Bəzən sadəcə antivirus həlləri adlandırılan yekun nöqtə üçün təhlükəsizlik həlləri, yekun nöqtələrə təhdidlərinin qarşısını almaq üçün müxtəlif əsas (ənənəvi) və müasir (yeni nəsil) yanaşmaları əhatə edə bilər. Təhlükəsizlik sistemlərinin qiymətləndirilməsi zamanı, geniş spektrli təhlükələrin qarşısını almaq üçün tam metodlar məcmusundan ibarət həllər axtarmaq vacibdir. Qarşısını almağa çalışdığınız təhdidləri anlamaq da mühüm məsələdir.
Yekun qurğuların qorunmasının nüansları barədə iTech Group-un biznesin inkişafı üzrə direktoru Rövşən Əkbərovla söhbət etdik.

- Yekun nöqtələr üçün bu gün ən aktual təhdidlər hansılardır?
- Təhlükələrin landşaftı daima dəyişilsə də, müxtəlif həllərin qiymətləndirilməsi zamanı nəzərə alınmalı olan yekun nöqtələr üçün bəzi əsas təhlükələri qeyd etmək istərdim:
• Zərərli proqram təminatı. Yekun nöqtənin mühafizəsinin nəzərdən keçirilməsi zamanı mövcud olan əsas problem adətən zərərli proqram olur. Zərərli proqram təminatı həm məlum olan, həm də əvvəllər bilinməyən zərərli proqramları əhatə edir. Çox vaxt təhlükəsizlik həlləri naməlum zərərli proqramı aşkar etmək üçün mübarizə aparır. Məsələn, SophosLabs hər gün təxminən dörd yüz min naməlum zərərli proqram aşkar edir. Həllər, aşkar edilməsi çətinləşdirmək üçün dəyişdirilmiş, kompaktlaşdırılmış polimorf faylları aşkar edə bilməlidir..

• Potensial Arzuolunmaz Proqramlar (РUA). РUА - əsasən texniki cəhətdən zərərli olmayan proqramlardır, lakin çox güman ki, kompüterinizdə olmasını istədiyiniz əlavə deyil, məsələn reklamla bağlı proqram təminatı sizə lazımdırmı? PUA-nın aşkarlanması ilə bağlı məsələlər kriptocekinq hücumlarında istifadə olunan kriptomayninq proqramlarının tətbiqi ilə getdikcə daha vacib hal almaqdadır.

• Soyğunçu proqramlar. Hər il çox sayda təşkilat soyğunçu proqramlardan əziyyət çəkir. Soyğunçu proqramın iki əsas növü fayl şifrələyicisi və disk şifrələyicisidir (təmizləyicisidir). Ən geniş yayılmış fayl şifrələyicisi, qurban olaraq seçilmiş müəssisənin fayllarını şifrələyir və sonradan ödəniş məbləği tələb etmək üçün özündə saxlayır. Disk şifrələyiciləri isə yalnız faylları deyil, qurban seçilmiş müəssisənin bütün sabit diskini bloklayır və ya tamamilə silir.

Eksployt əsaslı hücumlar. Bütün hücumlar təkcə zərərli proqramlara əsaslanmır. İstismar -eksployt əsaslı hücumlar, kompüterinizə daxil olmaq və nəzarət etmək üçün proqram təminatı xətalarından və zəifliklərindən istifadə üsullarından faydalanır. "Yoluxdurulmuş" sənədlər (ümumiyyətlə zərər vermək üçün yaradılan və ya dəyişdirilmiş Microsoft Office faylı) və zərərli skriptlər (qanuni proqramlarda və "veb-saytlarda" tez-tez gizlədilən zərərli kod) bu cür hücumlarda istifadə olunan ümumi vasitələrdir. Digər nümunələrə brauzer hücumları (brauzeri yoluxrdumaq üçün zərərli proqramdan istifadə edərək, təcavüzkarların trafikə baxmasına və idarə etməsinə imkan verir) və zərərli trafik ("veb trafikini idarəetmə və nəzarət serverinə müraciət etmək kimi cinayət məqsədləri ilə istifadə etmək) daxildir.

