Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: yek_mosafer2000
Update, Backup & Security رمز موفقیت ادمین و پایداری شبکه
ارسال پیام خصوصی
امتیازات این مطلب
نکته: آموزش تصویری کسپراسکی سرور 10 - پلاگین های حذف و جلوگیری از تهدیدات در Endpoint security ( قسمت 23 )
- نحوه دفع حملات توسط Endpoint Security

نحوه دفع حملات با کسپرسکی Endpoint


همانطور که در شکل بالا می بینید کسپراسکی Endpoint از ابزار های زیادی برای دفع حملات استفاده می کند ، کسپراسکی برای رسیدن به این طیف وسیع کنترل بر روی کلاینت ها در سطح جهان تعداد زیادی مرکز تحقیقاتی را ایجاد کرده است :

مراکز کسپرسکی در سطح جهان


کسپراسکی KSN یا Kaspersky Security Network یک سیستم ابری است که به جمع اوری اطلاعات تهدید امیز و ارایه راه کارهای حفاظتی کمک می کند . کسپراسکی KSN بر اساس سه سطح Trust فایل ها را بررسی می کند :

- Trusted

- Low Restricted

- High Restricted

- Untrusted

کسپراسکی Endpoint بوسیله کامپوننت هایی که توسط اتصال به شبکه دارد قادر است تا آخرین بروزرسانی ها را دریافت کند ، این بروزرسانی ها دیتا بزرگی از برنامه های Trust شده و اسکن انها برای جلوگیری از تهدیدات است . کسپراسکی سرور با استفاده از تنظیمات پالیسی و تسک ها اطلاعات لازم به Endpoint را تحویل می دهد :

کسپراسکی سرور 10 بهترین در جهان


- نحوه چک فایل ها توسط Endpoint کسپراسکی

Klif.sys وظیفه اسکن فایل ها و درایور ها دارد به صورت پیش فرض این فایل ها اگر الوده باشند بلاک می شوند و اگر مجدداً کار بیفتند حذف و یا آلودگی را از روی فایل بر می دارند ( تکنولوژی Infected که توسط کسپراسکی معرفی شد ) .

کسپرسکی سرور 10 قابلیت


- جلوگیری از کندی کلاینت در Endpoint

هنگامی که Endpoint سعی دارد تا فایل ها را اسکن کند برای جلوگیری از کندی سرعت از دو راه کار عمده استفاده می کند :

- جلوگیری از باج افزار ها قبل از حمله

- عدم ممانعت از اسکن برنامه های قانونی

کسپراسکی پیشنهاد می کند بیشتر این کندی از سمت تنظیمات و اجرای زیاد تعداد تشک ها و پالیسی ها نیز می تواند باشد بهتر است کدیر شبکه پارامتر هایی را که بیشترین اهمیت دارند را انتخاب کند .

Image


- گزینه Heuristic در Endpoint

این گزینه در بخش File anti-virus وظیفه انالیز برنامه های اجرایی یا همان فرمت Exe را دارد و کمک می کند تا باج افزار ها سریعتر پیدا و شناسایی شوند بخصوص آن دسته از باج افزار هایی که فرمت فایل ها را دستخوش تغییر می دهند . این گزینه دارای سه درجه است Light - Medium - Deep که در انتخاب آنها باید دقت کنید چرا که بیشترین درجه باعث می شود تا حساسیت برنامه Endpoint برای اسکن فایل ها بیشتر شود در نتیجه کلاینت ها کندتر می شوند .

