محافظت در برابر بدافزار؛ از Endpoint تا ایمیل، وب و DNS

بدافزار هنوز یکی از مسیرهای اصلی شروع نفوذ است، اما دفاع در برابر آن فقط نصب آنتی‌ویروس نیست. امروز مهاجم از ایمیل، فایل ضمیمه، مرورگر، لینک آلوده، USB، نرم‌افزار کرک‌شده، اسکریپت و حتی ابزارهای قانونی مدیریت سیستم استفاده می‌کند. پس کنترل ضدبدافزار باید چندلایه باشد.

هدف این کنترل این است که اجرای کد مخرب یا نرم‌افزار غیرمجاز سخت شود، آلودگی سریع دیده شود و قبل از گسترش در شبکه مهار شود.

بدافزار از کجا وارد می‌شود؟

بخش زیادی از آلودگی‌ها با یک رفتار ساده شروع می‌شود: باز کردن فایل، کلیک روی لینک، اجرای برنامه ناشناس یا اتصال یک حافظه قابل حمل. در رخنه RSA در سال ۲۰۱۱، یک فایل Excel آلوده از طریق فیشینگ به کاربر رسید و بعد از اجرا، مسیر نفوذ جدی‌تری باز شد. نکته مهم این است که آلودگی همیشه با یک exploit پیچیده شروع نمی‌شود؛ گاهی ترکیب فیشینگ، ضعف آموزش، نبود کنترل اجرایی و شناسایی دیرهنگام کافی است.

آنتی‌ویروس لازم است، اما کافی نیست

ضدبدافزار روی Endpoint هنوز لازم است، ولی نباید تنها خط دفاع باشد. Signatureها همیشه عقب‌تر از موج اول حمله‌اند و خیلی از حملات با اسکریپت، PowerShell، ابزارهای ادمینی یا فایل‌های ظاهرا عادی انجام می‌شوند. بنابراین باید از ترکیب EDR، کنترل اجرای برنامه، محدودسازی دسترسی و لاگ‌برداری استفاده کرد.

• وضعیت نصب و به‌روزرسانی ضدبدافزار روی همه سیستم‌ها باید مرکزی دیده شود.
• هر شناسایی بدافزار باید به کنسول مدیریتی و SIEM ارسال شود.
• سیستمی که آلوده شده نباید فقط Clean شود؛ باید مسیر ورود و دامنه اثر بررسی شود.
• برای سرورها، Policy جدا از Endpointهای کاربری تعریف کنید.

کنترل اجرای نرم‌افزار

یکی از مؤثرترین کارها این است که هر چیزی اجازه اجرا نداشته باشد. Application Control یا Allowlisting باعث می‌شود اجرای فایل‌های ناشناس، ابزارهای دانلودشده و اسکریپت‌های غیرمجاز سخت‌تر شود.

• روی سیستم‌های حساس، اجرای برنامه فقط از مسیرهای مجاز انجام شود.
• اجرای Script از مسیرهای موقت، پوشه دانلود و پروفایل کاربر محدود شود.
• Macroهای Office برای کاربران عادی محدود یا فقط برای فایل‌های امضاشده مجاز شود.
• PowerShell با لاگ کامل، Constrained Language Mode یا سیاست‌های مناسب کنترل شود.

ایمیل و وب را در لبه کنترل کنید

خیلی از بدافزارها قبل از رسیدن به Endpoint قابل شناسایی یا محدودسازی هستند. Secure Email Gateway، Sandbox، DNS Filtering، Web Proxy و فیلتر فایل‌های پرخطر می‌توانند فشار را از روی سیستم کاربر کم کنند.

• فایل‌های اجرایی، آرشیوهای مشکوک و ضمیمه‌های دارای Macro را سخت‌گیرانه بررسی کنید.
• لینک‌های ایمیل را با URL Filtering و Reputation کنترل کنید.
• درخواست‌های DNS به دامنه‌های مشکوک و C2 را لاگ و مسدود کنید.
• برای فایل‌های ناشناس از Sandbox یا تحلیل رفتاری استفاده کنید.

USB و رسانه‌های قابل حمل

در بسیاری از سازمان‌ها USB هنوز مسیر ساده‌ای برای انتقال آلودگی است. لازم نیست همیشه کاملا ممنوع شود، اما باید کنترل‌شده باشد.

• AutoRun را غیرفعال کنید.
• اتصال USB را بر اساس نیاز شغلی محدود کنید.
• رسانه‌های قابل حمل هنگام اتصال اسکن شوند.
• برای سیستم‌های حساس، انتقال فایل فقط از مسیرهای کنترل‌شده انجام شود.

لاگ، پایش و واکنش

اگر بدافزار شناسایی شود ولی کسی آن را نبیند، کنترل عملا ناقص است. هشدارهای ضدبدافزار، EDR، DNS، Proxy و فایروال باید به محل مرکزی ارسال شوند و برای رخدادهای مهم واکنش مشخص وجود داشته باشد.

• شناسایی بدافزار روی یک سیستم باید باعث بررسی سیستم‌های مشابه شود.
• ارتباط با دامنه یا IP مشکوک باید در DNS، Proxy و فایروال دنبال شود.
• برای آلودگی‌های جدی، ایزوله کردن سیستم باید سریع و قابل اجرا باشد.
• بعد از پاک‌سازی، علت ورود و کنترل‌های شکسته‌شده مستند شود.

آموزش کاربر، اما با تکیه کمتر روی حافظه انسان

آموزش فیشینگ و رفتار امن لازم است، ولی نباید همه چیز به دقت کاربر وابسته باشد. طراحی کنترل‌ها باید طوری باشد که حتی اگر کاربر اشتباه کرد، اجرای بدافزار سخت شود و تیم امنیت زود متوجه شود.

ابزارهای مفید

بسته به اندازه محیط، می‌توان از Microsoft Defender for Endpoint، CrowdStrike، SentinelOne، Sophos، Trend Micro، ESET، Kaspersky، FortiEDR یا راهکارهای مشابه استفاده کرد. برای DNS و وب هم ابزارهایی مثل Secure Web Gateway، فیلتر DNS و SIEM نقش مهمی دارند. انتخاب ابزار مهم است، اما مهم‌تر از آن پوشش کامل، تنظیم درست Policy و واکنش عملیاتی است.

چک‌لیست سریع ضدبدافزار

• آیا همه Endpointها و سرورها در کنسول مرکزی دیده می‌شوند؟
• آیا وضعیت Update ضدبدافزار و EDR پایش می‌شود؟
• آیا اجرای فایل‌ها و اسکریپت‌های ناشناس محدود شده است؟
• آیا ایمیل، وب و DNS قبل از رسیدن تهدید به کاربر کنترل می‌شوند؟
• آیا USB و رسانه‌های قابل حمل سیاست مشخص دارند؟
• آیا هشدارهای بدافزار به SIEM یا لاگ‌سرور مرکزی ارسال می‌شوند؟
• آیا برای ایزوله کردن سیستم آلوده فرایند عملیاتی دارید؟

جمع‌بندی

محافظت در برابر بدافزار یعنی ترکیب پیشگیری، شناسایی و واکنش. ضدویروس فقط یک بخش کار است. وقتی اجرای نرم‌افزار کنترل شود، ایمیل و وب فیلتر شوند، Endpointها پایش شوند و تیم امنیت بتواند سریع سیستم آلوده را جدا کند، احتمال تبدیل یک آلودگی کوچک به بحران جدی بسیار کمتر می‌شود.