• Təcavüzkarın texnologiyaları. Yekun nöqtə hücumlarının bir çoxu bir neçə mərhələdən və metoddan ibarətdir. Aktiv təcavüzkarın metodlarına misal olaraq imtiyazların artırılması (təcavüzkarların sistemə əlavə giriş əldə etmək üçün istifadə etdikləri üsullar), hesaba giriş məlumatlarının oğurlanması (istifadəçi adları və şifrələrin oğurlanması) və gizli kod (qanuni tətbiqlərin içərisində zərərli kodun gizlədilməsi) daxildir..

- Bəs bu təhlükələrlə mübarizə üçün hansı üsullar mövcuddur?
Həm ənənəvi, həm də müasir metodların mövcudluğunu qeyd etmək istərdim. Hər iki yanaşmanın xüsusiyyətlərini göstərməyə və aralarındakı fərqi izah etməyə çalışacağam. Adlarının fərqli olmasına baxmayaraq, xeyli vaxtdır mövcud olan antivirus həlləri məlum təhdidlərə qarşı təsirli olduqlarını artıq sübuta yetiriblər. Ənənəvi yekun nöqtənin mühafizəsi həllərinin etibar etdiyi bir çox əsas metodlar mövcuddur. Lakin təhdidlərin landşaftı dəyişdikcə, əvvəllər rast gəlinməyən zərərli proqramlar kimi bilinməyən təhlükələr getdikcə daha çox yayılmağa başlayıb. Bunun sayəsində bazara yeni texnologiyalar daxil olub. İstifadəçilər və müəssisələr adətən "yeni nəsil" təhlükəsizlik sistemi adlandırılan həm müasir yanaşmaların, həm də özünü sübuta yetirmiş fundamental yanaşmaların vəhdətini axtarıb tapmalıdırlar.

Onların bəzi əsas imkanlarına aşağıdakılar daxildir::
Əsas imkanlar:

• Zərərli proqramlardan/ antiviruslardan qorunma: siqnaturlara əsasən zərərli proqramların aşkarlanması. Zərərli proqramların mexanizmləri yalnız icra edilə bilən faylları deyil, veb-saytlarda aşkar edilmiş zərərli JavaScript kodu kimi başqa kodları da yoxlaya bilməlidir.
• Proqram əlavələrinin bloklanması: başqa bir tətbiq quraşdıran və işə salan Microsoft Office sənədindən istifadə etmək kimi zərərli proqram əlavəsi davranışlarının qarşısının alınması.
• Davranış monitorinqi sistemləri/ müdaxilənin qarşısının alınması sistemləri (HIPS). Bu təməl texnologiya kompüterləri naməlum viruslardan və şübhəli davranışlardan qoruyur. Bu texnologiya özündə həm icra öncəsi davranışların, həm də icra zamanı davranışların təhlilini əks etdirməlidir.
• Veb-mühafizə: URL-ünvanların axtarılması və məlum zərərli veb-saytların bloklanması. Bloklanmış saytlar arasında kriptomayninq etmək üçün JavaScript işlədə bilənlər, həmçinin istifadəçi identifikasiyası üçün hesab girişi məlumatlarını və digər həssas məlumatları toplayan saytlar olmalıdır.
• Veb–nəzarət: yekun nöqtənin veb-filtrasiyası administratorlara istifadəçinin internetdən hansı növ faylları yükləyə biləcəyini müəyyən etməyə imkan verir.
Məlumat itkisinin qarşısının alınması (DLP): əgər təcavüzkar gizli qalmağa nail olarsa, DLP-nin imkanları təcavüzkarın eksfiltrləməyə (məlumatları xaricə çıxarmağa) çalışdığı bəzi hücumların son mərhələsini aşkarlaya və qarşısını ala bilər. Bu, müxtəlif növ məxfi məlumatların monitorinqi vasitəsilə həyata keçirilir.

