Июнь 29, 2017 3:20 пп | Published by |

Мы с гордостью хотим заявить, что ни одно из более чем 500 миллионов устройств,  находящихся под защитой Bitdefender не пострадал от нашумевших вирусов-вымогателей WannaCry и GoldenEye — Petya. Всё дело в уникальных технологиях, используемых в наших программах, а именно HVI, BHave и ATC. Хотим вам рассказать подробно, как именно работают эти программы и почему не все наши конкуренты по антивирусному рынку были способны защитить своих пользователей.

BHAVE – путь к успеху

Модуль защиты от вредоносного ПО, основанный на сигнатурном сканировании и эвристическом анализе (BHAVE) создан для защиты от вирусов, червей, троянов, программ-шпионов, рекламного ПО, кейлоггеров, руткитов и других типов вредоносных программ.

Технология сканирования Bitdefender от вредоносного ПО основана на следующих защитных уровнях:

Использование традиционного метода сканирования, когда уже проверенное содержимое сравнивается с базой данных сигнатур. В базе данных сигнатур содержатся записи байт-кодов, которые характерны для известных угроз. База регулярно обновляется Bitdefender. Этот метод сканирования является эффективным против любых известных угроз и используется большинством антивирусов.

Но независимо от того, насколько оперативно база данных обновляет записи, всегда имеется окно уязвимости между тем моментом, когда происходит обнаружение угрозы и тем, когда выходит исправление.

Против новых, ещё неизвестных угроз, защита осуществляется на втором уровне защиты Bitdefender, который использует эвристический двигатель BHAVE. Эвристические алгоритмы обнаруживают вредоносные программы на основе поведенческих характеристик зловредов. BHAVE запускает подозрительные вредоносные программы в виртуальной среде, тем самым проверяя их воздействие на систему и представление угрозы для вашей виртуальной или физической машины. Если угроза обнаружена, программа получает отказ в запуске.

Расширенный контроль угроз (Advanced Threat Control): проактивная защита против известных и новых угроз

Существуют угрозы, которые способны ускользнуть даже от эвристического анализа. Для борьбы с ними компания Bitdefender разработала третий слой защиты в виде расширенного контроля угроз (Advanced Threat ControlATC). Он проводит комплексную оценку совокупностей и последовательностей действия процессов с присвоением им рейтинга опасности.

ATC присваивает каждому процессу рейтинг, и согласно действиям процесса, вносит изменения в данный рейтинг. При превышении определенного значения процесс считается подозрительным и его исполнение блокируется, а его хэш направляется на дополнительную проверку в виртуальное облако Bitdefender, где его проверяет система на базе машинного обучения и выносит окончательный вердикт. Если система подтвердит опасность данного процесса для виртуальной машины, то его хэш будет добавлен в базу вредоносных программ и все машины, использующие Bitdefender по всему миру узнают об этом в течение пары минут с момента обнаружения.

Bitdefender Hypervisor Introspection: новое средство борьбы со скрытыми киберугрозами

Часто современное вредоносное ПО, как только попадает в систему, никак не проявляет себя. Могут пройти месяцы перед тем, как оно начнёт выполнять свои функции. Даже так называемые «песочницы» обычно не могут сразу обнаружить такие бомбы замедленного действия. Во время своего «затишья» зловреды распространяются по всему центру обработки данных и корпоративной сети. Для борьбы с подобными угрозами компания Bitdefender совместно с Citrix изобрели специальное средство безопасности, запускаемое внутри гипервизора для обнаружения вредоносного ПО, которое запускается в гостевых виртуальных машинах. Данный сервер компании Citrix называется XenServer, инструмент защиты получил название Bitdefender Hypervisor Introspection (HVI).


Bitdefender HVI – первое решение в мире, которое следит за гостевыми виртуальными машинами и проводит низкоуровневое сканирование памяти в режиме реального времени, то есть отслеживает все действия от гостевой машины к памяти гипервизора. С его помощью можно отслеживать, обнаруживать и блокировать даже самые опасные и скрытные угрозы, включая любые направленные атаки и
угрозы нулевого дня.

Такой зловред проникнув внутрь гостевой виртуальной машины может скрыть следы своего нахождения, даже самые продвинутые средства безопасности могут испытать огромные сложности при его поиске, так как не могут действовать на уровне ядра гипервизора. Но решение есть — нужно изучить эту виртуальную машину из вне, при возможности контролировать процессы внутри нее.

Инструмент, предлагаемый компанией Bitdefender — это baremetal гипервизор, который проверяет виртуальные машины, оставаясь при этом изолированным от них. Таким образом видит все происходящее в вашей инфраструктуре, при этом вредоносное ПО не сможет достичь его и замаскироваться или воспрепятствовать работе. Это уникальный подход, который ранее никогда не использовался при разработке средств обеспечения безопасности.

Bitdefender Hypervisor Introspection дает пользователям новый метод обнаружения и нейтрализации вредоносного ПО. Он намного эффективнее и уже доказал свою состоятельность на практике — в случае с противодействием эксплойту EternalBlue и шифровальщикам WannaCry и GoldenEyePetya. Этот инструмент существенно осложняет доступ киберпреступникам к вашим данным и повышает безопасность вашей ИТ-инфраструктуры.