[KB6682] Sandkasseteknologi i ESET LiveGuard Advanced

Avancerede vedvarende trusler kræver en adfærdsbaseret tilgang til detektering - i stedet for at forsøge at detektere malware ud fra, hvad den er (signaturbaseret), er adfærdsbaseret malwaredetektering afhængig af, hvad malwaren gør. Implementeringen af en sikkerhedssandkasse i organisationens netværk tilføjer et sikkerhedslag for at øge trusselsdetekteringen, før den udføres i et live- eller produktionsmiljø. Dette ekstra sikkerhedslag er en del af vores Cloud Powered Advanced Threat Defense som en væsentlig komponent i ESET LiveGuard Advanced.

Sandkassen til netværkssikkerhed er et isoleret testmiljø. Systemet i dette miljø udfører det mistænkelige program, observerer dets adfærd og analyserer det derefter på en automatiseret måde. Sandkassen til netværkssikkerhed blokerer ondsindede prøver baseret på deres adfærd, før de kører på slutpunkterne.

Sandkassen til netværkssikkerhed består af flere typer sensorer, som lytter til netværkstrafik, der indeholder aktiv kode. Disse sensorer udfører statisk analyse af koden. Sandkassen indeholder også et virtuelt eksekveringsmiljø til dybdegående inspektion af kørende prøver, der bruger flere detektionsmetoder, herunder adfærdsbaseret detektion, introspektion i hukommelsen og ekstrapolationsmodeller drevet af maskinlæring. Denne tilgang er mere effektiv end blot at sammenligne filernes signaturer. Sandboxing ser ud over den binære fils udseende. Fordi den observerer, hvad filen gør, er sandboxing mere afgørende for at afgøre, om filen er skadelig, end signaturbaseret detektion.

Analyse i ESET LiveGuard Advanced bruger mange af ESET's interne værktøjer til statisk og dynamisk analyse, hukommelsesdumping, udpakning og lighedsmatchning. Den evaluerer prøvens adfærd og bruger omdømmedata og threat intelligence-feeds til at øge detektionsnøjagtigheden.