הטכנולוגיות המתקדמות של ESET

הגנה מתקדמת המתפתחת באופן קבוע

מעבדות המחקר העולמיות שלנו עומדות בבסיס הפיתוח של הטכנולוגיות הייחודיות של ESET

ESET משתמשת בטכנולוגיות רב-שכבתיות שהן הרבה מעבר ליכולות של אנטי-וירוס בסיסי. האיורים להלן מציגים את הטכנולוגיות המרכזיות של ESET והערכה של התזמון והאופן שבו הן מסוגלות לאתר ו/או לחסום איום לאורך מחזור החיים שלו במערכת.

סורק UEFI

ESET היא ספקית אבטחת האינטרנט הראשונה שהוסיפה שכבה ייעודית לפתרון שלה, המגנה על ממשק הקושחה המורחב המאוחד (UEFI). סורק ה-UEFI של ESET בודק ואוכף את האבטחה של סביבת קדם-האתחול בהתאם למפרט של UEFI. הדבר נועד לאתר רכיבים זדוניים בקושחה ולדווח עליהם למשתמש.

הצג עוד

UEFI הוא מפרט סטנדרטי של ממשק התוכנה הקיים בין מערכת ההפעלה של המכשיר לקושחה שלו ומחליף את מערכת הקלט/פלט הבסיסית (BIOS) שבה נעשה שימוש במחשבים מאז אמצע שנות ה-70. הודות לעיצוב המתועד היטב שלו, ממשק UEFI הוא קל יותר לניתוח וכך מתאפשר למפתחים לבנות הרחבות לקושחה. עם זאת, דבר זה פותח את הדלת גם למפתחי תוכנות זדוניות ולתוקפים שיכולים להדביק את ה-UEFI במודולים הזדוניים שלהם.

זיהוי על פי (DNA - (Detection DNA

קוד זדוני ניתן לשינוי על ידי האקרים, אך ההתנהגות שלו לא משתנה. עקרון זה יושם בזיהוי על-פי DNA אשר קיים במוצרים שלנו: לכן מתבצע ניתוח התנהגותי מעמיק של הקוד, כדי לאתר התנהגות חשודה או חריגה.

כל קוד שאינו מאומת, נחשב כזדוני ונבדק לעומק. הזיהוי מתבצע כדי לזהות לא רק דגימות של נוזקות מוכרות, אלא גם נוזקות שלא נראו מעולם (in the wild) המכילות קוד עם התנהגות זדונית

הצג עוד

אנחנו מבצעים ניתוח מעמיק של הקוד ומחלצים "גנים" האחראים להתנהגותו ובונים את ESET DNA Detections. אובייקטים אלה שאותרו משמשים להערכת קוד שעשוי להיות חשוד, בין אם הוא נמצא בדיסק ובין אם הוא נמצא בזיכרון התהליך הפועל.

DNA Detections יכול לזהות דגימות ספציפיות ידועות של תוכנות זדוניות, גרסאות חדשות של משפחת תוכנות זדוניות ידועות או אפילו תוכנות זדוניות שלא נראו בעבר או לא מוכרות המכילות גנים המצביעים על התנהגות זדונית.

למידת מכונה

ESET פיתחה מנגנון משלה Machine Learning, שנקרא ESET Augur. הוא משתמש בעוצמה המשולבת של רשתות עצביות (neural networks) (כמו למידה עמוקה וזיכרון לטווח ארוך ולטווח קצר) ובקבוצה מובחרת של שישה אלגוריתמי סיווג. דבר זה מאפשר לו לייצר פלט מאוחד ולסייע לו בתיוג נכון של הדגימה הנכנסת כנקייה, כדגימה שעלולה להיות בלתי רצויה או כדגימה כזדונית.

הצג עוד

כדי להציע את שיעורי הזיהוי הטובים ביותר ואת המספר הנמוך ביותר האפשרי של התראות שווא (False Positive), מנגנון ESET Augur מכוונן לשיתוף פעולה עם טכנולוגיות הגנה אחרות כגון Sandbox ,DNA וניתוח זיכרון וכן לחילוץ של מאפיינים התנהגותיים.

מערכת להגנה מפני תוכנות זדוניות בענן

המערכת של ESET להגנה מפני תוכנות זדוניות בענן היא אחת מהטכנולוגיות המבוססות על מערכת הענן LiveGrid®‎ של ESET. יישומים לא ידועים, שעלולים להיות זדוניים ואיומים אפשריים אחרים מנוטרים ונשלחים לענן של ESET באמצעות מערכת המשוב של ESET LiveGrid®‎.

