیام‌های الكترونيكی Exchange Online از طریق Exchange Online Protection يا EOP ارسال می شوند و اين كار تمام ایمیل‌ها و پیوست‌های ایمیل ورودی و خروجی سیستم را برای ویروس‌ها را قرنطينه و اسكن می كند تا ويروس‌ها و ديگر بدافزارها شناسايی شوند. نيازی نيست مديران تكنولوژی هاي فيلترينگ را راه‌اندازی كنند يا نگه دارند، چراكه اين تكنولوژی ها از قبل فعال شده‌اند. با اين حال آن‌ها می توانند با استفاده از مرکز مدیریت Exchange، فرآيندهای فيلترينگ مختص شركت خود را سفارشی كنند.

بیشتر بخوانید: حملات باج‌افزاری مخفیانه با استفاده از ماشین مجازی

با استفاده از چندین موتور ضد‌ بدافزار، EOP محافظت چندلايه‌اي ارائه می‌دهد که به‌گونه‌ای طراحی شده است كه همه بدافزارهای شناخته‌شده را شكار كند. پیام‌هایی که از طریق اين سرویس منتقل می‌شوند اسكن می شوند تا بدافزها، شامل ويروس‌ها و نرم‌افزارهای جاسوسی آن‌ها شناسايی شود. اگر بدافزاری در پيام شناسایی شود، آن پيام حذف می گردد. اگر پيام آلوده حذف شود و به دست گيرنده نرسد، ممكن است اعلان‌های مرتبطی برای فرستندگان و مديران ارسال شود. همچنين كاربران می توانند پیوست‌های آلوده را با پیام‌هایی پیش‌فرض یا سفارشی جایگزین كنند که به گيرندگان اطلاع دهد بدافزار شناسايی شده است.

موارد زیر به ارائه محافظت در برابر بدافزار كمك مي‌كند:
  • دفاع لایه‌ای در برابر بدافزار: چندین موتور اسکن ضد‌بدافزار كه در EOP استفاده می شود، كمك می كند در برابر تهديدات شناخته‌شده و ناشناخته محافظت به عمل آيد. این موتورها شامل فرآيندهای استنتاجی و قدرتمند تشخيص هستند تا حتی در مراحل اوليه شيوع بدافزار، از سيستم محافظت كنند. نشان داده شده است که محافظتی كه این رویکرد چندموتوره ارائه می دهد، به‌طور قابل‌توجهی بيشتر از محافظتی است كه ضدبدافزار تك‌موتوره فراهم می كند.
  • پاسخ به تهديد در Real-time: در طول برخی شیوع‌ها، تیم ضدبدافزار ممکن است اطلاعات کافی درباره ویروس یا سایر بدافزارها داشته باشد و بتواند Policy Ruleهای پیچیده‌ای بنویسد که تهديد را حتی قبل از در دسترس بودن تعريفی از جانب موتورهاي مورداستفاده سرويس شناسايی كند. این قوانین هر 2 ساعت یک بار در شبکه جهانی منتشر می‌شود تا لايه حفاظتی اضافه‌اي در برابر حملات به سازمان شما ارائه دهد.
  • پياده‌سازی سریع تعریف ضدبدافزار : تیم ضد بدافزار با همكارانی كه موتورهای ضدبدافزار طراحی می كنند، رابطه نزديكی دارد. در نتیجه، این سرویس می‌تواند تعاریف و Patchهای بدافزار را قبل از انتشار عمومی دریافت و يكپارچه كند. ارتباط تيم ضد بدافزار با این همكاران اغلب امكان توسعه راهكارها را براي اين تيم فراهم مي‌كند. این سرویس در هر ساعت بررسی می كند كه آيا تعريف به‌روزشده‌ای برای هريك از موتورهای ضدبدافزار منتشر شده است يا خير.

بیشتر بخوانید: نفوذ باج افزار cuteRansomware در برنامه‌های تحت Cloud

Microsoft Defender for Office 365

Microsoft Defender for Office 365 یک سرویس فیلترينگ ایمیل است که در برابر انواع خاصی از تهدیدات پیشرفته از جمله بدافزارها و ویروس‌ها محافظت بيشتری فراهم می كند. Exchange Online Protection در حال حاضر در برابر بدافزارها و ويروس‌های شناخته‌شده، از یک محافظ آنتی ويروس قوی و چندلايه استفاده می كند كه نيروی خود را از موتورهای متعدد دريافت می كند. Microsoft Defender for Office 365 از طريق قابليتی به‌نام Safe Attachments سطح محافظت را توسعه می دهد. اين قابليت از سيستم در برابر بدافزارها و ویروس‌های ناشناخته محافظت می‌کند و برای مراقبت از سيستم پيام‌رسان كاربر، حفاظت Zero-day بهتری ارائه می دهد. كليه پیام‌ها و پیوست‌هایی که امضای ویروس/بدافزار شناخته‌شده را ندارند، به یک محیط Hypervisor ویژه هدایت می‌شوند. در اين محيط تجزیه و تحلیل رفتار با استفاده از انواع تکنیک‌های یادگیری ماشین و ترفندهای تحليل برای شناسایی فعاليت‌های مخرب انجام می‌شود. اگر هیچ فعالیت مشکوکی شناسایی نشود، پيام آزاد می شود تا وارد صندوق ورودی گردد.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

