بررسی اجمالی ماژول پیشگیری از تهدید Threat Prevention :
ماژول پیشگیری از تهدید امنیت McAfee® Endpoint Security تهدیدات دسترسی به سیستم ها را مسدود می کند ، پرونده ها را در صورت وجود به طور خودکار اسکن می کند قابل دسترسی است و اسکن های هدفمند را برای بدافزار در سیستم های مشتری اجرا می کند. Endpoint Security Threat Prevention تهدیدات مبتنی بر پرونده های محتوای امنیتی را شناسایی می کند. به روزرسانی های محتوای امنیتی به طور خودکار آسیب پذیری های خاص را هدف قرار داده و در مقابل تهدیدات در حال ظهور از شما مراقبت کرده و از اجرای آن جلوگیری می کند. پیشگیری از تهدید از محیط شما در برابر موارد زیر محافظت می کند:
• ویروس ها ، کرم ها و اسب های تروا
• نقض نقطه دسترسی – تغییرات ناخواسته در پرونده ها ، اشتراک ها ، کلیدهای رجیستری ، مقادیر رجیستری ، و جلوگیری یا محدود کردن فرآیندها و خدمات از اجرای رفتار تهدید.
• بهره برداری از سرریز Buffer
• استفاده غیرقانونی از API : تماسهای API مخرب توسط برنامه ناشناخته یا به خطر افتاده انجام می شود
• نفوذ شبکه ، مانند حملات انکار سرویس شبکه و حملات پهنای باند
• کد و برنامه های بالقوه ناخواسته
• تهدیدات متمرکز بر آسیب پذیری
• بهره برداری های Zero Day موسوم به روز صفر
• تهدیدهای موجود در اسکریپت های غیر مبتنی بر مرورگر ، مانند PowerShell ، JavaScript و VBScript شما از McAfee ePO برای استقرار و مدیریت Threat Prevention در ایستگاههای کاری استفاده می کنید.
ویژگی های اصلی پیشگیری از تهدید :
ویژگی های اصلی پیشگیری از تهدید در برابر تهدیدات وارد شده به محیط شما محافظت می کند ، بدافزار را در محیط خود شناسایی می کند ، و با تمیز کردن یا تعمیر فایل های آلوده ، مسائل را اصلاح کنید. محافظت قبل از دسترسی به سیستم های خود با استفاده از این ویژگی های Threat Prevention ، از سیستم های خود در برابر نفوذ محافظت کنید.
حفاظت Protect :
• دسترسی حفاظت Access Protection :
با محدود کردن دسترسی به پرونده های مشخص شده ، اشتراک ها ، از تغییرات ناخواسته در ایستگاههای کاری محافظت کنید. کلیدهای رجیستری ، مقادیر رجیستری و جلوگیری یا محدود کردن فرآیندها و سرویس ها برای اجرای رفتار تهدید.
• پیشگیری از سوء استفاده Exploit Prevention :
پیشگیری از تهدید برای محافظت در برابر این سوء استفاده ها از امضاها (signatures)در به روزرسانی مطالب استفاده می کند.
• Buffer overflow protection :
این قابلیت از آسیب پذیریهای ناشی از آسیب سرریز buffer و سوء استفاده های ناشی از آن در ایستگاههای کاری شما محافظت می نماید .
• استفاده غیرقانونی از API (Illegal API Use) :
در برابر تماس های مخرب API که توسط برنامه های ناشناخته یا به خطر افتاده برقرار می شوند ، از ایستگاههای کاری شما محافظت می کند .
• Network Intrusion Prevention (Network IPS) :
سیستم جلوگیری از نفوذ شبکه (Network IPS) در برابر حملات انکار سرویس شبکه و حملات پهنای باند که ترافیک شبکه را انکار یا تخریب می کنند از ایستگاههای کاری شما محافظت می کند .
• Expert Rules :
◦ با این قابلیت شما می توانید با ایجاد پارامترها و قوانین اضافی و امکان انعطاف پذیری بیشتر از قوانین محافظت جدید و اختصاصی خود را ایجاد نمایید ، برای ایجاد Expert Rules ، باید نحوهای اختصاصی مک آفی را درک کنید.
• رابط خط فرمان Command line interface :
از این رابط جهت اسکن کامل ، اسکن سریع ، اسکن های سفارشی بر اساس تقاضا و اجرای محتوای امنیتی از خط فرمان یا به عنوان بخشی از یک فایل دسته ای می توانید بهره برداری نمایید .
تشخیص Detect :
با استفاده از این ویژگی تهدیدات را در محیط خود کشف کنید.
• اسکن On-Access :
تهدیدها را همزمان با خواندن یا نوشتن فایلها از روی دیسک ، از بین ببرید. این قابلیت برای تهیه اسکن پیشرفته برای تهدیدها در اسکریپت های غیر مبتنی بر مرورگر با رابط اسکن ضد نرم افزار (AMSI) ادغام می شود .
