Bazaprogram.ru

Новости из мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита от веб угроз

Защита браузера

Защита браузера — разговор особенный. Мало кто знает, но считать антивирус — надежным препятствием для фишинговых сайтов и кейлоггеров — большая ошибка. Не каждая программа способна уследить за онлайн-пространством, пока угроза напрямую не нависает над вашими личными данными.

Поэтому важно защититься от вирусного ПО не только во время загрузки любимого сериала или подключения к соседской флешке, но и на протяжении web-серфинга, где целое море зеркальных сайтов и pop-up «прокладок», всплывающих без вашего на то разрешения.

Зачем нужна защита браузера

Действительно, современные антивирусные программы предлагают такой набор функций, что по идее защита браузера там должна присутствовать априори, но это не всегда так. На самом деле, задача антивируса — не пустить вредоносное ПО именно на ваш жесткий диск, а потому он неустанно и тщательно следит за загрузками, скачанными файлами и внешними подключениями. При этом из поля его внимания часто выпадает, что вы делаете в среде web-браузера.

Получается, что все пароли и логины, данные о счетах и кредитных картах, доступы к сайтам и аккаунтам в социальных сетях — вся информация, которую вы вводите в полях на страницах, открытых в браузере, подвержена риску быть похищенной. Вместе с деньгами, подписчиками и репутацией. Получается, что не любой антивирус для интернета справляется со своими обязанностями на 100%

Какой антивирус использовать?

Компания Qihoo 360 одной из важнейших задач считает защиту пользователей именно в web-пространстве, где мы с вами проводим каждый день все больше времени. Поэтому антивирус 360 Total Security — наш передовой продукт — автоматически предлагает вам установить защиту браузера 360 Internet Security.

Это практически невесомый плагин, который встраивается в любой современные web-браузер и автоматически мониторит сайты, которые вы вводите в командной строке. Еще до того, как вы увидите контент портала, программа предупреждает о потенциальной опасности — кейлоггерах, фишинговых сайтах, других подозрительных надстройках.

С таким дополнением вы можете без опаски совершать онлайн-покупки, вводить номера и пин-коды карт, пересылать личную и конфиденциальную информацию.

Еще 5 преимуществ 360 Total Security

  1. Круглосуточный мониторинг всех процессов и подключений. Вам необязательно дополнительно запускать проверку системы — 360 Total Security всё делает за вас — находит вирусы, лечит файлы по возможности, отправляет в карантин, удаляет слишком опасные.
  1. Дополнительные функции — очистка жесткого диска и ускорение системы за счет завершения работы фоновых, но неактивных приложений. Буквально пара кликов и ваш компьютер будет работать быстрее.
  1. Понятный интерфейс и современный дизайн. Начиная с 7 версии, 360 Total Security получил полную русификацию, чем укрепил свои позиции в русскоязычном сегменте пользователей.
  1. Кроме , 360 Total Security предлагает защиту соединений по Wi-Fi, защиту личных контактов, оптимизацию системы — автозагрузки, службы приложений, запланированных заданий, интернет-соединения.
  1. Поиск и установка актуальных обновлений для основных программ — Microsoft Office, Windows, пакета Adobe, Java. Это обеспечит стабильную и бесперебойную работу вашего компьютера.

Скачайте и установите защиту браузера 360 Internet Security на главной странице нашего сайта. Не рискуйте безопасностью — пользуйтесь программой, которую установили уже более миллиарда раз по всему миру!

6 простых способов защитить свой браузер от угроз

Следуйте этим советам, чтобы не волноваться за безопасность своих данных.

1. Настройте браузер

Важный совет, которым многие пренебрегают. Обычно все необходимые настройки включены по умолчанию, но стоит хотя бы ознакомиться с ними.

Вы можете запретить доступ к нежелательным элементам, таким как камера или микрофон, запретить отслеживание геолокации. Это не панацея, но так вы по крайней мере убедитесь, что браузер не настроен против вас.

2. Регулярно обновляйте браузер

Не успели разработчики залатать очередную дыру в безопасности браузера, как появляется новая, поэтому так важно, чтобы была установлена свежая версия.

