عرضه Adaptive Defense، راهکار دفاع تطبیقی پاندا برای پیشگیری از هجوم باج‌افزارها

راهکار نرم‌افزاری Adaptive Defense که توسط تیم کارشناسان و مهندسان شرکت امنیتی پاندا سکیوریتی اسپانیا با هدف شناسایی و پیشگیری از حمله باج‌افزارها طراحی شده‌ در اختیار مشتریان ایرانی قرار دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت ایمن رایانه پندار‌ به‌عنوان نماینده رسمی پانداسکیوریتی در کشور، اخیرا اقدام به ارائه محصول جدیدی از شرکت پاندا کرده است. این راهکار نرم‌افزاری Adaptive Defense نام دارد که توسط تیم کارشناسان و مهندسان شرکت امنیتی پاندا با هدف پیشگیری از تبدیل‌شدن کاربران به قربانیان باج‌افزارها طراحی شده‌است. 

سیدمحمد‌مهدی شبیری، مدیرعامل ایمن رایانه پندار طی نشستی با خبرنگاران ضمن اشاره به این‌که اطلاعات در قرن بیست‌ویکم به یکی از حیاتی‌ترین متعلقات انسان تبدل شده‌است، اظهار داشت: اطلاعات، متعلقاتی هستند که هر‌روز راهکارهای پیچیده‌تری برای ربودن آنها ابداع‌می‌شود به‌نحوی‌که قاطعانه می‌توان‌گفت در تاریخ بشر هیچ‌گاه انسان‌ها در چنین وسعتی هدف اخاذی قرار‌‌نگرفته‌اند. تاکنون راه‌حل قطعی برای مقابله با این باج‌افزارها شناسایی نشده‌است، اما پاندا می‌گوید این محصول که تجربه‌ای جدید و متفاوت در میان شرکت‌های امنیتی است در پیشگیری از قربانی باج‌افزارها شدن نقش بسزایی دارد. 

مهدی جان‌بزرگی، مدیرفنی شرکت ایمن رایانه پندار نیز با اشاره به تاریخچه‌ای از بروز و ظهور پدیده باج‌افزارها در دنیای مجازی، اظهار‌داشت: از ابتدای سال ۲۰۱۶، نسلی از بدافزارها به‌نام باج‌افزار (Ransomware) فعالیت گسترده‌ای یافته‌اند. باج‌افزارها از گذشته حضور داشته‌اند و در‌‌حقیقت اولین باج‌افزار در سال ۱۹۸۹ تولید‌شد. در‌ طول سالیان، گسترش‌دهندگان این نوع بدافزار روش‌های متعددی را برای اخاذی امتحان‌کرده‌اند؛ میانه سال‌های ۲۰۰۵ تا ۲۰۰۹ باج‌افزارها به‌شکل برنامه‌های گمراه‌کننده ( Misleading application)، سال ۲۰۰۹ و ۲۰۱۰ به‌شکل آنتی‌ویروس‌های جعلی و دو سال پس از آن و با گسترش موبایل‌های هوشمند به‌شکل قفل‌کننده‌های سیستم، اقدام به اخاذی‌کرده‌اند. البته در تمام این دوران نمونه‌های دیگری نیز وجود‌داشته‌اند اما عمده توجه باج‌گیران فضای مجازی در هر دوره معطوف به مدلی خاص از باج‌گیری بوده‌است. از سال ۲۰۱۳ به بعد شیوع باج‌افزارهای رمزگذار سیر صعودی داشته و شاید کمتر کسی باشد که ترس از دست دادن اطلاعات مهم رایانه خود را به‌واسطه وجود این بدافزارها در دل نداشته‌باشد. 

وی درباره علت علاقه شدید خرابکاران سایبری به باج‌افزارهای رمزگذار گفت: دلیل این امر را می‌توان در این حقیقت یافت که در‌صورت آلودگی به این بدافزار متاسفانه هیچ راهی برای بازیابی اطلاعات کد‌شده وجود‌ندارد و قربانی یا باید قید اطلاعات خود را بزند و یا مبلغ تعیین‌شده توسط باج‌گیران را پرداخت‌کند در‌حالی‌که حتی با وجود پرداخت باج، تضمینی برای طلب‌نکردن مبالغ بیشتر، افشا‌ نکردن اطلاعات در اینترنت و یا بازیافتن فایل‌ها وجود‌ندارد؛ لذا توصیه تمامی نهادهای امنیتی دنیا در عدم پرداخت باج به این افراد است. نمونه‌ای موفق از این نوع باج‌افزارها در ۱۶ فوریه ۲۰۱۶ و با نام Locky منتشرشد. باج افزار مذکور در خفا اقدام به ارتباط با سرور خود، کدگذاری فایل‌های حیاتی و از بین‌بردن تمامی ردپاها و درنهایت نمایش پیغام درخواست باج می‌کرد. 