Exchange Online Protection همچنین هر پیام در حال انتقال را در Microsoft 365 اسکن می‌کند، زمان كافي فراهم می كند تا دريافت پيام در شرايط ايمن انجام شود و هرگونه هايپرلينك مخرب در پيام را Block می كند. مهاجمان گاهی سعی می‌کنند URLها مخرب را با لينك‌هايی به‌ظاهر ایمن مخفی كنند. پس از آن كه گيرنده پيام را دريافت كرد، اين لينك‌ها از طريق یک سرویس ارسال به سایت‌های ناامن هدایت می‌شوند. اگر كاربران چنين لينكی را انتخاب كنند، لينك‌های ايمن به‌طور آينده‌نگرانه از كاربران محافظت خواهند كرد. هربار که كاربران اين لينك را انتخاب مي‌كنند، این روش محافظتی باقی می‌ماند، لينك‌های مخرب به‌صورت پویا Block می‌شوند و لينك‌های خوب در دسترس باقی می مانند.

Microsoft Defender for Office 365 همچنین قابلیت‌های غنی گزارش‌دهی و ردیابی غنی ارائه می‌دهد و بنابراین كاربر می‌تواند درخصوص افرادی كه در سازمان موردهدف قرار می گيرند و همچنين نوع تهديدات پيش‌روی خود، ديدگاه‌هايی به دست آورد. گزارش‌دهی و ردیابی پیام به كاربر امکان می دهد پیام‌هایی را بررسی كند که به‌علت ویروس یا بدافزار ناشناخته Block شده‌اند، اما قابلیت ردیابی URL اين امكان را برای كاربر فراهم می كند كه يكايك لينك‌های مخرب را در پیام‌هایی که روی آن‌ها کلیک شده است ردیابی کند.

SharePoint Online و OneDrive برای محافظت از کسب‌وکار در برابر باج‌افزار

انواع مختلفی از حملات باج‌افزار وجود دارد، اما یکی از رایج‌ترین اشکال اين حملات این است که فردی اخلالگر فایل‌های مهم کاربر را رمزگذاری می‌کند و سپس از كاربر می خواهد در ازای دريافت كليد رمزگشايی اين فايل‌ها، به او پول يا اطلاعات بدهد. حملات باج‌افزار، به‌ویژه آن دسته که فایل‌های ذخيره‌شده در کلود كاربر را رمزگذاری می كنند در حال افزايش هستند.

نسخه‌‌بندی كمك می كند از فهرست‌های SharePoint Online و Libraryهای SharePoint Online و OneDrive for Business در برابر برخی از اين نوع حملات باج‌افزار، اما نه همه آن محافظت شود. نسخه‌بندی به‌طور پیش‌فرض در OneDrive for Business و SharePoint Online فعال شده است. از آن‌جایی که نسخه‌‌بندی در لیست‌های سایت SharePoint Online فعال است، كاربران می‌توانند نسخه‌های قبلی را ببینند و در صورت لزوم آن‌ها را بازیابی کنند. با اين قابليت امكانی برای كاربران فراهم می شود تا نسخه‌هايی از آيتم‌ها را بازيابی كنند كه تاريخ آن‌ها پيش از تاريخ رمزگذاری Ransomware است. برخی از سازمان‌ها نیز نسخه‌های متعددی از آيتم‌ها را به دلایل قانونی یا اهداف Audit در فهرست خود نگه می دارند.

SharePoint Online و OneDrive برای Recycle Binهای كسب‌وكارها

مدیران SharePoint Online می‌توانند مجموعه سایت حذف‌شده را با استفاده از مرکز مدیریت SharePoint Online بازیابی کنند. کاربران SharePoint Online یک Recycle Bin دارند که محتوای حذف شده در آن ذخیره می‌شود. آنها در صورتی كه لازم باشد اسناد و ليست‌های حذف‌شده را بازيابی كنند، می توانند به Recycle Bin دسترسی پيدا كنند. اقلام موجود در Recycle Bin نودوسه روز باقی می مانند. انواع داده‌های زیر در Recycle Bin ذخيره می شوند:

  • مجموعه سايت‌ها
  • سایت‌ها
  • لیست‌ها
  • Library‌ها
  • فولدرها
  • لیست آیتم‌ها
  • اسناد
  • صفحات Web Part

نسخه‌سازی در برابر حملات باج‌افزاری که فایل‌ها را کپی می‌کنند، رمزگذاری می‌کنند و سپس فایل‌های اصلی را حذف می‌کنند، محافظتی به عمل نمی آورد. با این حال، کاربران نهایی می‌توانند پس از وقوع حمله باج‌افزار، از Recycle Bin برای بازیابی فایل‌های OneDrive for Business استفاده کنند.

در قسمت دوم این مقاله به جزئیات بیشتری درباره دفاعیات و کنترل‌هایی پرداخته می شود که مایکروسافت برای کاهش خطر حمله سایبری به سازمان و دارایی‌های آن استفاده می‌کند.

مقاله های مرتبط:

محافظت از داده‌های حیاتی در برابر بدافزار و باج‌افزار در Mictosoft 365 – قسمت دوم (پایانی)
برچسب ها : آموزش مقابله با بدافزارباج‌افزار چیستبدافزار پیشرفتهبدافزار و باج‌افزاربدافزارهابدافزار لینوکسیبدافزار TRITONبدافزار چیستحذف بدافزارمقابله با بدافزارآموزش حذف بدافزارآموزش شناسایی بدافزار

مطلب مفید بود؟

 
بیشتر بخوانید