• اسکن On-Demand :
اسکن های از پیش تعریف شده را اجرا یا برنامه ریزی کنید ، از جمله اسکن ورودی های رجیستری مربوط به جاسوس افزارها که نبوده اند قبلا تمیز شده فقط در صورت بیکار بودن سیستم اسکن را اجرا کنید. برای بهینه سازی عملکرد اسکن ، استفاده از پردازنده را محدود کنید.
• برنامه های ناخواسته بالقوه :
برنامه های بالقوه ناخواسته ، مانند spyware و adware را شناسایی کرده و از آنها جلوگیری کنید
• قرنطینه :
موارد آلوده را به قرنطینه منتقل کنیدو سپس سعی کنید آنها را تمیز یا تعمیر کنید ، یا به طور خودکار حذف کنید.
• داشبورد و مانیتورها :
آماری را در مورد پیشگیری از تهدید ، از جمله مدت زمان اسکن ، وضعیت به روزرسانی محتوا و برنامه های کاربردی با بیشترین بهره برداری. (سیستم های مدیریت شده)
• سوالات و گزارشات :
بازیابی اطلاعات دقیق در مورد پیشگیری از تهدید ، از جمله شمارش تهدید ، تکمیل اسکن ، پاسخ تشخیص ، وقایع کاهش مثبت کاذب و سطح حساسیت McAfee GTI. (سیستم های مدیریت شده)
• راه اندازی زودهنگام ضد بدافزار :
از ویژگی ELAM همراه با ویندوز 8 و نسخه های بعدی پشتیبانی کنید. ELAM لیستی از درایورهای دستگاه در طول چرخه بارگیری بارگیری می شوند و پس از اجرای خدمات اسکن ، آنها را اسکن می کنند.
تصحیح Correct :
با استفاده از این قابلیت مسائل امنیتی را اصلاح کنید ، موارد را تشخیص دهید ، عملکرد را بهبود ببخشید و محافظت را افزایش دهید برخی از ویژگیهای این قابلیت به شرح ذیل می باشند :
• اقدامات Actions :
هنگام کشف آلودگی ، اقدامات مشخص را انجام دهید.
• هشدارها :
هنگام کشف آلودگی بهکاربران اطلاع رسانی شده و با فیلترهای مدیریتی انچه را که می بایت آنان مشاهده کنن مشخص کنید (مناسب کاربران سازمانی)
• پرونده های Extra.DAT :
در برابر تهدیدهای جدید ، مانند شیوع ویروس بزرگ ، محافظت کنید. (McAfee ePO در محل) . مک آفی به هنگام کشف آسیب پذیریهای خاص به سرعت یک Extra Dat اختصاصی همان آسیب پذیری به شما ارائه می نماید تا شما را نسبت به آسیب پذیری مذکور مصون نماید .
• اسکن های برنامه ریزی شده :
برای بهبود عملکرد سیستم و اسکن ، اسکن ها را در زمان های غیرضروری اجرا کنید.
• مخازن محتوا :
با انتقال مخزن پرونده محتوا ، ترافیک شبکه را از طریق اینترنت یا اینترانت سازمانی کاهش دهید . (مناسب سیستم های سازمانی جهت جلوگیری از ریافت تکراری بروزرسانی ها توسط ایستگااهای کاری به منظور دریافت و به اشتراک گذاری داخلی به روزرسانی ها)
• پرونده ها را وارد کنید (Endpoint Security Client) :
سابقه موارد شناسایی شده را ارائه دهید ، که می توانید برای تعیین نیاز به آنها استفاده کنید. برای افزایش محافظت یا بهبود عملکرد سیستم ، تنظیمات را تغییر دهید.
• داشبورد و مانیتور :
فعالیت را مرور کرده و از آنها برای تنظیم تنظیمات پیشگیری از تهدید استفاده کنید. (سیستم های مدیریت شده)
ماژول پیشگیری از تهدید Threat Prevention چگونه کار می کند ؟
پیشگیری از تهدید دارای دو جز: است: پسوند نصب شده بر روی سرور McAfee ePO و خود نرم افزار محافظت ، از جمله موتور اسکن و پرونده های محتوا ، نصب شده بر روی ایستگاههای کاری. Threat Prevention شامل نرم افزار محافظت و موتور اسکن و پرونده های محتوا نصب شده بر روی ایستگاههای کاری می باشد . همچنین Endpoint Security Common که شامل Endpoint Security Client است نیز روی سیستم مشتری نصب شده است. با استفاده از McAfee Agent ، نرم افزار مشتری با McAfee ePO برای پیکربندی و گزارش دهی ارتباط برقرار می کند ، McAfee® Global Threat Intelligence ™ (McAfee GTI) برای اطلاعات به روز و آزمایشگاه های McAfee برای ارائه آنلاین فایلهای محتوا و به روزرسانی های موتور مورد بهره برداری قرار می گیرد . با استفاده از McAfee Agent ، نرم افزار مشتری با McAfee® Global Threat Intelligence ™ (McAfee GTI) ارتباط برقرار می کند و اطلاعات و آزمایشگاه های McAfee فایل های محتوا و به روز رسانی موتور را در اختیار محصول قرار می دهند .