در ادامه رضا پرسته، مدیر بازاریابی و فروش شرکت ایمن رایانه پندار، گفت: شاید این سوال به ذهن متبادر شود که چگونه تاکنون هیچ راهی برای بازگرداندن اطلاعات کدگذاری پیدا نشده‌است. جواب این سوال را می‌توان در استفاده از الگوریتم‌های استاندارد کدگذاری توسط نفوذگران دانست که مسلما در‌صورت شکسته شدن آن، امنیت بخش بزرگی از فضای مجازی نیز زیر سوال خواهد‌رفت و پس از آن الگوریتم‌های جدید و مطمئن تولید خواهد‌شد که قاعدتا مورد استفاده نسل‌های بعدی باج‌افزارها قرار خواهد‌گرفت. در این میان شرکت‌های امنیتی نیز متحمل خسارات سنگینی شده‌اند و اعتماد بسیاری از مشتریان خود را از دست داده‌اند.

وی در پاسخ به این پرسش که چرا آنتی‌ویروس‌ها تاکنون موفق به جلوگیری از آلودگی رایانه‌ها نشدند، گفت: تکنیک‌هایی وجود‌دارد که می‌توان یک ویروس را از دیدگان آنتی‌ویروس‌ها مخفی‌کرد. تولیدکنندگان بد‌افزار، ویروس تولید‌شده را قبل از انتشار آن با تمامی نرم‌افزارهای مطرح دنیا می‌آزمایند و در‌صورت قابل‌تشخیص‌بودن ویروس توسط آنها، تغییراتی را اعمال‌می‌کنند تا درنهایت بدافزار تولید‌شده توسط هیچ آنتی‌ویروسی تشخیص داده‌نشود و بدین‌صورت شانس موفقیت خود را افزایش‌می‌دهند. این امر تولیدکنندگان آنتی‌ویروس‌ها را وادار کرده‌است تا اقدام به تولید محتویات آموزشی کنند تا شاید با آشناتر‌شدن کاربران با مخاطرات جدید و اهتمام بیشتر به پشتیبان‌گیری منظم از اطلاعات شانس آلوده‌شدن سیستم‌ها را به باج‌افزارها کاهش‌دهند؛ تلاش‌هایی که متاسفانه آمارها حکایت از عدم ثمربخشی آنها دارند. 

پرسته ادامه‌داد: شرکت پاندا سکیوریتی با شعار «یک قدم فراتر» اقدام به ابداع راهکاری با نام Defense Adaptiveیا همان دفاع تطبیقی کرده‌است که می‌تواند خیال مدیران IT را از بابت باج‌افزارها و تمامی بدافزارهای ناشناخته آسوده‌کند. 

وی افزود: این راهکار از پنل مدیریتی متمرکز برای مدیریت نرم‌افزار و یک ایجنت بسیار سبک متشکل است که بر روی سیستم‌ها نصب‌می‌شود و با حداقل استفاده منابع بر همه کدهای اجرایی که روی سیستم‌ها در حال اجراست، نظارت دارد؛ کدهای اجرایی از قبیل (Applications, Scripts, Batch files,…). درحالی‌که ضد ویروس‌های سنتی فقط زمانی وارد عمل می‌شوند که به یک پروسه مشکوک‌شوند. 

وی درباره نحوه عملکرد این نرم‌افزار چنین گفت: Adaptive Defense به‌صورت خودکار با دریافت اطلاعات از سرورهای پاندا کدهای اجرایی را به دو دسته لیست سفید و سیاه (white list & black list) طبقه‌بندی‌می‌کند و بسته به حالت عملیاتی که در آن قرار‌دارد امکان اجرا یا مسدود‌شدن کد‌های اجرایی هر لیست را روی سیستم‌ها می‌دهد. این نرم‌افزار بر روی سه حالت عملکردی Audit، Hardening و Lock قابل‌تنظیم است که حالت اول برای مرحله اولیه نصب نرم‌افزار مناسب است و همین‌طور برای زمانی‌که مدیر شبکه به آمار و اطلاعات بیشتری جهت بررسی نیاز دارد. اصلی‌ترین اتفاق در این حالت مانیتورینگ کدهای اجرایی روی سیستم‌ها و طبقه‌بندی آنهاست. نرم‌افزار در این وضعیت خطر هجوم بدافزارها را گزارش و آنها را مسدودمی‌کند. همچنین فایل‌های طبقه‌بندی‌شده در لیست سفید یعنی نرم‌افزارهای مجاز همچنان اجازه اجرا‌شدن دارند و فایل‌های جدید و ناشناخته نیز اجازه اجرا خواهند‌داشت. 