Во многих современных браузерах есть служба автоматического обновления. Если вы отключили её по какой-то причине, не забывайте регулярно проверять наличие обновлений вручную. Подскажем, как это сделать, в разных браузерах.

Firefox

Запустите браузер. Найдите пункт «Настройки» → «Основные» → «Обновление Firefox» → «Автоматически устанавливать обновления».

Чтобы проверить наличие обновлений, запустите браузер и выберите пункт «О Firefox».

Chrome

Запустите браузер. Нажмите на три точки в верхнем правом углу. Выберите меню «Справка» → «О браузере Google Chrome».

Opera

Запустите браузер. Нажмите на значок Opera в верхнем левом углу. Выберите пункт «О программе».

Яндекс.Браузер

Запустите браузер. Нажмите на три параллельные полоски в правом верхнем углу. Найдите пункт «Дополнительно» → «О браузере».

3. Будьте внимательны при установке расширений

Большинство расширений безвредны, а многие вообще незаменимы в работе. Но не теряйте бдительности, особенно когда дело касается доступа к вашим данным. Перед установкой браузер покажет, к какой информации и функциям расширение хочет получить доступ. Обязательно ознакомьтесь со списком.

Например, получив доступ к вашим данным на всех веб-сайтах, расширение может блокировать рекламу или, наоборот, добавлять лишние баннеры.

Всплывающая реклама — самое безобидное, с чем вы можете столкнуться. Гораздо хуже, если злоумышленники смогут получить доступ к вашим данным и паролям.

Никакой надёжной защиты на этот случай нет, так что придётся быть ответственными и следить за тем, что устанавливаете. Несколько советов:

  • Устанавливайте расширения только из официального магазина.
  • Обращайте внимание на количество людей, которые установили расширение, и отзывы.
  • Старайтесь устанавливать расширения от официальных разработчиков.
  • Если уже установленное расширение запрашивает доступ к новым данным, задумайтесь. Возможно, его продали или взломали.

4. Используйте антифишинговые расширения

Фишинговые сайты — бич современного интернет-пользователя. Сотрудники AdGuard утверждают, что на 15 миллионов веб-сайтов приходится 1,5 миллиона фишинговых. И это только те страницы, которые проверили разработчики.

Как и в случае с расширениями, будьте бдительны и осторожны. Не переходите по ссылкам на сайты, которые требуют вводить личную информацию, не поддавайтесь на провокации мошенников.

Чтобы было спокойнее, воспользуйтесь антифишинговым расширением для браузера, например AdGuard. Оно не только заблокирует всплывающую рекламу, но и защитит от утечки данных.

Чтобы активировать расширение для «Яндекс.Браузера», зайдите в раздел «Дополнения». Затем прокрутите страницу вниз до пункта «Блокировка рекламы», найдите AdGuard и переставьте переключатель на «Вкл».

Тестирование браузерных расширений: Защита от вредоносных программ

Один из положительных аспектов сотрудничества с разработчиками, которые предоставляют решения безопасности для SOHO и рынка Enterprise — это доступ к информации об атаках и вредоносном ПО. Из полученных данных эксперты лаборатории узнают, что угрозы, отправляющиеся по протоколам HTTP и HTTPS с использованием техники скрытых загрузок, являются очень распространенной в последнее время проблемой. Продукты Avira заблокировали более 3 миллионов вредоносных ссылок за последние 12 месяцев.

Читать еще:  Антивирусник онлайн dr web

С другой стороны, от сообщества “Лаборатории Касперского” специалисты AVLab узнали, что за период с января по октябрь 2018 года, количество атак и вредоносных файлов, заблокированных модулем веб-защиты, встроенным в продукты Касперского насчитывает более половины миллиарда в мире и 18 миллионов в Польше. Статистика связана с анонимными телеметрическими данными, собираемыми с конечных устройств, поэтому чем больше сообщество пользователей, тем более точные данные можно получить.

