[KB6682] Technológia sandboxingu v službe ESET Dynamic Threat Defense

Riešenie

Pokročilé pretrvávajúce hrozby si vyžadujú behaviorálny prístup k detekcii – namiesto snahy odhaliť malvér na základe jeho vonkajších charakteristík (tzv. detekcia založená na signatúrach), behaviorálna detekcia malvéru vychádza z toho, ako sa malvér správa. Nasadenie sandboxu v sieti organizácie vytvára ďalšiu vrstvu zabezpečenia, ktorá napomáha zvyšovať detekciu hrozieb ešte pred spustením malvéru v reálnom či produkčnom prostredí. Túto dodatočnú vrstvu zabezpečenia stelesňuje náš cloudový sandbox – ESET Dynamic Threat Defense (EDTD).

Cloudový sandbox predstavuje izolované testovacie prostredie, v ktorom sa spustí podozrivý program a automaticky sa sleduje a analyzuje jeho správanie. Sandbox tiež blokuje škodlivé vzorky na základe ich správania ešte pred spustením na koncových zariadeniach.

Pozostáva z niekoľkých druhov senzorov, ktoré sledujú sieťovú komunikáciu obsahujúcu aktívny kód. Tieto senzory spúšťajú statickú analýzu kódu. Sandbox tiež pozostáva z virtuálneho operačného prostredia, v ktorom prebieha hĺbková analýza kontrolovaných vzoriek. Využíva niekoľko metód detekcie vrátane detekcie na základe správania, sledovania vlastnej pamäte a extrapolačných modelov, ktoré sú založené na strojovom učení. Takýto prístup je omnoho efektívnejší ako porovnávanie signatúr. Sandboxing sleduje viac než len vonkajšie charakteristiky binárnych súborov – pozorovaním správania dokáže lepšie vyhodnotiť škodlivosť súboru než spomínaná detekcia založená na signatúrach.

Analýza v cloudovom sandboxe využíva početné interné nástroje spoločnosti ESET na statickú a dynamickú analýzu, vytváranie výpisov pamäte, rozbalenie vzoriek a porovnávanie podobností. Vyhodnocuje správanie vzorky, pričom na zvýšenie presnosti detekcie využíva údaje o reputácii súborov a informačné kanály o hrozbách.

Proces analýzy hrozieb

Po odoslaní vzorky do ESET Dynamic Threat Defense sa spustí proces analýzy:

  1. Tri samostatné modely strojového učenia vrátane hĺbkového učenia porovnajú danú vzorku s miliónmi známych vzoriek malvéru, aby sa našli podobnosti.

  2. Systém spustí vzorku vo virtuálnom prostredí alebo sandboxe, ktorý simuluje správanie používateľov s cieľom oklamať vzorky malvéru. Na porovnanie správania vzorky so správaním ostatných známych dostupných vzoriek malvéru používa modely neurónových sietí hĺbkového učenia.

  3. Najnovšia verzia oceňovaného skenovacieho jadra spoločnosti ESET vzorku rozanalyzuje a zisťuje v nej akúkoľvek nezvyčajnú aktivitu.

  4. Konečný výsledok sa vypočíta na základe všetkých dostupných techník a je poskytnutý zákazníkovi.

Obrázok 1-1