Передовая технология ESET

Постоянно развивающиеся, передовые технологии защиты.

За развитием уникальной технологии ESET стоят наши глобальные исследовательские лаборатории

ESET применяет многоуровневые технологии, выходящие далеко за пределы возможностей базового антивируса. На рисунке ниже показаны различные ключевые технологии ESET и примерная иллюстрация того, когда и каким образом они способны обнаруживать и (или) блокировать угрозу на той или иной стадии её жизненного цикла в системе.

Модуль сканирования UEFI

Среди поставщиков продуктов для безопасности в Интернете, ESET первой оснастила своё решение отдельным уровнем защиты универсального расширяемого интерфейса прошивки (UEFI). Модуль сканирования UEFI от ESET проверяет и обеспечивает безопасность предзагрузочной среды в соответствии со спецификацией UEFI. Этот модуль спроектирован так, чтобы обнаруживать вредоносные компоненты в прошивке и сообщать о них пользователю.

Показать ещё

UEFI является стандартизированной спецификацией программного интерфейса между операционной системой устройства и его прошивкой. UEFI вытесняет базовую систему ввода-вывода (BIOS), которая применялась в компьютерах с середины 1970-х годов. Поскольку структура UEFI хорошо задокументирована, она проще поддаётся анализу и парсингу, что позволяет разработчикам создавать расширения прошивки. Однако это также открывает дверь для разработчиков вредоносных программ и организаторов атак к тому, чтобы заразить UEFI опасными модулями.

Система родовых обнаружений

Типы обнаружения варьируются от проверки точно указанных хэшей до системы родовых обнаружений ESET, которая состоит из сложных определений вредоносного поведения и характеристик вредоносных программ.

Хотя организаторы атаки могут без труда изменить или обфусцировать вредоносный код, поведение объектов изменить не так легко, и система родовых обнаружений ESET призвана воспользоваться этим. 

Показать ещё

Мы проводим глубокий анализ кода и извлекаем из него те «гены», которые отвечают за его поведение, и так образуется система родовых обнаружений ESET. Она применяется для оценки потенциально подозрительного кода, который может находиться на диске или в памяти запущенных процессов.

Система родовых обнаружений способна распознавать конкретные известные образцы вредоносных программ, новые разновидности известного класса таких программ и даже неизвестные или не обнаруженные ранее такие программы, которые содержат «гены», указывающие на вредоносное поведение.

Машинное обучение

Специалисты ESET разработали собственный, фирменный модуль машинного обучения под названием ESET Augur. В нём сочетаются возможности нейронных сетей (такие как глубокое обучение и долгая краткосрочная память) и шести алгоритмов классификации, тщательно отобранных вручную. Это позволяет выдавать объединённое множество данных и помогать верно классифицировать поступающий образец как безопасный, потенциально нежелательный или вредоносный.

Показать ещё

Чтобы обеспечить как можно больший процент обнаружения и как можно меньше ложных срабатываний, модуль ESET Augur настроен для совместной работы с другими технологиями защиты, такими как система родовых обнаружений, песочница и анализ памяти, а также извлечение поведенческих характеристик программ.

Облачная система защиты от вредоносных программ

Облачная система ESET для защиты от вредоносных программ — это одна из нескольких технологий, основанных на облачной системе ESET LiveGrid®. Система отслеживает неизвестные, потенциально вредоносные приложения и другие возможные угрозы и передаёт данные о них в облачное хранилище ESET посредством системы обратной связи ESET LiveGrid®.

Показать ещё

Собранные образцы автоматически помещаются в песочницу и проходят поведенческий анализ, в результате чего создаются шаблоны для автоматического обнаружения, если наличие вредоносных характеристик подтверждается. Клиенты ESET узнают об этих автоматических обнаружениях из системы учёта репутации ESET LiveGrid®, и им не нужно ждать очередного обновления модуля обнаружения.

Репутация и кэш

Изучая файл или URL-адрес, ещё до этапа сканирования наши продукты проверяют локальный кэш на наличие известных вредоносных объектов или безвредных объектов, помещённых в белый список. Это повышает эффективность сканирования.
Затем в систему учёта репутации ESET LiveGrid® направляется запрос о репутации объекта (т. е. встречался ли этот объект где-то ещё и был ли он классифицирован как вредоносный). Это улучшает качество сканирования и позволяет быстрее передавать нашим клиентам данные о вредоносных программах.

Показать ещё

Применение чёрных списков URL-адресов и проверка репутации ограждает пользователей от посещения сайтов с вредоносным контентом и (или) фишинговых сайтов.

Поведенческое обнаружение и блокировка - система HIPS

Хостовая система предупреждения вторжений (HIPS) от ESET отслеживает активность в системе и использует заранее определённый набор правил, чтобы распознавать подозрительное поведение системы. При выявлении такой активности механизм самозащиты HIPS не позволяет программе или процессу, допустившим такое поведение, выполнять потенциально вредоносные действия.

