Подписные базы данных эффективно защищают наши компьютеры в течение многих лет. С появлением все большего количества угроз антивирусные компании были вынуждены удвоить свою изобретательность, чтобы справиться с неизвестными и непредсказуемыми вредоносными программами. Поведенческий анализ идет дальше, отслеживая систему и блокируя подозрительные действия у источника. Давайте кратко рассмотрим, как обнаруживается вирус и от чего вас защищает антивирус.
Эвристический или поведенческий анализ: две стороны расширенной защиты
Краткое содержание предыдущих серий: в начале был вирус. Необычные и легко идентифицируемые, первые вредоносные программы могут (и все еще могут быть обнаружены) по их сигнатуре, последовательности последовательных байтов, которая позволяет их распознать. Эти сигнатуры регулярно обновляются и поэтому могут обнаруживать только известные угрозы.Это не было проблемой до тех пор, пока количество угроз не увеличилось, и их было слишком много, чтобы обеспечить оптимальную реакцию. Следовательно, необходимо предложить защиту, которая не только реагирует на известный вирус, но и может предсказать его вредоносный характер, анализируя его поведение.
Такую возможность предоставляют два метода. Первый - это эвристический анализ, который заключается в просмотре программного обеспечения путем «декомпиляции» его исходного кода или запуска его на виртуальной машине. Затем мы определяем, выполняет ли он действия, которые могут быть подозрительными, или сравниваем структуру его кода с уже идентифицированными угрозами или с потенциально опасными моделями поведения.
Поведенческий анализ находится на уровне системы. Это не файл, который мы отслеживаем, передавая его через сканер или песочницу, это ОС в целом. Поведенческая защита отслеживает активность системы (Windows, Android, MacOS и т. Д.) И распознает действия, которые кажутся вредоносными, например запросы к неизвестному серверу, модификации файлов или запросы доступа к расположению файлов. объем памяти.
Эти два метода сосуществуют и дополняют друг друга. Например, эвристика может иметь свои пределы, поскольку многие недавние угрозы включают защиту от эмуляторов. В настоящее время только фактическое выполнение файла может выдать это.
Программы-вымогатели, стелс-атаки: поведенческий анализ как оплот
Поведенческий анализ, сосредоточенный на системе, а не только на файлах, является оплотом против более пагубных атак, таких как «попутные загрузки», запускаемых кодом, запущенным в веб-браузере.В семействе недавних угроз, которые нанесли особый ущерб, программы-вымогатели или «программы-вымогатели» обычно являются типом атак, в которых поведенческая защита играет ключевую роль. Программа-вымогатель возникла в результате киберпреступности. Во времена первых вирусов самым распространенным опасением была потеря личных файлов. Но какой смысл уничтожать документы, которые вам дороги? Конечно, вред для пользователя или бизнеса. Почему бы вместо этого не взять их в заложники в попыткеполучить финансовую компенсацию?
Вот что делает программа-вымогатель. Они атакуют ваши личные файлы и применяют к ним алгоритм шифрования, чтобы сделать их недоступными. Заплатите выкуп и получите ключ. На практике это даже не гарантируется.
Здесь поведенческий анализ сможет обнаружить эти аномальные изменения, заблокировать эти операции и, при необходимости, восстановить файлы до их предыдущей версии.
Пределы и эволюция
Поведенческое сканирование сталкивается с основной проблемой любого типа сканирования на вирусы: ложными срабатываниями. Необычная работа системы может быть просто нетрадиционной, но не обязательно злонамеренной.Однако модули поведенческого анализа также развиваются и идеально подходят для одной из последних тенденций: машинного обучения. Благодаря прогрессивному обучению решения безопасности все чаще используют нейронные сети, чтобы отличать законные действия от подозрительных.
Еще одна ловушка связана с эффективностью этого типа анализа. Мониторинг поведения операционной системы может быть ресурсоемким и потенциально замедлять выполнение тяжелых задач. Однако это цена, которую нужно заплатить, чтобы получить более эффективный уровень защиты от распространения сетевых угроз.