Статистика угроз в Польше и в мире

Подробная информация по типам атак была предоставлена компанией Check Point. Вендор зарегистрировал 325 и 458 HTTP и HTTPS кибератак, совершающихся каждый день на организации в Польше и в мире, соответственно. В Польше около 68% атак представляют собой заблокированные попытки взаимодействия между вредоносными программами и командными серверами. Каждая третья атака (30%) отвечает за эксплуатацию уязвимости в приложениях или операционной системе. Остальные 2% касаются вредоносных веб-сайтов.

Лаборатория AVLab систематически получает информацию об увеличении числа атак по Интернет протоколам, поэтому было решено провести тестирование расширений, доступных в Интернет-магазине Chrome. Эксперты понимают, что многие пользователи не имеют адекватной защиты или используют продукты без фильтрации вредоносных ссылок в веб-браузерах. В связи с этим, выбор пал на тестирование расширений для веб-браузеров, которые перехватывают и фильтруют весь сетевой трафик, блокируя вредоносный контент и приложения.

Тестируемые решения

Тестирование продолжалось с 10 по 23 октября 2018 года. В течение данного периода времени был проверен уровень защиты следующих расширений в браузере Chrome с помощью тестовой коллекции, состоящей из 1870 уникальных образцов угроз:

* Решение “Check Point Sandblast Agent for Browser” доступно в двух вариантах. Бесплатная версия защищает только от фишинг-атак. Коммерческая версия также защищает от загрузки вредоносных файлов за счет использования технологии моделирования угрозы в защищенной среде. Использование Threat Extraction analyzer (TEX) позволяет воссоздать версию файла, который лишен, предположим, вредоносных макрокоманд. Данный файл можно запустить без каких-либо последствий, что гарантирует отличную защиту от угроз нулевого дня.

** Использовались списки: Malvertising filter list by Disconnect, Malware Domain List, Malware domains, Spam404

Бесплатная версия расширения «Check Point Sandblast Agent for Browser» не имеет самой важной функции защиты, так как она не подключена к службе SandBlast

Расширение Check Point Sandblast Agent for Browser должно быть подключено к устройству SandBlast или эквиваленту в облачном пространстве – в сервисах SandBlast Cloud, в которых обрабатываются неизвестные файлы. Подобные файлы представляют потенциальную опасность для организаций. Расширение можно настроить таким образом, чтобы анализируемый файл не скачивался и не запускался в автоматическом режиме или вручную пользователем, пока не будет выполнена его проверка в качестве результата скрытой загрузки. Расширение было специально разработано для интеграции с популярными сервисами Check Point, которые обеспечивают безопасность сети за счет блокировки обнаруженных вредоносных программ. Бесплатная версия расширения не занимается сканированием загруженных угроз, поэтому была протестирована коммерческая версия по просьбе компании-разработчика.

Описание процедуры тестирования

Для тестирования использовался следующий алгоритм.

Задача системы тестирования – автоматизация управления решением безопасности, настроенной рабочей станции и перехват вредоносных образцов с атак на специальные сетевые приманки. Основа проекта построена на базе дистрибутива Ubuntu 16 LTS, а тестовая система под названием PERUN была оснащена различными модулями для анализа образцов вирусов, сопоставления и парсинга собранных журналов, а также управления системами Windows 10. Система PERUN создана с помощью комбинации скриптов на языках программирования NodeJS и Python. Данное решение позволит делегировать самую время затратную работу вычислительным мощностям рабочих станций, позволяя представить результаты антивирусной защиты из двух областей: против угроз в реальном мире и против новых технологий обхода мер безопасности.

Идеальный источник образцов должен предоставлять новые и различные типы вредоносных программ. В данном случае “свежесть” собранных образцов является очень важным фактором, потому что она позволяет получить наиболее релевантную информацию о защите против реальных угроз в сети. Образцы, используемые в тесте, были перехвачены с сетевых приманок, которые являются очень важным инструментом для специалистов по безопасности. Основная задача ловушек для угроз – прикинутся “жертвой” (с точки зрения систем, сервисов и протоколов) и сохранить журналы атак, включая вредоносное ПО. AVLab использует ловушки низкого и высокого уровня интерактивности, которые эмулируют различные службы: SSH, HTTP, HTTPS, SMB, FTP, TFTP, MYSQL и SMTP.

