Programy antywirusowe nie opierają już swojego działania na sygnaturach złośliwego oprogramowania. Przeczytaj o technologiach nowej generacji oraz o tym, jak można z nich skorzystać.
Virus Total to skuteczne narzędzie dla wszystkich, którzy mają do czynienia ze złośliwym oprogramowaniem. Użytkownicy mogą załadować plik i sprawdzić go pod kątem zagrożeń, ale mogą też upewnić się, czy skrót znajduje się już w bazie danych. Dla przykładu - dziennikarze często korzystają z Virus Total, by dowiedzieć się, czy powstała już skuteczna ochrona w postaci rozwiązania antywirusowego przeciwko złośliwemu oprogramowaniu atakującemu w danym momencie. Jednak technologie nowej generacji sprawiają, że dostarczane odpowiedzi bywają mylące.
Ma to miejsce szczególnie w przypadku najświeższych i krótkotrwałych ataków – wtedy często rozwiązanie przedstawia niedokładny obraz sytuacji. W pierwszej fazie rozpowszechniania złośliwego oprogramowania jest ono wykrywane przez programy antywirusowe od większości firm dostarczających zabezpieczenia (głównie poprzez technologie proaktywnego wykrywania). Wiele produktów antywirusowych korzysta także z porównania wartości skrótu z usługami w chmurze od poszczególnych producentów. Virus Total obrazuje jednak wyłącznie „klasyczną” ścieżkę wykrywania opartego na sygnaturach. Innymi słowy, jak to ujął Ralf Benzmüller, Główny Przedstawiciel G DATA Security Labs: „Virus Total to dobre narzędzie do wykrywania złośliwego oprogramowania. Platforma ta nie jest jednak odpowiednia do wskazania, które przykłady złośliwego oprogramowania pozostają w danej chwili niewykryte”.
W wielu przypadkach niektóre pliki zostają uznane za złośliwe, nawet jeśli nie ma w ogóle dostępu do wykrywania opartego na sygnaturach. Odnosi się to w szczególności do takich krótkotrwałych ataków jak Ransomware.
Dzięki wykorzystywanej przez nas chmurze plików oraz innym technologiom antywirusowym nowej generacji jesteśmy w stanie bardzo szybko reagować na nowe ataki. W niektórych z najnowszych przypadków 11,6 procent wykrycia szkodliwego oprogramowania zostało oparte na naszych proaktywnych technologiach -mówi Thomas Siebert, Kierownik Technologii Ochrony w firmie G DATA.
Na przestrzeni ostatnich 20 lat podstawy działania oprogramowania antywirusowego bardzo się zmieniły. Przestępcy coraz szybciej modyfikują próbki złośliwego oprogramowania po to, by zapobiegać ich wykryciu. Prawie wszyscy producenci polegają na rozwiązaniach antywirusowych nowej generacji. Chmura G DATA jest w stanie zablokować podejrzane próbki dużo szybciej niż klasyczne aktualizacje baz sygnatur. Jednak chmura to tylko jeden z elementów naszego systemu samodoskonalenia.
Firma G DATA stworzyła również technologię zabezpieczającą przed złośliwym oprogramowaniem typu ransomware, która zapewnia skuteczną ochronę przed zaszyfrowaniem twardego dysku. W przypadku klientów prywatnych, komponent ten jest domyślnie aktywowany, a klienci biznesowi muszą go aktywować “ręcznie”. W trakcie instalacji oprogramowania otrzymują w tym celu odpowiednie instrukcje. Technologia pozostaje aktywna w tle i sprawdza, czy przypadkiem takie podejrzane polecenia, jak masowe szyfrowanie plików nie zostały uruchomione bez aktywnego udziału użytkownika.
Zdaniem Sieberta: Technologia zwalczająca złośliwe oprogramowanie typu ransomware często stanowi dla nas system wczesnego ostrzegania. W przypadku, gdy do tej pory nierozpoznany plik przeprowadza złośliwe działania, mamy możliwość przeprowadzenia jego pogłębionej analizy oraz wykorzystania otrzymanych w ten sposób informacji do rozszerzenia zakresu ochrony wszystkich użytkowników.
Narzędzie G DATA Behavior Blocker – ochrona przed złośliwym oprogramowaniem oparta o zachowania – to kolejny przykład technologii nowej generacji. Blokuje ono podejrzane działania na podstawie pewnych wcześniej zdefiniowanych wskaźników.
Ta forma wykrywania złośliwego oprogramowania wykrywa między innymi, kiedy program automatycznie tworzy pozycje autostart lub inne podejrzane wartości w bazie danych (rejestrze) systemu Windows. Dotyczy to w szczególności tego złośliwego oprogramowania, które nie jest oparte na plikach. Ponadto wykrywane są te pliki .exe lub .dll, które dążą do samokopiowania do katalogu system32. Równie podejrzane są zmiany w plikach hostów, które mogą przekazać żądania dostępu do pewnych adresów IP lub stron internetowych innym adresom. Takim scenariuszem posłużono się w przeszłości do zaatakowania systemów bankowości internetowej. W przypadku, gdy niektóre z tych właściwości zostaną wykryte wraz z innymi, rozpoczyna się proces rozpoznawania.
Siebert opisuje, że „w celu zapewnienia skuteczności wykrywania, w laboratoriach G DATA SecurityLabs codziennie przetwarzanych jest około 100 000 próbek złośliwego oprogramowania. Dzieje się to za pośrednictwem dużej grupy automatycznych systemów analizujących (sandboxów). Pozyskane właściwości przetwarzane są w ogromnej bazie danych opartej na wykresie w formie dodawanych każdego dnia kilku milionów nowych węzłów wraz z połączeniami między nimi”. W ten sposób możliwe jest zidentyfikowanie, które cechy oraz jakie ich kombinacje i wagi prowadzą do rozpoznania złośliwego oprogramowania. Do wsparcia tego procesu wykorzystywane są także metody uczenia maszynowego.
W ten oto sposób możliwe jest zapewnienie ochrony komputerów i laptopów klientów przed jeszcze nieznanymi zagrożeniami.
Komentarze