Показать ещё

Пользователи могут задавать собственный набор правил, который будет применяться вместо набора правил по умолчанию, однако для этого требуется глубокое понимание приложений и операционных систем.

Встроенная песочница

Сегодняшние вредоносные программы зачастую подвергаются сильной обфускации и всеми способами пытаются не дать себя обнаружить. Чтобы преодолеть это и распознать скрытое истинное поведение программы, мы применяем встроенную функцию песочницы. Эта технология, применяемая в решениях ESET, эмулирует различные компоненты оборудования компьютера и программного обеспечения, и подозрительный образец кода выполняется в изолированной виртуализированной среде.

Показать ещё

Благодаря двоичной трансляции, функция песочницы остаётся легковесной и не замедляет работу устройства. Мы внедрили эту технологию в наши решения в 1995 году и с тех пор постоянно её улучшаем.

Расширенный модуль сканирования памяти

Расширенный модуль сканирования памяти является уникальной технологией ESET, которая эффективно противостоит важной особенности современных вредоносных программ — активному применению обфускации и (или) шифрования. Чтобы справиться с этим, модуль наблюдает за поведением вредоносного процесса и сканирует его, как только тот демаскируется в памяти.

Показать ещё

Когда какой-либо процесс выполняет системный вызов с новой исполняемой страницы, расширенный модуль сканирования памяти проводит поведенческий анализ кода с помощью системы родовых обнаружений ESET. Благодаря применению умного кэширования, расширенный модуль сканирования памяти не вызывает ощутимого снижения скорости обработки.

Кроме того, сложные вредоносные программы показывают новый тренд: часть вредоносного кода теперь работает в резидентном режиме, не нуждаясь в постоянных компонентах в файловой системе (бесфайловые вредоносные программы), которые можно было бы обнаружить традиционными способами. Такие атаки можно обнаружить только путём сканирования памяти, и в ESET есть ответ на этот новый тренд: расширенный модуль сканирования памяти.

Блокировщик эксплойтов

Блокировщик эксплойтов отслеживает работу деятельность приложений, которые обычно подвергаются атаке эксплойтов (браузеры, просмотрщики документов, почтовые клиенты, Flash, Java и т. д.), и вместо ориентации лишь на конкретные идентификаторы базы общеизвестных уязвимостей (CVE) сосредотачивается на приёмах эксплуатации уязвимостей. При поступлении сигнала проводится анализ поведения процесса и, если он будет признан подозрительным, то угроза может быть немедленно заблокирована на устройстве.

Показать ещё

В то время как модуль сканирования ESET справляется с эксплойтами, которые появляются в некорректно сформированных файлах документов, а функция защиты от сетевых атак работает на уровне коммуникации, технология блокировщика эксплойтов блокирует сам эксплуатирующий процесс. Эта технология постоянно развивается, и в неё регулярно добавляются новые методы обнаружения, чтобы справляться с новыми приёмами эксплуатации уязвимостей.

Защита от программ-вымогателей

Функция защиты от программ-вымогателей представляет собой дополнительный уровень защиты, ограждающий пользователей от программ-вымогателей. Эта технология отслеживает и оценивает все выполняемые приложения на основе их поведения и репутации. Она разработана с целью обнаруживать и блокировать процессы, свойства которых напоминают поведение программ-вымогателей.

Показать ещё

Данная технология по умолчанию активирована. Если функция защиты от программ-вымогателей получает сигнал в виде подозрительного действия, то пользователю предлагается одобрить или отклонить блокирование. Эта функция настроена так, чтобы обеспечивать наивысший возможный уровень защиты от программ-вымогателей вместе с другими технологиями от ESET, в том числе облачной системой защиты от вредоносных программ, защитой от сетевых атак и системой родовых обнаружений.

Защита от сетевых атак

Функция защиты от сетевых атак развивает технологию брандмауэров и улучшает обнаружение известных уязвимостей на сетевом уровне. Это ещё один важный уровень защиты от распространения вредоносных программ, атак по сети и эксплуатации уязвимостей, патчи для которых ещё не были выпущены или развёрнуты.

Защита от ботнетов

Функция защиты от ботнетов обнаруживает вредоносную коммуникацию, которой пользуются ботнеты, и в то же время определяет, какие процессы допустили подобное поведение. Любая обнаруженная вредоносная коммуникация блокируется, и о ней сообщается пользователю.

We Live Security

Будьте в курсе свежих новостей в сфере информационной безопасности. Новости, анализы, обзоры и инструкции от наших экспертов.

Перейти на сайт welivesecurity.com

Форум ESET по безопасности

Присоединитесь к беседе профессионалов из сообщества ESET, где обсуждают обширный спектр тем.

Посетите форум ESET по безопасности

Сообщество ESET

Присоединитесь к нам на Facebook и не пропускайте ничего, что касается ESET, даже уникального контента от наших поклонников!

Посетите нас на Facebook

Atstājiet pieprasījumu