Problema
- Proceso de análisis de amenazas en ESET LiveGuard Advanced
- Más información sobre el componente sandbox de ESET LiveGuard Advanced
Solución
Detalles
Haga clic para ampliar
Las amenazas persistentes avanzadas requieren un enfoque de comportamiento para su detección: en lugar de intentar detectar el malware basándose en lo que es (basado en firmas), la detección de malware basada en el comportamiento se basa en lo que hace el malware. El despliegue de un entorno aislado de seguridad en la red de la organización añade una capa de seguridad para aumentar la detección de amenazas antes de que se ejecuten en un entorno activo o de producción. Esta capa de seguridad adicional forma parte de nuestra Defensa frente a amenazas avanzadas basada en la nube como componente esencial de ESET LiveGuard Advanced.
El sandbox de seguridad de red es un entorno de pruebas aislado. El sistema en este entorno ejecuta el programa sospechoso, observa su comportamiento y luego lo analiza de forma automatizada. El sandbox de seguridad de red bloquea las muestras maliciosas basándose en su comportamiento antes de que se ejecute en los endpoints.
El sandbox de seguridad de red consta de varios tipos de sensores que escuchan el tráfico de red que contiene código activo. Estos sensores realizan un análisis estático del código. El sandbox también incluye un entorno de ejecución virtual para la inspección en profundidad de muestras en ejecución que utiliza múltiples métodos de detección, incluida la detección basada en el comportamiento, la introspección en memoria y los modelos de extrapolación basados en aprendizaje automático. Este enfoque es más eficaz que la mera comparación de las firmas de los archivos. Sandboxing mira más allá de la apariencia del binario. Dado que observa lo que hace el archivo, el sandboxing es más concluyente a la hora de determinar si el archivo es malicioso que la detección basada en firmas.
El análisis en ESET LiveGuard Advanced utiliza muchas de las herramientas internas de ESET para el análisis estático y dinámico, el volcado de memoria, el desempaquetado y la comparación de similitudes. Evalúa el comportamiento de la muestra y utiliza datos de reputación y fuentes de inteligencia de amenazas para aumentar la precisión de la detección.
Proceso de análisis de amenazas en ESET LiveGuard Advanced
Cuando se envía una muestra a ESET LiveGuard Advanced, comienza el proceso de análisis de amenazas:
-
Múltiples modelos de aprendizaje automático, incluido Deep Learning, comparan la muestra con millones de muestras de malware conocidas en busca de similitudes.
-
El sistema ejecuta la muestra en un entorno virtual o sandbox. Simula el comportamiento del usuario para engañar a las muestras de malware y utiliza modelos de redes neuronales de Deep Learning para comparar el comportamiento de la muestra con el comportamiento de todas las muestras de malware conocidas disponibles.
-
La última versión del galardonado motor de análisis de ESET se utiliza para desmontarlo todo y analizar en busca de cualquier cosa inusual.
-
El resultado final se calcula en base a todas las técnicas disponibles y se proporciona al cliente.