در ادامه وی اظهارداشت: حالت Hardening تعادلی را بین ریسک آلوده‌شدن و کارایی کاربر ایجادمی‌کند. این حالت برای شبکه‌هایی مناسب است که دائم درحال نصب نرم‌افزارهای جدید هستند. در این حالت فایل‌های طبقه‌بندی‌شده در لیست سفید اجازه اجرا دارند اما فایل‌های طبقه‌بندی‌شده در لیست سیاه، یعنی نرم‌افزارهای غیرمجاز، این اجازه را ندارند. فایل‌های طبقه‌بندی‌نشده که از منابع خارجی مانند اینترنت و ایمیل به سیستم راه‌یافته‌اند نیز تا زمانی‌که توسط مدیر شبکه و یا متخصصان پاندا تعیین‌تکلیف شوند که در لیست سیاه قرار‌دارند یا سفید، مسدود‌می‌شوند. فایل‌های طبقه‌بندی‌نشده‌ای که پس از نصب Adaptive Defense بر روی سیستم نصب‌شده‌اند نیز در این حالت اجازه اجراشدن دارند اما رفتارشان مورد بررسی متخصصان پاندا قرار می‌گیرد تا پس از طبقه‌بندی در مورد آنها تصمیم‌گیری شود. حالت سوم یعنی Lock بسیار سخت‌گیرانه است و امنیت ۱۰۰درصد را برای شبکه به ارمغان می‌آورد. در این حالت تنها فایل‌های طبقه‌بندی‌شده در لیست سفید یعنی نرم‌افزارهای مجاز، اجازه اجرا‌شدن دارند. بقیه نرم‌افزارها درهرصورت اجرا نمی‌شوند چه نرم‌افزار سالم باشند و چه یک کد اجرایی مخرب. 

وی افزود: در این حالت برنامه‌های در‌حال انتظار برای طبقه‌بندی در شبکه اجرا‌ نشده و به قرنطینه منتقل‌می‌شوند. این حالت برای شبکه‌هایی مناسب است که امنیت در آنها دارای اولویت اول است و نرم‌افزارهای مشخص و ثابتی روی سیستم‌هایشان نصب‌شده و دائم درحال تغییر نیستند؛ البته مدیر شبکه می‌تواند به‌صورت دستی به تعریف استثنا برای هر کد اجرایی موردنظر خود اقدام‌کند. 

گفتنی است که بر اساس آمار موجود، بیش از یک‌میلیارد و ۲۰۰ میلیون برنامه کاربردی و فایل اجرایی طبقه‌بندی‌ شده و وضعیت امنیتی آنها مشخص شده‌است. نرخ شناسایی و حذف بدافزارها با نصب این برنامه افزایش یافته‌است. در تمام مراکز کاربر این نرم‌افزار و بدون‌اتکا به نرم‌افزار ضدویروس نصب‌شده در آن مراکز‌، ردیابی ۱۰۰ درصدی ویروس‌ها و کدهای مخرب گزارش شده‌است. اکنون در حدود ۵۰۰ هزار سیستم و سرور سازمانی تحت‌حفاظت این نرم‌افزار قدرتمند قرار‌دارند. بیش از ۲۰۰ هزار نفوذ و حمله اینترنتی در سال گذشته توسط نرم‌افزار پاندا شناسایی و مهار شده‌است. صرفه‌جویی شرکت‌ها و سازمان‌های تحت‌پوشش نرم‌افزار پاندا در زمان‌های کاری بیش از ۲۳۰ هزار ساعت گزارش شده‌است که این به‌معنی کاهش هزینه‌ای بالغ بر ۱۴میلیون و ۲۰۰ هزار دلار در مراکز سازمانی تحت‌پوشش قلمداد می‌شود. 

لازم به ذکر است علاقه‌مندان برای آشنایی بیشتر با این نرم‌افزار و دریافت نسخه آزمایشی این محصول می‌توانند به این نشانی مراجعه‌کنند.