Müasir imkanlar:
• Maşın tədrisi: Ətraflı öyrənməni təmin edən neyron şəbəkələri, Bayes metodu, klasterləşdirmə və s. daxil olmaqla bir neçə maşın tədrisi üsulu mövcuddur.
• Metodologiyadan asılı olmayaraq, siqnaturlara etibar etmədən həm məlum, həm də naməlum zərərli proqramları aşkar etmək üçün maşın tədrisi vasitəsilə zərərli proqram aşkarlama mexanizmləri yaradılmalıdır. Maşın tədrisinin üstünlüyü ondan ibarətdir ki, o, əvvəllər heç vaxt rast gəlinməmiş zərərli proqramları aşkar edə bilər ki, bu da ümumi zərərli proqram aşkarlama proseslərinin sürətini ideal şəkildə artırır. Müəssisələr aşkarlanma səviyyəsini, yanlış aşkarlama hallarını və maşın tədrisinə əsaslanan həllərin istehsalata təsirini düzgün qiymətləndirməlidirlər.
• Anti-exploit: İstismar - eksployt əleyhinə texnologiya, təcavüzkarların hücum zəncirində etibar etdikləri alət və metodların istifadəsinin qarşısını alaraq təcavüzkarların hücumlarından qorunmaq üçün hazırlanmışdır. Məsələn, EternalBlue və DoublePulsar kimi istismar proqramları NotPetya və Wannacry kimi soyğunçu proqramları işə salmaq üçün istifadə edilib. İstismardan qorunma texnologiyası zərərli proqram əlavələrini yaymaq və hücumlar həyata keçirmək üçün istifadə olunan nisbətən kiçik metodları dayandırır və əvvəllər heç kimin bilmədiyi bir çox gündəlik zərərli hücumları dəf edir.
• Soyğunçu proqramlara qarşı xüsusi işin aparılması: Bəzi həllər soyğunçu proqramlar tərəfindən zərərli məlumatların şifrələnməsinin qarşısını almaq üçün xüsusi olaraq hazırlanmış üsulları ehtiva edir. Tez-tez xüsusi soyğunçu proqram üsulları yoluxmuş faylları ötürməklə məşğul olur. Soyğunçu proqramlar üçün nəzərdə tutulan həllər yalnız faylların soyğunçu proqramlarını yox, həm də əsas yükləmə qeydini saxtalaşdıran və dağıdıcı hücumlarda istifadə olunan disklərin soyğunçu proqramlarını dayandırmağı bacarmalıdır.
• Hesab girişi məlumatlarının qorunması: audentifikasiya parollarının və keş məlumatlarının yaddaşdan, reyestrdən və sabit diskdən oğurlanmasının qarşısını almaq üçün hazırlanmış texnologiyadır.
• Prosesin qorunması (imtiyazların artırılması): təcavüzkarın aktiv hücumu çərçivəsində imtiyazları artırmaq üçün imtiyazlı identifikasiya markerinin prosesə
nə vaxt daxil edildiyini müəyyən etmək üçün yaradılmış mühafizədir. Bu, ilk növbədə identifikasiya tokenini oğurlamaq üçün bilinən və ya bilinməyən hansı nasazlıqdan istifadə edilməsindən asılı olmayaraq, təsirli üsul olmalıdır.
• Yekun nöqtənin aşkarlanması və cavab reaksiyası (EDR): EDR həlləri çətin təhdidlərin axtarılması, İT təhlükəsizliyin gigiyenasının əla vəziyyətdə saxlanılması və aşkar edilmiş hadisələrin təhlil edilməsi zamanı ətraflı məlumatı təmin edə bilməlidir. Komandanızın bacarıq və imkanlarının sözügedən vasitənin mürəkkəbliyinə və istifadə rahatlığına uyğun olması vacib məsələdir. Təhdidlər və təhlükələr haqqında ətraflı məlumat və tövsiyələr verən həll seçmək, təhdidə tez və asanlıqla cavab verməyə imkan yaradır.
• Genişləndirilmiş aşkarlama və cavab reaksiyası (XDR). XDR brandmauer, e-poçt, bulud və mobil cihazlar kimi digər məlumat mənbələri də daxil olmaqla, yekun nöqtənin və serverin çərçivəsindən kənara çıxır. O, müəssisələrə lazım olan yerdə təfərrüatlı məlumatı təmin etmək imkanı sayəsində bütün mühitlər haqqında vahid təəssürat yaratmaq üçün nəzərdə tutulmuşdur. Bütün bu məlumatlar, ümumiyyətlə "məlumat dənizi" olaraq adlandırılan mərkəzləşdirilmiş saxlancda uyğunlaşdırılmalıdır, burada istifadəçi biznes üçün əhəmiyyətli sorğular göndərə və onlara cavab ala bilər.
• Hadisələrə cavab reaksiyası / sinxronlaşdırılmış təhlükəsizlik: Yekun nöqtələrin mühafizə edilməsi vasitələri, gələcək hadisələrin qarşısını almaq üçün ən azı nəyin baş verdiyi haqqında təəssürat yaratmalıdır.
İdeal qaydada, bu vasitələr təhdidlərin yayılmasının və ya daha çox zərərin qarşısını almaq üçün analitikin müdaxiləsinə ehtiyac olmadan hadisələrə avtomatik cavab reaksiyası bildirməlidirlər. Hadisələrə cavab reaksiyası verən vasitələrinin digər yekun nöqtələrin təhlükəsizlik vasitələri ilə yanaşı həm də şəbəkə təhlükəsizliyi vasitələri ilə qarşılıqlı əlaqəsinin olması vacibdir.
• Təhdidlərə idarə edilən cavab reaksiyası (MTR): MTR, təhdidlərin gecə-gündüz axtarışını, aşkarlanmasını və mütəxəssis qrupu tərəfindən tamamilə idarə olunan bir xidmət şəklində cavablandırılmasını təmin edir. Analitiklər potensial təhdidlərə cavab verməli, komprometasiya göstəricilərini axtarmalı və hadisələrin harada, nə vaxt, necə və niyə baş verdiyinin ətraflı təhlilini təqdim etməlidirlər.
- Yekun nöqtələrin hərtərəfli qorunması üçün bir neçə metodun birləşdirilməsi nəyə görə vacibdir?
- Yekun nöqtənin mühafizəsi həllərinin qiymətləndirilməsi əsnasında müəssisələr yalnız bir əsas funksiyanı axtarmamalıdırlar. Bunun əvəzinə həm maşın tədrisi kimi müasir metodları, həm də effektivliyini sübuta yetirmiş əsas yanaşmaları əhatə edən bir sıra işlək və etibarlı funksiyaların axtarışına çıxmalıdırlar. Hadisələri araşdırmaq və cavab vermək üçün yekun nöqtə aşkarlanması və cavab reaksiyasının verilməsi metodundan (EDR) da istifadə etmək lazımdır. Öz kateqoriyasında ən yaxşısı olsa belə, təkcə bir dominant funksiyaya güvənmək təkcə bir zəif nöqtəyə münasibətdə həssas olduğunuzu bildirir. Əksinə, bir neçə etibarlı təhlükəsizlik səviyyəsinə malik olan çoxsəviyyəli mühafizə yanaşması daha geniş təhdidləri dayandırmağa müvəffəq olacaq. Bunu biz, tez - tez "artan güc" adlandırırıq - buraya əsas metodlar, maşın tədrisi, istismarçı eksploytdan qorunma, soyğunçu proqramlardan qorunma, EDR və digər həllər daxildir.
Yekun nöqtənin təhlükəsizliyinin qiymətləndirməsinin bir hissəsi kimi, müxtəlif təchizatçılardan onların həllinə hansı metodların daxil olduğunu soruşun Onların hər bir komponenti nə qədər güclüdür? Hansı təhdidləri dayandırmaq üçün hazırlanmışdır? Yalnız bir əsas texnikaya güvənirlər? Bəs bu həll uğursuz olarsa nə olacaq?