مثال گردش کار – حفاظت از دسترسی:
پیشگیری از تهدید این فرایند اساسی را برای محافظت از پرونده ها ، کلیدهای رجیستری ، مقادیر رجیستری ، فرآیندها و خدمات دنبال می کند.
1. در صورت مدیریت ، مدیر قوانین حفاظت را در خط مشی Access Access پیکربندی کرده و آنها را برای سیستم سرویس گیرنده اعمال می کند.
2. سرپرست قوانین حفاظت را در سیاست حفاظت دسترسی در McAfee ePO پیکربندی می کند و آن را برای سیستم مشتری اجرا می کند.
3- مدیر آخرین پرونده های محتوا را از آزمایشگاه های مک آفی بارگیری می کند.
4- کاربر یک برنامه قانونی (نه بدافزار) ، MyProgram.exe را از اینترنت بارگیری کرده و برنامه را اجرا می کند. MyProgram.exe یک فرایند کودک به نام AnnoyMe.exe را اجرا می کند . AnnoyMe.exe سعی در تغییر سیستم عامل دارد تا باعث شود AnnoyMe.exe همیشه هنگام راه اندازی بارگیری شود. پیشگیری از تهدید ، درخواست را پردازش می کند و با عملکردی که توسط McAfee یا تعریف شده توسط کاربر وجود دارد مطابقت می دهد . Threat Prevention از تغییر سیستم عامل توسط AnnoyMe.exe جلوگیری می کند.
5. پیشگیری از تهدید جزئیات را ثبت می کند. Threat Prevention جزئیات را ثبت کرده و سپس رویدادی را برای McAfee ePO ایجاد و ارسال می کند.
ایستگاههای کاری
علاوه بر Threat Prevention ، ایستگاههای کاری شامل موارد زیر است:
• پرونده های محتوا (از جمله محتوای AMCore که به آن امضاهای بدافزار ، محافظت دسترسی و پیشگیری از بهره برداری نیز می گویند) که با موتور اسکن برای شناسایی و کنترل تهدیدات کار می کند. • موتور اسکن : پرونده ها ، پوشه ها و دیسک های سیستم مشتری را اسکن می کند و نتایج را با اطلاعات شناخته شده در بانک اطلاعاتی ویروس یاب مقایسه می کند
• McAfee Agent : ارتباط ایمن بین محصولات مدیریت شده و سرور McAfee ePO را فراهم می کند.(ویژه کاربران سازمانی)
• Endpoint Security Common : خدماتی مانند به روزرسانی ، ورود به سیستم ، گزارش رویدادها و خصوصیات ، زمانبندی کار ، تنظیمات ، ارتباطات و ذخیره سازی را ارائه می نماید .
McAfee ePO
در مورد کاربران سازمانی سرور McAfee ePO موسوم به کنسول مدیریتی از این مولفه ها برای مدیریت و به روزرسانی سیستم های سرویس گیرنده از راه دور استفاده می کند:
• McAfee ePO : سیاست های پیشگیری از تهدید را از یک مکان مرکزی مدیریت و اعمال می کند و پرس و جوها و داشبوردها را برای ردیابی فعالیت و شناسایی بد افزارها در سطح سازمان ارائه می دهد .
• مخزن محتوا : به روزرسانی های محتوا را از سایت بارگیری مک آفی و یا سرورهای اختصاصی مک آفی در شرکت راهکار طلایی در ایران بازیابی می کند. با استفاده از مخزن محتوا در خود سازمان ، می توانید پرونده های محتوا را به طور خودکار کپی کرده و پهنای باند مورد استفاده را به حداقل برسانید.
سرور مک آفی
تیم مک آفی با آزمایشگاههای پیشرفته مک آفی و پشتیبانی مک آفی ، خدمات زیر را ارائه می دهد.
• آزمایشگاه های مک آفی (کتابخانه تهدید) – تحقیقات و ذخیره اطلاعات دقیق در مورد بدافزار و برنامه های احتمالی ناخواسته ، از جمله نحوه مدیریت آنها.
• McAfee GTI (بررسی شبکه ابتکاری برای فایل های مشکوک) – به دنبال برنامه های مشکوک و DLL هایی است که در سیستم های مشتری اجرا می شوند که پیشگیری از تهدید محافظت می کند. ویژگی McAfee GTI اثر انگشت هر پرونده مشکوک را برای آزمایشگاه های McAfee ارسال می کند تجزیه و تحلیل و پاسخ • محتوا و به روزرسانی های موتور – محافظت در برابر آسیب پذیری های خاص و جلوگیری از تهدیدات در حال ظهور (از جمله حملات buffer-overflow)
