[KB6682] Sandlådeteknik i ESET LiveGuard Advanced

Avancerade ihållande hot kräver en beteendebaserad metod för upptäckt - istället för att försöka upptäcka skadlig kod baserat på vad den är (signaturbaserad), bygger beteendebaserad upptäckt av skadlig kod på vad den skadliga koden gör. Implementeringen av en säkerhetssandlåda i organisationens nätverk lägger till ett säkerhetslager för att öka upptäckten av hot innan de körs i en live- eller produktionsmiljö. Detta extra säkerhetslager är en del av vårt Cloud Powered Advanced Threat Defense som en viktig komponent i ESET LiveGuard Advanced.

Sandlådan för nätverkssäkerhet är en isolerad testmiljö. Systemet i den här miljön kör det misstänkta programmet, observerar dess beteende och analyserar det sedan på ett automatiserat sätt. Sandlådan för nätverkssäkerhet blockerar skadliga exempel baserat på deras beteende innan de körs på slutpunkterna.

Sandlådan för nätverkssäkerhet består av flera olika typer av sensorer som lyssnar på nätverkstrafik som innehåller aktiv kod. Dessa sensorer utför statisk analys av koden. Sandlådan innehåller också en virtuell exekveringsmiljö för djupgående inspektion av körda prover som använder flera detekteringsmetoder, inklusive beteendebaserad detektering, introspektion i minnet och extrapoleringsmodeller som drivs av maskininlärning. Det här tillvägagångssättet är effektivare än att bara jämföra filernas signaturer. Sandboxing ser bortom binärfilens utseende. Eftersom den observerar vad filen gör är sandboxning mer avgörande för att avgöra om filen är skadlig än signaturbaserad detektering.

Analysen i ESET LiveGuard Advanced använder många av ESET:s interna verktyg för statisk och dynamisk analys, minnesdumpning, uppackning och likhetsmatchning. Den utvärderar provets beteende och använder ryktesdata och threat intelligence-flöden för att öka detekteringsnoggrannheten.