- Yekun nöqtənin mühafizə edilməsinin həlli ümumi təhlükəsizlik strategiyasının yalnız bir hissəsidir. Bu gün təşkilatlar yekun qurğuların qorunması məsələlərindən kənara çıxmalı və bütün ətraf mühiti qorumalıdırlar. İdeal olaraq, yalnız bir təchizatçı təşkilat daxilində ardıcıl qorunmanı və siyasətə uyğunluğu təmin etmək üçün birlikdə işləyən həllər təqdim edir. Tək bir təchizatçı ilə işləmək təhlükəsizliyi daha yaxşı təmin edə, idarəetmə problemlərini azalda və xərcləri aşağı sala bilər.
Yekun nöqtənin mühafizə edilməsi ilə yanaşı nəzərə alınmalı olan bəzi xüsusi texnologiyalara tam disk şifrələməsi, mobil cihazlara nəzarət, mobil təhlükəsizlik, təhlükəsiz poçt şlüzü, virtual mühitin qorunması və əlbəttə ki, yekun nöqtələr və şəbəkə qurğuları arasında sinxronlaşdırılmış təhlükəsizlik rejimi daxildir.
Kibertəhdidlər həm mürəkkəblik, həm də kəmiyyət baxımından artmağa davam etdikcə, yekun nöqtədə effektiv qorunmanın olması hər zamankından daha vacibdir. Qarşısının alınması lazım olan təhdidləri və mövcud müxtəlif təhlükəsizlik texnologiyalarını başa düşmək, yekun nöqtənin mühafizəsi sistemlərini məlumatlı şəkildə seçməyinizə imkan verəcək və təşkilatınızı müasir hücumlardan ən yaxşı şəkildə qoruyacaq.