Вредоносные программы, собранные на одной из приманок

Выше приведены локализации приманок, которые использовались для получения образцов вредоносных программ: Канада, США, Бразилия, Великобритания, Нидерланды, Франция, Италия, Чехия, Польша, Россия, Индия, Сингапур, Япония, Австралия, Южная Африка

Тест, который воспроизводит действия реального пользователя, является наилучшим с точки зрения пользователей и разработчиков. Новые коллекции вирусов ежедневно захватываются с помощью приманок. Прежде чем образец будет помещен на тестовую машину, он проходит стадию тщательного анализа. Эксперты должны убедиться, что тестовую коллекцию попадут только 100%-ные зловреды. Ситуация, когда вирус не работает в системе, потому что он запрограммирован для другого региона, никогда не встречается в тестах AVLab. В связи с этим, пользователи и разработчики могут быть уверены, что используемое в тестах вредоносное ПО действительно может серьезно заразить операционную систему, независимо от того, из какой части мира оно поступает.

Прежде, чем потенциально вредоносный объект будет отобран для тестирования, один из компонентов PERUN проверяет, вызывает ли вредоносное ПО нежелательные изменения. Для этого каждая вредоносная программа анализируется в течение 15 минут. Человеческий фактор полностью исключен из теста и не позволяет гарантировать, что зловред не прекратит работу после 60 секунд активности. Поэтому нужно установить порог времени, после которого следует прервать анализ. Экспертам лаборатории хорошо известно, что некоторые вредоносные программы имеют задержку запуска вплоть до нескольких часов. Зловред может прослушивать подключения к командному серверу на так называемом эфемерном порту. Также встречались случаи, когда вредоносная программа была запрограммирована на заражение конкретного приложения или ждала посещения определенного веб-сайта. По этой причине лаборатория прикладывает все усилия, чтобы тесты были максимально приближены к реальности, а образцы, которые являются «небезопасными», не попали в тестовую вирусную базу данных.

После анализа каждого вредоносного приложения, журналы вредоносной активности вводятся в системный журнал событий. Данное решение помогает экспортировать необходимую информацию из системного журнала в файлы CSV. Основываясь на собранных данных, специальные алгоритмы определяют, является ли конкретный образец, злонамеренным. AVLab часто публикует частичную информацию из каждого анализа на веб-сайте CheckLab в удобном для пользователя формате. Детали предоставляются производителям и, по запросу, дистрибьюторам.

Читать еще:  Какой антивирус скачать на ноутбук

Примеры параметров политики аудита. Windows 10 предоставляет доступ к очень подробной информации о системных событиях

Можно с уверенностью установить, смог ли продукт остановить угрозы с помощью сигнатурных или проактивных компонентов защиты. Анализ журналов является очень трудоемким процессом, поэтому разработаны алгоритмы, автоматизирующие данный процесс.

Примеры журналов, собранных программным обеспечением Bitdefender

Примеры журналов, собранных в результате активности шифровальщиков

Журналы событий, содержащие данные об изменении файловой структуры, системного реестра, запланированных заданий, входов в систему и обменных сетевых процессов, а также информацию о сетевых коммуникациях, позволяют предоставить полную информацию об изменениях, внесенных вредоносной программой. Например, если будет запущен зараженный документ Word с несколькими сценариями (visual basic, cmd, powershell), затем будет загружен, сохранен в %TEMP%, а впоследствии запущен вредоносный объект, то соответствующая информация появится в журналах событий. В результате будет зарегистрирована даже малейшая модификация, выполняемая вредоносным программным обеспечением. Является ли это угроза кейлоггером, бэкдором, руткитом, трояном, макровирусом или шифровальщиком уже неважно – журнал системных событий записывает все действия.

В данном тесте алгоритм ограничивался проверкой того, была ли вредоносная программа загружена в систему. Если не была, то это означает, что угроза была заблокирована в браузере тестируемым продуктом.