הצג עוד

הדגימות שנאספו מועברות לארגזי חול אוטומטיים ועוברות ניתוח התנהגותי, מה שמביא ליצירה אוטומטית של אובייקטים שאותרו אם המאפיינים הזדוניים שלהם אושרו. לקוחות ESET לומדים על האיתור האוטומטי של האובייקטים הללו באמצעות מערכת המוניטין ESET LiveGrid®‎ ללא צורך בהמתנה לעדכון הבא של מנגנון האיתור.

מוניטין ומטמון

בעת בדיקת קובץ או כתובת אתר, לפני ביצוע סריקה כלשהי, המוצרים שלנו בודקים את המטמון המקומי לאיתור אובייקטים זדוניים ידועים או אובייקטים תקינים המופיעים ברשימה הלבנה. דבר זה משפר את ביצועי הסריקה.
לאחר מכן, מערכת המוניטין ESET LiveGrid®‎ שלנו נשאלת לגבי המוניטין של האובייקט (כלומר אם האובייקט כבר נראה במקום אחר וסווג כזדוני). דבר זה משפר את יעילות הסריקה ומאפשר שיתוף מהיר יותר של בינת תוכנות זדוניות עם הלקוחות שלנו.

הצג עוד

החלת רשימות שחורות של כתובות אתרים ובדיקת המוניטין מונעת ממשתמשים גישה לאתרים עם תוכן זדוני ו/או אתרי פישינג.

איתור וחסימה מבוססי התנהגות - HIPS

המערכת של ESET למניעת חדירות המבוססת על מארח (HIPS) מנטרת את פעילות המערכת ומשתמשת בקבוצת כללים מוגדרת מראש כדי לזהות התנהגות חשודה במערכת. כאשר פעילות מסוג כזה מזוהה, מנגנון ההגנה העצמית של HIPS מונע מהתוכנית או מהתהליך הפוגעני מלבצע פעילות שעלולה להיות מזיקה.

הצג עוד

המשתמשים יכולים להגדיר קבוצת כללים בהתאמה אישית לשימוש במקום קבוצת הכללים המוגדרת כברירת המחדל. עם זאת, הדבר דורש ידע מתקדם ביישומים ובמערכות הפעלה.

SANDBOX מובנה במוצר

התוכנות הזדוניות המודרניות מעורפלות בכבדות לעתים קרובות ומנסות להתחמק ככל הניתן מאיתור. כדי לבדוק זאת ולזהות את ההתנהגות האמיתית החבויה מתחת לפני השטח, אנחנו משתמשים בSANDBOX המובנה במוצר. בעזרת טכנולוגיה זו, הפתרונות של ESET מחקים רכיבים שונים של חומרה ותוכנה לצורך לקיחת דגימות חשודות בסביבה וירטואלית מבודדת.

הצג עוד

אנחנו משתמשים בתרגומים בינאריים כדי לשמור על פעולה קלת משקל של ארגז החול המובנה במוצר ולהימנע מהאטת ביצועי המחשב. אנחנו מיישמים את הטכנולוגיה הזו בפתרונות שלנו כבר משנת 1995 ושיפרנו אותה מאז.

סריקת זיכרון מחשב מתקדמת

טכנולוגיה ייחודית, המציעה פתרון אפקטיבי לבעיה רווחת בעידן הנוזקות המודרני: נוזקות המסוות עצמן או עוברות הצפנה בכדי לחמוק מזיהוי. בעבר, הטכניקות הקבועות לטפל בנוזקות מוסוות היו להריץ ולבדוק את התנהגותן בתוך סביבה וירטואלית מבודדת (sandbox), אך זה לא מספיק משום שבדיקה כזו מתבצעת באופן חד פעמי ונוזקות יודעות להסוות את עצמן. טכנולוגיה זו בודקת ומנטרת את ההתנהגות של תהליכים, לאחר שכבר הופעלו ונטענו לזיכרון המחשב.

הצג עוד

בכל פעם שתהליך מבצע קריאה למערכת מדף הפעלה חדש, סריקת הזיכרון המתקדמת מבצעת ניתוח קוד התנהגותי ESET DNA Detections. הודות ליישום של אחסון חכם במטמון, סריקת הזיכרון המתקדמת אינה גורמת לפגיעה מובחנת במהירויות העיבוד.