- Sophos şirkəti bu cür bazar tələblərinə cavab olaraq nə təklif edə bilər?

- Sophos şirkəti kibertəhlükəsizlik sahəsində uzun illər təcrübəsi olan şirkətdir. Müştərilərinin infrastrukturunun hər bir komponentini qorumaq üçün geniş çeşidli həllər təklif edir. Bu həllərin yekun nöqtələrin hərtərəfli qorunmasına cavabdeh olan yalnız biri haqqında qısaca danışacağam.
Sophos Intercept X, hücumun landşaftını azaldan və başlamasının qarşısını alan aparıcı Endpoint Security həllidir. İstismardan, soyğunçu proqramlardan qorunma və dərin maşın tədrisi və idarəetmə texnologiyasını birləşdirərək, sistemlərinizə edilən hücumları onlar sizə təsir etməzdən əvvəl dayandırır. Intercept X, təkcə bir əsas təhlükəsizlik tədbirinə etibar etmədən yekun nöqtələrin qorunmasına hərtərəfli, çoxsəviyyəli yanaşmanı tətbiq edir. Bundan əlavə, Intercept X, öz yekun nöqtəsini, serverini, brandmauerini, e - poçtunu, buludunu və Office 365 təhlükəsizliyini sinxronlaşdıran yeganə XDR həllidir. Müştəri həm xüsusi SOC qrupları, həm də İT-administratorları üçün təhdidləri aşkar etmək, araşdırmaq və cavab vermək üçün ən zəngin məlumat dəstini və dərin təhlil vasitəsilə təşkilatınızın mühiti haqqında vahid təəssürat əldə etmiş olur.
Texniki təfərrüatları barədə çox danışmayacağam, buna görə də, məhsulun yalnız bir neçə parlaq imkanlarını sadalamaq istərdim:
• Dərin maşın tədrisi sayəsində Süni İntellektin köməkliyi ilə əvvəllər bilinməyən təhdidləri dayandırır.
• Soyğunçu proqramlarını bloklayır və məxfi faylları təhlükəsiz vəziyyətə qaytarır.
• Hücum zənciri boyunca tətbiq olunan istismar-eksployt metodlarının istifadəsinin qarşısını alır.
• Proqram əlavəsi, qurğu və veb-nəzarəti sayəsində hücumun səviyyəsini azaldır.
• XDR-dən istifadə edərək İT əməliyyatları üçün təhlükələrin axtarışını həyata keçirir və təhlükəsizlik gigiyenasını təmin edir.
• Uzaq iş mühitlərində yerləşdirmək asandır, konfiqurasiya və texniki xidmət etmək rahatdır.
• * Müştərinin istəyi ilə Sophos şirkəti 24/7/365 onun təhlükəsizliyini tam idarə olunan xidmət şəklində öz üzərinə götürür.

- Azərbaycanda Sophos həllərinin müştərilər üçün tətbiqi məsələlərində iTech Group şirkəti hansı rolu oynayır?
iTech Group şirkəti 20 ildən çoxdur ki, ölkə bazarında fəaliyyət göstərir və çox sayda müştərinin yüksək etimadını qazanıb. Şirkətimizin əsas postulatlarından biri müştərilərə alıcı kimi deyil, tərəfdaş kimi münasibət göstərməkdir, biz onlarla birlikdə problemləri həll edirik və layihənin hər bir mərhələsinin həyata keçirilməsində fəal iştirak edirik.
iTech Group, Sophos şirkətinin artıq neçə ildir ki tərəfdaşıdır, şirkət hər il təcrübə səviyyəsini və öz səlahiyyətlərini artırmaqda davam edir. Biz böyük məmnuniyyətlə təchizatçımız ilə məsləhətləşmələr təşkil etməyə, demo təqdim etməyə və müştərilərimizə tam dəstəyimizi təmin etməyə hazırıq.