IG2 IG3

استخدام برمجيات مكافحة البرمجيات الخبيثة القائمة على السلوك

مجموعة الضابط: 10. الدفاع ضد البرمجيات الخبيثة

نوع الأصل: الأجهزة

وظيفة الأمان: كشف

الوصف

استخدام برمجيات مكافحة البرمجيات الخبيثة القائمة على السلوك.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

CrowdStrike Falcon Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

منصة سحابية أصلية لحماية نقاط النهاية مع مكافحة فيروسات من الجيل التالي واكتشاف التهديدات والاستجابة لها واستخبارات التهديدات والصيد المُدار

CrowdStrike · اشتراك لكل نقطة نهاية

Microsoft Defender for Endpoint Gartner MQ Leader, EPP 2024

أمان نقاط النهاية المؤسسي مع منع التهديدات واكتشاف التهديدات والاستجابة لها والتحقيق الآلي وتقليل سطح الهجوم

Microsoft · اشتراك لكل جهاز (P1/P2)

SentinelOne Singularity Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

حماية نقاط النهاية المدعومة بالذكاء الاصطناعي مع استجابة مستقلة وقدرات الاكتشاف والاستجابة الموسعة عبر نقاط النهاية والسحابة والهوية

SentinelOne · اشتراك لكل نقطة نهاية

Palo Alto Cortex XDR Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

منصة الاكتشاف والاستجابة الموسعة تربط بيانات نقاط النهاية والشبكة والسحابة والهوية لاكتشاف التهديدات

Palo Alto Networks · اشتراك لكل نقطة نهاية

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

برمجيات خبيثة يوم صفر تتهرب من الكشف القائم على التوقيعات

السرية

تتجاوز البرمجيات الخبيثة الجديدة التي لا توجد لها توقيعات مكافحة البرمجيات الخبيثة التقليدية القائمة على التوقيعات تماماً، وبدون كشف قائم على السلوك يُنفذ النشاط الخبيث (تشفير الملفات والوصول إلى بيانات الاعتماد والتنقل الأفقي) بلا تحدٍ.

برمجيات خبيثة متعددة الأشكال تهزم التحليل الثابت

السلامة

تتهرب البرمجيات الخبيثة التي تغير توقيع أكوادها مع كل تنفيذ من محركات الكشف القائمة على التوقيعات، مما يتطلب تحليلاً سلوكياً لتحديد الإجراءات الخبيثة (حقن العمليات وآليات الاستمرار واتصالات القيادة والتحكم) بدلاً من خصائص الملف الثابتة.

تقنيات استخدام أدوات النظام المدمجة غير مرئية لفحص التوقيعات

السرية

يستخدم المهاجمون أدوات وعمليات نظام التشغيل الشرعية (PowerShell وWMI وcertutil وmshta) لتنفيذ إجراءات خبيثة لا تستطيع الحلول القائمة على التوقيعات كشفها لأن الأدوات نفسها شرعية، مما يتطلب تحليلاً سلوكياً لتحديد الإساءة.

الثغرات (عند غياب الإجراء الوقائي)

مكافحة البرمجيات الخبيثة تعتمد فقط على الكشف القائم على التوقيعات

يستخدم حل مكافحة البرمجيات الخبيثة بالمؤسسة فقط مطابقة التوقيعات الثابتة بدون تحليل سلوكي أو استدلال أو قدرات تعلم آلي، مما يجعله أعمى عن تهديدات اليوم صفر والبرمجيات الخبيثة متعددة الأشكال وتقنيات الهجوم بدون ملفات.

عدم وجود EDR أو حماية نقطة نهاية من الجيل التالي

لم تنشر المؤسسة حلول كشف واستجابة نقطة النهاية (EDR) أو مكافحة فيروسات من الجيل التالي (NGAV) التي تراقب سلوك العمليات واستدعاءات API وتفاعلات النظام لكشف أنماط النشاط الخبيث بغض النظر عن توقيعات الملفات.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة مكافحة البرمجيات الخبيثة

Control 10

الإجراءات الوقائية ذات الصلة في الضابط 10

10.1 نشر وصيانة برمجيات مكافحة البرمجيات الخبيثة

10.2 تكوين التحديث التلقائي لتوقيعات مكافحة البرمجيات الخبيثة

10.3 تعطيل التشغيل التلقائي والتشغيل الآلي للوسائط القابلة للإزالة

10.4 تكوين الفحص التلقائي لمكافحة البرمجيات الخبيثة للوسائط القابلة للإزالة

10.5 تمكين ميزات مكافحة الاستغلال

10.6 إدارة مركزية لبرمجيات مكافحة البرمجيات الخبيثة