fbpx
Июль 18, 2020 12:51 | Alexandr Kim |

Справится ли ваше обнаружение вредоносных программ с угрозами будущего? В этой статье мы разберем 7 адаптируемых технологий для неуловимых угроз.

Во время пандемии возросли не только количество кибератак (только в марте 832 миллиона записей были взломаны с помощью вредоносных программ), но заметно возросла и их сложность.

Тот факт, что деловые транзакции должны были выполняться удаленными сотрудниками через Интернет, создавал множество уязвимостей, которые группы реагирования на инциденты не могли полностью охватить. Это позволило киберпреступникам стать более изощренными и смелыми в своих подходах.

  • Clop Ransomware теперь может отключить базовую безопасность системы.
  • Gameover Zeus теперь использует P2P-сети для буквальной трансляции ваших данных.
  • Несколько киберпреступных групп начали писать вредоносные программы на Golang, чтобы избежать обычного обнаружения.
  • А группа вымогателей Netwalker напала на целый австрийский город с помощью нескольких фишинговых писем.

Теперь стало ясно, что эпоха классических вирусных инфекций давно прошла, и что обычные средства обнаружения не способны противостоять современным вредоносным программам. Итак, что может сделать ваша команда безопасности, чтобы избежать угрозы?

Помимо надежного сочетания традиционного обнаружения, сетевой безопасности и анализа угроз, при выборе провайдера необходимо учитывать некоторые возможности защиты от вредоносных программ.

 

1. Эффективный анализ и анализ файлов

Сканирование файлов — это функциональность, общая для всех модулей защиты от вредоносных программ. Конечно, сканеры отличаются друг от друга, и необходимо прибегать к продвинутым средствам.

Анализ файла означает возможность правильно извлечь различные фрагменты данных, присутствующие в файле. Другими словами, синтаксический анализ позволяет механизму защиты от вредоносных программ сканировать все соответствующие данные файла (например, сценарии и макросы из документа MS-Office или PDF-файла) и определять, представляют ли эти данные угрозу.

В свою очередь, это повышает скорость и точность обнаружения и позволяет обнаруживать скрытые угрозы (например, к некоторым файлам .pdf могут быть прикреплены дополнительные файлы или встроены сценарии).

Отказоустойчивый синтаксический анализ также позволяет модулю защиты от вредоносных программ анализировать и сканировать поврежденные или не полностью загруженные файлы, которые более простой механизм игнорировал бы. Даже неполные файлы иногда могут открываться и заражать пользователя, поэтому эта функция безопасности очень важна.

 

2. Архивный анализ

Архивы были давним любимым вектором атаки для киберпреступников. Это связано с тем, что заархивированные файлы широко используются на уровне предприятия и обычно позволяют избежать обнаружения сервера электронной почты.

Кроме того, термин «архив» охватывает широкий диапазон форматов (практически любой файл, содержащий другие файлы, может быть одним – например, электронные письма с вложениями, образы ISO или установщики программного обеспечения), и эти форматы не всегда охватываются классическими механизмами сканирования.

Хотя сканирование внутри архивов не является новой функцией, сканирование в нескольких типах архивов, а также в поврежденных должно быть одним из главных приоритетов.

 

3. Анализ распаковщика

Подобно анализу архива, анализ распаковщика является «обязательным» для любого решения для защиты от вредоносных программ. В отличие от архивов, распаковщики используются для распаковки одного исполняемого файла, который был упакован с одним или несколькими бесплатными или коммерческим упаковщиком. Таким образом все двоичные параметры (код, размер, текстовые строки, подписи) изменены.

Это делает упакованные исполняемые файлы распространенным средством для троянов и вредоносных программ. Что не только уменьшает размер исполняемого файла, ускоряет загрузку вредоносных программ, но также полностью меняет двоичный файл. Это означает, что любое обнаружение, предназначенное для исходного двоичного файла, включая обнаружение машинного обучения, не будет работать с упакованным содержимым, если оно не распаковано.

Поскольку распаковщики, как правило, более разнообразны, чем архивы, ваш провайдер должен предлагать способ их распаковки, используя соответствующий распаковщик или выполняя их в безопасной среде и проверяя их содержимое с помощью эмуляции.

 

4. Эмуляция

Данная функция жизненно важна при борьбе с полиморфным вредоносным ПО, поскольку каждый отдельный образец этого вредоносного ПО отличается от всех остальных. Способность имитировать выполнение вредоносных программ жизненно важна при обнаружении вредоносных программ.

Эмуляция также может быть невероятно полезной при работе с файлами, двоичные файлы которых были запутаны (намеренно сделаны слишком сложными для понимания людьми) или просто написаны на менее распространенных языках (таких как угроза Golang).

С этими файлами всегда быстрее просто выполнить их в контролируемой среде, чем пытаться деобфускировать код, особенно когда сканирование чувствительно ко времени.

 

5. Эвристическое обнаружение

Хотя алгоритмы обнаружения и сигнатуры имеют жизненно важное значение для любого успешного решения, следует также включить эвристическое сканирование. Вместо того, чтобы полагаться на существующую информацию, эвристика опирается на комбинацию анализа поведения и паттернов, а также на эмуляцию, анализируя любую ненормальную активность как известного, так и неизвестного программного обеспечения.

Эффективная эвристика приводит не только к блокировке вредоносных файлов, но и к обнаружению неизвестных угроз.

 

6. Алгоритмы машинного обучения

Поскольку ландшафт угроз постоянно меняется, алгоритмы обнаружения также постоянно развиваются. Машинное обучение гарантирует, что ваше решение постоянно подвергается воздействию разнообразных угроз, сводящих к минимуму ложные срабатывания и улучшающих реагирование на инциденты.

В передовых решениях используются более широкие сетевые алгоритмы машинного обучения, такие как нейронные и сети глубокого обучения.

 

7. Облачное обнаружение

Локальные фильтры — это ваша первая линия защиты, но ваш провайдер должен предлагать доступ к облачным обновлениям и анализу угроз, чтобы в режиме реального времени сообщать о новых угрозах.

Основным преимуществом такой системы является то, что она позволяет обнаруживать новые угрозы в считанные секунды, не загружая движок.

Помимо этих функций, эффективный пакет обнаружения вредоносных программ должен быть независимым от платформы и иметь небольшую площадь, позволяющую действовать быстрее, чем угрозы, независимо от системы.

 

Решение Bitdefender

Удостоенный наград механизм защиты от вредоносных программ Bitdefender предлагает защиту от:

  • всех часто встречающихся вредоносных программ,
  • от троянов и червей,
  • от вымогателей и шпионских программ,
  • от продвинутых постоянных угроз,
  • от угроз нулевого дня и многих других.

Благодаря уровню обнаружения 99,9%, высокоскоростному сканированию и быстрой интеграции в партнерские приложения и службы наше решение для защиты от вредоносных программ может адаптироваться к любому предприятию, SOC или MSSP.

Наши продукты постоянно тестируются и награждаются независимыми аналитиками, и наш механизм защиты от вредоносных программ завоевал больше наград, чем любой другой продукт в истории AV-Comparatives. Мы также выиграли награду «Продукт года».

Если вы хотите узнать больше о том, что наше решение может сделать для вашей компании, проконсультируйтесь с нашим менеджером:

  • 8 800 350 45 60
  • 8 495 432 45 60
  • info@bitdefender.ru

На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.