[KB6682] Az ESET LiveGuard Advanced sandbox-technológiája

 

Megoldás

A fejlett tartós fenyegetések (ATP-k) viselkedésalapú megközelítést igényelnek a felderítéshez - ahelyett, hogy a rosszindulatú szoftvereket az alapján próbálnák felderíteni, hogy mik azok (minta-alapú), a rosszindulatú szoftverek viselkedés-alapú felderítése arra támaszkodik, hogy mit csinálnak a rosszindulatú szoftverek. Egy védelmi sandbox megvalósítása a vállalat hálózatában egy további biztonsági réteget ad a fenyegetések felismerésének növelése érdekében, még mielőtt azok éles vagy termelési környezetben kárt okozhatnának. Ezt a további biztonsági réteg az ESET LiveGuard Advanced, az ESET felhőalapú sandbox megoldása.

A hálózati védelmi sandbox egy elszigetelt tesztkörnyezet. A rendszer ebben a környezetben végrehajtja a gyanús programot, megfigyeli a viselkedését, majd automatizált módon elemzi azt. A hálózati védelmi sandbox a viselkedésük alapján blokkolja a rosszindulatú mintákat, mielőtt azok lefutnának a végpontokon.

A hálózati védelmi sandbox többféle szenzorral rendelkezik, amelyek figyelik az aktív kódot tartalmazó hálózati forgalmat. Ezek a szenzorok statikus elemzést végeznek a kódon. A sandbox tartalmaz egy, a futó minták alapos vizsgálatához szükséges virtuális végrehajtási környezetet is, amely többféle észlelési módszert használ, többek között viselkedés-alapú észlelést, memórián belüli vizsgálatot és gépi tanulással működtetett extrapolációs modelleket. Ez a megközelítés hatékonyabb, mint a fájlok mintáinak egyszerű összehasonlítása. A sandboxing a bináris állományok alapvető vizsgálatán messze túlmutat. Mivel azt figyeli meg, hogy mit csinál a fájl valójában, ezért  a sandboxing az minta-alapú észlelésnél sokkal biztosabban tudja meghatározni azt, hogy a fájl rosszindulatú-e.

A sandboxban végzett elemzés az ESET számos saját belső eszközét használja statikus és dinamikus elemzésre, a teljes memóriatartalom vizsgálatára, kicsomagolásra és hasonlósági megfeleltetésekre. Az elemzés során kiértékelésre kerül a minta viselkedése, a felismerési pontosság növelése érdekében pedig különböző reputációs adatok és fenyegetés-felderítési adatfolyamok kerülnek felhasználásra.

A fenyegetések elemzésének folyamata

Amikor egy minta elküldésre kerül az ESET LiveGuard Advanced felé, megkezdődik a fenyegetés elemzésének folyamata:

  1. Három különálló gépi tanulási modell, köztük a Deep Learning, hasonlítja össze a mintát több millió ismert rosszindulatú szoftvermintával hasonlóságok keresése céljából.

  2. A rendszer virtuális környezetben vagy sandboxban futtatja a mintát. Szimulálja a felhasználói viselkedést a rosszindulatú minták becsapásához, és Deep Learning neurális hálózati modellek segítségével összehasonlítja a minta viselkedését az összes elérhető ismert rosszindulatú minta viselkedésével.

  3. Az ESET díjnyertes keresőmotorjának legújabb verziója, a vizsgálandó minta minden egyes részét átvizsgálja és elemzi szokatlan viselkedések és kódrészletek után kutatva.

  4. A vizsgálat eredményét az összes rendelkezésünkre álló vizsgálati módszer alapján határozzuk meg és bocsátjuk az ügyfél rendelkezésére.

További segítségnyújtás