Глобальная вирусная лаборатория ESET постоянно работает над усовершенствованием уникальной технологии

ESET использует многоуровневые технологии, которые значительно опережают возможности базового антивируса. На рисунках ниже показано основные технологии ESET и приблизительные способы выявления и блокирования угроз во время попадания в систему.

Сканер UEFI

ESET — первый поставщик решений для Интернет-безопасности, который дополнил свои продукты защитой интерфейса Unified Extensible Firmware Interface (UEFI). Сканер проверяет и обеспечивает защиту среды предварительной загрузки в системах с интерфейсом UEFI. Сканер выявляет вредоносные компоненты во встроенном программном обеспечении и сообщает о их наличии пользователю.

Показать больше

UEFI — инфтерфейс между операционной системой и встроенным программным обеспечением вместо Basic Input/Output System (BIOS), которая используется с середины 1970-х годов. Благодаря удобной разметке и простоте анализа UEFI разработчики могут создавать дополнительные расширения для встроенного программного обеспечения. Но этой возможностью могут воспользоваться также авторы вредоносных программ, которые способны заражать UEFI своими вредоносными модулями.

Родовые обнаружения

Типы выявления варьируются от специальных хэшей к Родовым обнаружениям ESET, которые комплексно выявляют поведение и характеристики вредоносных программ.

В то время как вредоносный код может быть изменен или запутан злоумышленниками, поведение объектов изменить нелегко, именно этот принцип заложен в основу Родовых обнаружений ESET.

Показать больше

Глубокий анализ кода и исследование элементов позволяют проследить поведение и создать Родовые обнаружения ESET, которые используются для оценки потенциально подозрительного кода, найденного на диске или в памяти запущенного процесса.

Родовые обнаружения могут определить конкретные известные образцы вредоносных программ, новые варианты известных семейств вредоносных программ или даже ранее невидимые или неизвестные угрозы, которые содержат определенные элементы, указывающие на вредоносное поведение.

Расширенное машинное обучение

В продуктах ESET используются две разные формы расширенного машинного обучения — мощный механизм обнаружения в облаке и облегченная версия на рабочих станциях. Обе используют подобранный вручную набор алгоритмов классификации и глубинное обучение, которые обеспечивают быстрый и точный анализ, необходимый для проверки потенциальных угроз.

Показать больше

Для обеспечения наилучших показателей обнаружения и минимального количества ошибочных срабатываний расширенное машинное обучение использует исходные данные, как статического, так и динамического анализа. Она также взаимодействует с другими технологиями защиты, такими как анализ поведения, родовые обнаружения, анализ в облачной песочнице и расширенный сканер памяти.

Система защиты от вредоносных программ на основе облачных технологий

Система защиты от вредоносного программного обеспечения на основе облачных технологий является одной из нескольких технологий на базе ESET LiveGrid®. Неизвестные, потенциально вредоносные программы и другие возможные угрозы представлены в облаке ESET с помощью системы обратной связи ESET LiveGrid®.

Показать больше

Собранные образцы подвергаются автоматическому поведенческому анализу, что позволяет осуществлять автоматизированное обнаружение в случае подтверждения вредоносных характеристик. Пользователи узнают об этих автоматизированных обнаружениях через репутационную систему ESET LiveGrid®, не дожидаясь следующего обновления механизма обновления обнаружения.

Репутация и кэш

Перед сканированием файла или URL продукты ESET проверяют локальный кэш на наличие известных угроз или безопасных объектов из списка разрешенных, что повышает производительность сканирования.
После этого подается запрос в репутационную систему ESET LiveGrid® относительно определенного объекта (был ли он определен ранее как вредоносный). Технология позволяет повысить эффективность сканирования и обеспечивает более высокую скорость обмена информацией о вредоносных программах между пользователями.

Показать больше

Применение списков разрешенных URL-адресов и проверки репутации блокирует доступ пользователей к сайтам с вредоносным контентом и фишинговым ресурсам.

Поведенческое выявление и блокирование — HIPS

Система предотвращения вторжений (HIPS) использует предварительно определенный набор правил для поиска подозрительных действий, а также мониторинга и сканирования поведения, включая запущенные процессы, файлы и ключи реестра. При обнаружении подозрительных действий механизм HIPS сообщает об обнаруженном опасном объекте и при необходимости отправляет его на дополнительную проверку.