  1. Система PERUN каждое утро запускала рабочие станции с установленными продуктами. Затем выполнялось обновление баз сигнатур и файлов тестируемого решения в течение 30 минут.
  2. Убедившись, что рабочие станции с установленными продуктами готовы к тестированию, были сделаны снимки системы.
  3. Запускались все операционные системы с установленными продуктами, которые были запущены.
  4. Образец вредоносного ПО, отобранный для тестирования, был загружен веб-браузером Google Chrome на всех рабочих станциях.
  5. Если вредоносная программа была заблокирована на ранней стадии, она была отмечена в базе данных специальным идентификатором.
  6. На последнем этапе система тестирования ожидала завершения анализа на всех рабочих станциях, а затем возвращалась к предыдущим пунктам для анализа следующего образца вируса.

Результаты тестирования

Потребность в бесплатных решениях защиты ПК является очень высокой, поэтому лаборатория AVLab не могла пропустить данный тип средств безопасности. У большинства протестированных решений результат отличался незначительно, что является свидетельством того факта, что многие разработчики делятся информацией об угрозах. Однако, нет сомнений в том, что расширение Check Point SandBlast Agent для браузера заняло лидирующие позиции (напомним, что бесплатная версия защищает только от фишинга).

Сертификаты присваивались в зависимости от полученных баллов:

Блокировка угроз на уровне 95-100% является очень хорошим результатом, но иная интерпретация результатов показывает другую сторону монеты.

Возьмем для примера Avira Online Security – решение заблокировало 1797 образцов, но проигнорировало 77 потенциальных попыток запуска вредоносного кода. Защита на уровне браузера очень важна, поскольку она позволяет отфильтровать известные типы вирусов и вредоносные веб-приложения, которые загружают дополнительные вредоносные компоненты в операционную систему.

Установленный активный антивирусный агент необходим для защиты от современных векторов распространения вредоносных программ. Важно помнить, что в распространении угроз задействованы не только протоколы HTTP / HTTPS. Большое количество атак совершается на учетные записи протоколов электронной почты (IMAP, POP3), совместное использование файлов, а также сетевые службы IIS для Windows Server, которые можно удаленно атаковать с использованием эксплойтов, введя вредоносную нагрузку в операционную систему.

Обеспечение безопасности всех потенциальных областей в операционной системе имеет решающее значение, поэтому браузерные расширения безопасности являются недостаточными средствами защиты, но в то же время необходимы, если они дополняются локальной защитой.

Средства Web-защиты

Решение от Symantec – Cloud Access Security Broker

Контроль передаваемых данных в облачные приложения и сервисы

  • Выявление и контроль конфиденциальной информации в облачных сервисах;
  • Применение политик DLP к данным, обезличивание документов;
  • Обеспечение безопасности в облачных аккаунтах с помощью «Оценки угроз поведения»;
  • Проведение исследования в рамках реагирования на инциденты.
  1. Шлюз CASB в режиме аудита анализирует журналы доступа пользователей к ресурсам Интернет и обнаруживает облачные приложения и сервисы, которые использовались.
  2. Если дальнейшей интеграции CASB с облачным сервисом не предполагается (для детального контроля), то такие облачные сервисы в дальнейшем можно будет мониторить или блокировать (на прокси или файерволле).
  3. Если облачный сервис официально используется в компании и требуется детально контролировать взаимодействие пользователей с ним, то с помощью CASB шлюза или соответствующего API-based Securlet на шлюзе CASB настраивается политика. Трафик пользователей при этом должен проходить через шлюз CASB.
  4. CASB развертывается как облачный сервис или ПАК (в части модуля обезличивания данных) в корпоративной сети.
  5. CASB интегрируется с файерволлами, прокси, UBA/UEBA и DLP решениями.

CloudSOC Audit – Shadow IT

Выявление Shadow IT — поиск и аудит использования облачных сервисов. Оценка безопасности облачных сервисов. Подробнее pdf

CloudSOC Security for Cloud Apps – Securlets

Решение включает в себя Securlets на основе облачных API для «понимания» действий с данными в разрешенных облачных сервисах и облачный CASB шлюз для управления взаимодействием с облачными сервисами. Securlets для выбранных организацией облачных сервисов дают возможность узнать, какие данные опубликованы, кем именно и применить политики доступа к документам, расположенным в облаке.
Решение может быть полностью интегрировано с Symantec DLP.
Подробнее pdf

CloudSOC CASB Gateway

  • Контроль в реальном времени транзакций с санкционированными (разрешенными) и несанкционированными облачными приложениями;
  • Управление данными с помощью политик, возможна полная интеграция с Symantec DLP;
  • Визуализированная карта активности пользователя для быстрого анализа;
  • Защита от угроз, основанная на обширной аналитике поведения пользователей;
  • Интеграция с SIEM для реагирования на инциденты и Symantec VIP для надежной аутентификации.