نکته : File anti-virus کسپراسکی سرور بسیاری از فرمت ها را چند بار چک نمی کند این گزینه به صورت پیش فرض فعال است مگر اینکه آن فرمت ها تغییری کنند خاموش کردن این قابلیت باعث می شود تا کلاینت ها به شدت سرعتشان کند شود

- شناسایی تغییرات فایل توسط کسپراسکی سرور

حال سوالی ممکن پیش بیاید برای مدیران شبکه که کسپرسکی چگونه این تغییرات را متوجه می شود زمانی که فرمت هارددیسک ها NTFS شد لاگ هایی را موقعی که فایلی تغییر پیدا می کند ایجاد می کنند که این لاگ ها مدام توسط Endpoint کسپراسکی چک می شود . اما درباره Fat32 باید گفت که آنها نمی توانند لاگ دیتا ها را ایجاد کنند برای همین در خطر تهدید جدی باج افزار ها قرار دارند . اما کسپراسکی Endpoint این دسته از فرمت ها را نیز با قابلیت ها و ابزار هایی که در دیتابیس خود دارد اسکن می کند .

- گزینه iSwift و iChecker

این گزینه ها در مسیر File anti-virus در بخش Additional \ scan technologies \ قرار دارند کار iSwift بر اساس الگوریتم خاصی فایل ها را بر اساس جدید بودن و تغییرات در فرمت NTFS بررسی می کند ، به صورت پیش فرض فعال است . همچنین گزینه ichecker Technology که به صورت پیش فرض فعال است بر روی فرمت Fat32 نظارت دارد این تکنولوژی بر اساس امضای دیجیتال فایل ها کار می کند

- عدم اسکن فایل هایی نظیر آرشیو ها و ترکیبی

در بخش performance \ Scan of compound files \ Scan archives امکانی وجود دارد که که فایل ها با فرمت های Zip و Rar و ARJ و ... اسکن می شوند این فایل ها می توانند در داخل فولدر Temporary و مموری کامپیوتر ها اشباع شوند . همچنین بخشی هم در مسیر performance \ scan of compound files \ scan installation packages قرار دارد که به بررسی فایل هایی نظیر فرمت MSI و ... می پردازد . مسیر بعدی هم در بخش performance \ scan of compound files \ scan office formats فایل های مایکروسافت آفیس بررسی می شوند یکی از تهدیداتی که این فایل ها ممکن است به آنها آلوده شوند توسط ماکروها اعمال می شود . همچنین در مسیر performance \ scan of compound files \ Additional \ Background scan وظیفه اسکن فایل های آرشیوی با حجم بالا را دارد . همچنین در مسیر Performance \ Scan of compound files \ Additional \ Size limit فایل هایی چک می شوند که کمتر از مقدار Maximum files size و این مقدار به صورت پیش فرض 8 مگابایت می شود .

- Additional \ Scan mode

  • On Execution : در این مد قبل از اجرای فایل اسکن صورت می گیرد . هنگامی که کاربر فایل را اجرا کند اسکن متوقف می شود

  • On Access : فایل Anti-Virus قبل از خوانده شدن اسکن می شود این فایل یا کپی و یا در زمان استارت شدن ، اسکن می شود

  • On Access and on modification : در زمان نوشتن یا خوانده شدن فایل ها اسکن صورت می گیرد . این مد یک مد امن می باشد

  • Smart mode : فایل در زمان اجرا و در وضعیت کار کردن اسکن می شود حتی اگر نوشتن و تغییری روی فایل صورت بگیرد اسکن ادامه دارد و تا زمانی که فایل بسته می شود اسکن نیز متوقف می شود .

نکته : یکی از گزینه های مطمئن و خوب در اینجا همین Smart mode است ، که مانند گزینه On access - modification کار می کند و منابع کمتری را اشغال می کند .

- حذف باج افزار ها

موقعی باج افزار ها توسط کسپراسکی سرور و Endpoint تشخیص داده می شوند که آنها هنوز عملیات خرابکارانه را شروع نکرده اند و اسیب به فایل ها نزده اند این قابلیت در سرویس Watcher کسپراسکی سرور به نام Roll back malware actions during disinfection فعال است .

سایر مطالب این گروه
دیدگاه ها

هیچ دیدگاهی برای این مطلب ارسال نشده است

برای ارسال نظر وارد شوید.