Questão
- Processo de análise de ameaças no ESET LiveGuard Advanced
- Leia mais sobre o componente sandbox do ESET LiveGuard Advanced
Solução
Detalhes
Clique para expandir
As ameaças persistentes avançadas requerem uma abordagem comportamental para a detecção - em vez de tentar detectar o malware com base no que ele é (baseado em assinatura), a detecção comportamental de malware se baseia no que o malware faz. A implementação de uma sandbox de segurança na rede da organização acrescenta uma camada de segurança para aumentar a detecção de ameaças antes da execução em um ambiente ativo ou de produção. Essa camada de segurança adicional é parte de nossa Defesa Avançada contra Ameaças Alimentada pela Nuvem como um componente essencial do ESET LiveGuard Advanced.
O sandbox de segurança de rede é um ambiente de teste isolado. O sistema nesse ambiente executa o programa suspeito, observa seu comportamento e, em seguida, o analisa de forma automatizada. A sandbox de segurança de rede bloqueia amostras mal-intencionadas com base em seu comportamento antes de serem executadas nos endpoints.
A sandbox de segurança de rede consiste em vários tipos de sensores que escutam o tráfego de rede que contém código ativo. Esses sensores realizam análise estática do código. A sandbox também inclui um ambiente de execução virtual para inspeção aprofundada de amostras em execução que usa vários métodos de detecção, incluindo detecção baseada em comportamento, introspecção na memória e modelos de extrapolação alimentados por aprendizado de máquina. Essa abordagem é mais eficiente do que apenas comparar as assinaturas dos arquivos. O sandboxing vai além da aparência do binário. Como ele observa o que o arquivo faz, o sandboxing é mais conclusivo para determinar se o arquivo é malicioso do que a detecção baseada em assinatura.
A análise no ESET LiveGuard Advanced utiliza muitas das ferramentas internas da ESET para análise estática e dinâmica, despejo de memória, descompactação e correspondência de similaridade. Ele avalia o comportamento da amostra e utiliza dados de reputação e feeds de inteligência contra ameaças para aumentar a precisão da detecção.
Processo de análise de ameaças no ESET LiveGuard Advanced
Quando uma amostra é enviada ao ESET LiveGuard Advanced, o processo de análise de ameaças é iniciado:
-
Múltiplos modelos de aprendizado de máquina, incluindo o Deep Learning, comparam a amostra com milhões de amostras de malware conhecidas em busca de semelhanças.
-
O sistema executa a amostra em um ambiente virtual ou sandbox. Ele simula o comportamento do usuário para enganar amostras de malware e usa modelos de rede neural de Deep Learning para comparar o comportamento da amostra com o comportamento de todas as amostras de malware conhecidas disponíveis.
-
A versão mais recente do mecanismo de escaneamento premiado da ESET é usada para desmontar tudo e analisar qualquer coisa incomum.
-
O resultado final é calculado com base em todas as técnicas disponíveis e fornecido ao cliente.
