[KB6682] Технологія пісочниці в ESET LiveGuard Advanced

Сучасні стійкі загрози вимагають поведінкового підходу до виявлення - замість того, щоб намагатися виявити шкідливе програмне забезпечення на основі того, чим воно є (на основі сигнатур), поведінкове виявлення шкідливого програмного забезпечення спирається на те, що воно робить. Розгортання пісочниці безпеки в мережі організації додає додатковий рівень захисту, щоб підвищити рівень виявлення загроз до їх виконання в реальному або виробничому середовищі. Цей додатковий рівень захисту є частиною нашого хмарного розширеного захисту від загроз, який є важливим компонентом ESET LiveGuard Advanced.

Пісочниця мережевої безпеки - це ізольоване середовище для тестування. Система в цьому середовищі запускає підозрілу програму, спостерігає за її поведінкою, а потім аналізує її в автоматизованому режимі. Пісочниця мережевої безпеки блокує шкідливі зразки на основі їхньої поведінки до того, як вони будуть запущені на кінцевих точках.

Пісочниця мережевої безпеки складається з декількох типів датчиків, які прослуховують мережевий трафік, що містить активний код. Ці датчики проводять статичний аналіз коду. Пісочниця також включає віртуальне середовище виконання для поглибленої перевірки запущених зразків, яке використовує різні методи виявлення, включаючи виявлення на основі поведінки, самоаналіз в пам'яті та моделі екстраполяції на основі машинного навчання. Такий підхід є більш ефективним, ніж просте порівняння сигнатур файлів. Пісочниця виходить за рамки зовнішнього вигляду двійкового файлу. Оскільки він спостерігає за тим, що робить файл, пісочниця є більш достовірним методом визначення шкідливого файлу, ніж виявлення на основі сигнатур.

Аналіз в ESET LiveGuard Advanced використовує багато внутрішніх інструментів ESET для статичного та динамічного аналізу, дампів пам'яті, розпакування та порівняння подібності. Він оцінює поведінку зразка і використовує дані про репутацію та канали розвідки загроз, щоб підвищити точність виявлення.