יתרה מזאת, כיום ישנה מגמה חדשה בתחום התוכנות הזדוניות המתקדמות: קוד זדוני כלשהו פועל כעת "בזיכרון בלבד", מבלי להזדקק לרכיבים קבועים במערכת הקבצים (במילים אחרות: תוכנות זדוניות ללא קבצים) שמאפשרים איתור באופן קונבנציונאלי. רק סריקת זיכרון יכולה לגלות בהצלחה התקפות זדוניות כאלה ו-ESET מוכנה למגמה חדשה זו באמצעות סריקת הזיכרון המתקדמת שלה.

חוסם פירצות אבטחה

חוסם פירצות האבטחה מנטר בדרך כלל יישומים הניתנים לניצול (דפדפנים, קוראי מסמכים, לקוחות דוא"ל, Flash‏, Java ועוד), ובמקום לכוון רק למזהי CVE ספציפיים, הוא מתמקד בטכניקות ניצול. כאשר הוא מופעל, התנהגות התהליך מנותחת, ואם התהליך נחשב לחשוד, המחשב יכול לחסום מיד את האיום.

הצג עוד

בעוד שמנגנון הסריקה של ESET מכסה פירצות אבטחה המופיעות בקבצי מסמכים זדוניים והגנת מפני התקפות רשת מכוונת לרמת התקשורת, הטכנולוגיה של חוסם פירצות האבטחה חוסמת את תהליך פירצת האבטחה עצמו. טכנולוגיה זו נמצאת בפיתוח מתמיד ושיטות חדשות לאיתור מתווספות בקביעות כדי לכסות טכניקות חדשות של ניצול לרעה.

הגנה מפני תוכנות כופר

המערכת של ESET להגנה מפני תוכנות כופר היא שכבה נוספת המגנה על המשתמשים מפני תוכנות כופר. טכנולוגיה זו מנטרת ומעריכה את כל היישומים הפועלים על סמך ההתנהגות והמוניטין שלהם. דבר זה נועד לאתר ולחסום תהליכים הדומים בהתנהגותם להתנהגות של תוכנות כופר.

הצג עוד

הטכנולוגיה מופעלת כברירת מחדל. אם המערכת של ESET להגנה מפני 'מחשב זומבי' (Botnet) מופעלת על-ידי פעולה חשודה, המשתמש יתבקש לאשר או לדחות פעולת חסימה. תכונה זו מכווננת היטב כדי להציע את הרמה הגבוהה ביותר האפשרית של הגנה מפני תוכנות זדוניות יחד עם טכנולוגיות אחרות של ESET, כולל מערכת להגנה מפני תוכנות זדוניות בענן, הגנה מפני התקפות רשת ו- DNA Detections.

הגנה מפני מתקפות רשת

הגנה מפני התקפות רשת היא הרחבה של טכנולוגיית חומת האש ומשפרת את איתור נקודות התורפה הידועות ברמת הרשת. היא מהווה נדבך חשוב נוסף בהגנה מפני הפצה של תוכנות זדוניות, תקיפות ברשת וניצול נקודות תורפה שטרם הופץ או נפרס תיקון אבטחה עבורן.

הגנה מפני בוטנט (Botnet)

חלק מהנוזקות (כמו נוזקות כופר), תלויות בין השאר ביכולת של התוקפים לשדר להן פקודות מרחוק דרך שרת בקרה ושליטה. רכיב ההגנה מפני בוטנטים פועל כדי לנטר ולזהות בהצלחה את התקשורת של בוטנטים עם שרת הבקרה והשליטה, וגם כדי לאתר את התהליך עצמו שאחראי על התקשורת.

 

מכאן החשיבות הכפולה של רכיב זה: הוא מאפשר לאתר חולשות ברשת באופן ייחודי או ערכות פריצה קיימות, אשר באמצעותן מתבצעת התקשורת. כמו כן הוא מאפשר לזהות במדויק את התהליכים הזדוניים.

We Live Security

בוא להתעדכן במידע העדכני ביותר בתחום אבטחת ה- IT - חדשות, ניתוחים, דעות ומדריכים מאת המומחים שלנו.

welivesecurity.com

פורום האבטחה של ESET

הצטרף לדיון עם אנשי מקצוע מקהילת ESET - במגוון רחב של נושאים.

פורום האבטחה של ESET

קהילת ESET

הצטרף אלינו בפייסבוק והישאר מעודכן לגבי כל מה שקשור ל- ESET – כולל תוכן ייחודי למעריצים!

בקרו אותנו בפייסבוק