Показать больше

Глубинный анализ поведения (DBI) — это один из встроенных модулей HIPS, обеспечивающий более глубокий и детальный мониторинг неизвестных и подозрительных процессов в пользовательском режиме. Модуль DBI, представленный в 2019 году, обеспечивает эффективное предотвращение методов обхода защиты, которые часто используются злоумышленниками в реальной среде.

 

Встроенная песочница

Вредоносное программное обеспечение часто использует методы запутывания и пытается избежать выявления. Для выявления угрозы и определения ее настоящего поведения ESET использует внутреннюю песочницу. С помощью этой технологии решения ESET эмулируют разные компоненты компьютерного оборудования и программного обеспечения, исполняя подозрительный образец в изолированной виртуальной среде.

Показать больше

Использование перевода бинарных файлов позволяет минимизировать влияние встроенной песочницы на продуктивность системы. Эта технология применяется в продуктах ESET с 1995 года и постоянно усовершенствуется.

Расширенный сканер памяти

Уникальная технология ESET эффективно решает проблему интенсивного использования киберпреступниками запутывания и шифрования. Расширенный сканер памяти отслеживает поведение подозрительного процесса и сканирует его, как только он проявляет активность в памяти.

Показать больше

Когда процесс делает системный вызов от новой исполняемой страницы, Расширенный сканер памяти осуществляет поведенческий анализ кода с использованием Родового обнаружения ESET. Благодаря реализации интеллектуального кэширования, технология не замедляет работу системы.

Кроме того, новым трендом среди вредоносных программ является нахождение вредоносных кодов только «в памяти» без постоянных компонентов в файловой системе, которые могут быть обнаружены условно. Только сканирование памяти благодаря Расширенному сканеру памяти ESET может успешно выявить такие вредоносные атаки.

Защита от эксплойтов

Технология Защиты от эксплойтов, как правило, проверяет приложения (браузеры, программы для работы с документами, почтовые клиенты, Flash, Java и другие) и вместо направленности на конкретные идентификаторы CVE фокусируется на методах использования уязвимостей. При запуске анализируется поведение процесса и, если он считается подозрительным, угроза может быть сразу заблокирована на рабочей станции.

Показать больше

В то время как механизм сканирования ESET охватывает эксплойты, которые появляются вvмодифицированных файлах, а Защита уязвимостей сетевого протокола направлена на уровень связи, технология Защиты от эксплойтов блокирует сам процесс использования уязвимостей.

Защита от программ-вымогателей

Технология проверяет и оценивает все выполненные программы на основе их поведения и репутации, а также выявляет и блокирует процессы, которые напоминают поведение программ-вымогателей.

Показать больше

Технология активирована по умолчанию. В случае выявления подозрительных действий пользователю необходимо подтвердить или отклонить действие блокировки. Настройки разрешают обеспечить наивысший уровень защиты от программ-вымогателей в комплексе с другими технологиями ESET, среди которых система защиты от угроз на основе облачных технологий, защита от сетевых атак и родовые выявления.

Защита от сетевых атак

ESET также использует множество технологий обнаружения угроз, которые пытаются проникнуть в среду жертвы на сетевом уровне. В  частности, технология предусматривает выявление вредоносных сетевых связей, использующих еще не исправленные уязвимости и атаки методом подбора пароля на различные протоколы, например протокол удаленного рабочего стола, SMB и SQL.

Показать больше

Для повышения уровня защиты сети специалисты ESET разработали технологию защиты от ботнетов. Она была создана для выявления вредоносных связей и процессов, связанных с ботнетами — огромными сетями инфицированных устройств, контролируемых злоумышленниками и используемых для DDoS-атак, распространения вредоносного программного обеспечения и отправки нежелательных электронных писем.

Защита Интернет-вещей

Технология Защита Интернет-вещей была разработана для обнаружения процессов, происходящих в Wi-Fi-сетях пользователей, а также оптимальной настройки подключенных устройств умного дома. Данная технология также помогает пользователям выявлять уязвимости в домашних сетях, в частности, не исправленные недостатки во встроенном программном обеспечении роутера, открытые порты и слабые пароли.

Технология также обеспечивает удобный обзор подключенных устройств, в частности, принтеров, роутеров, мобильных устройств, игровых консолей, устройств умного дома и других гаджетов, подключенных к Wi-Fi-сетям. Кроме этого, пользователь может просмотреть IP-адрес, MAC-адрес, название, модель и поставщика каждого просканированного устройства.