CloudSOC User Behavior Analytics (UBA) использует интеллектуальные средства StreamIQ и машинное обучение для автоматического поддержания индивидуальных профилей пользователей, отображения активности пользователей и компиляции показателя угрозы от пользователя в реальном времени. Подробнее pdf

Cloud Data Protection Gateway

Модуль обезличивания данных. Решение может быть полностью интегрировано с Symantec DLP. Подробнее pdf

Решение от Symantec – Secure Web Gateway ProxySG

Защита Веб-доступа в интернет как основного транспорта доставки вредоносного ПО

ProxySG представляет собой масштабируемую прокси-платформу для обеспечения безопасности взаимодействия с ресурсами сети Интернет (web security) и оптимизации работы бизнес-приложений (WAN optimization). Устройства NGFW не являются заменителями прокси-решений в виду ограниченных возможностей разбора веб-трафика.

Преимущества решения ProxySG:

Протоколы и аутентификация

  • Возможность применения для таких протоколов передачи данных как: HTTP/HTTPS, CIFS, SSL, FTP,FTP- over-HTTP, MAPI, P2P, MMS, RTMP, RTSP, QuickTime, TCP-Tunnel, DNS, WCCP.
  • Возможность разграничения прав доступа к ресурсам посредством следующих механизмов аутентификации: на основании локальных списков пользователей; IWA (Basic, NTLM, Mirosoft Kerberos), LDAP (Active Directory, eDirectory, SunOne), CA eTrust SiteMinder, Oracle Access Manager, RADIUS; применения сертификатов; поддержка SSO и прозрачной аутентификации, а также последовательной аутентификация в нескольких системах.
Читать еще:  Как проверить торрент файл на вирусы

SSL

  • Аппаратное ускорение SSL-трафика. Контроль параметров SSL-соединений – валидности сертификатов серверов, версий протоколов шифрования SSL/TLS, шифрования и контроля целостности SSL/TLS- соединения (cipher suites).
  • Функционал Encrypted TAP позволяет отдать расшифрованный *-over-SSL трафик (HTTPS, IMAPS и т.д.) на анализ во внешнее устройство ИБ (например, “песочницу”) в дешифрованном виде.
  • Дешифрация SSL-трафика и SSL off loading

Интеграция

  • Поддержка протокола ICAP – для интеграции с DLP или другими системами безопасности.
  • Интеграция с другими решениями ИБ позволяет значительно повысить уровень сетевой безопасности.

Надежность и архитектура

  • Работа в режиме Active/Active bridging с поддержкой virtual IP для обеспечения функций резервирования и удаленного управления, встроенный сетевой адаптер passthrough
  • Поставляется в виде физических устройств (ProxySG и Advanced Security Gateway) и виртуальных образов (virtual appliance) для ESX/ESXi, Hyper-V или Amazon Web Services
  • Контроль действий пользователей в сети Интернет. Позволяет блокировать отдельные приложения и действия в этих приложениях (например, загрузку/выгрузку вложений в веб- почте или отправку писем или сообщений в социальных сетях).
  • Возможность выполнения контентной фильтрации и категорирования Интернет-ресурсов – BlueCoat WebFilter или BlueCoat Intelligence Services.
  • Повышение производительности сетевой инфраструктуры, веб приложений и веб-сайтов организации по средствам функционала WAN optimization.
  • Возможность кэширования данных с учетом результатов антивирусной проверки.
  • Возможность управления сетевыми протоколами и полосой пропускания каналов связи.

Управление и отчетность

  • Централизованное управление политиками на всех SWG в сети
  • Возможность сбора статистической информации и формирования отчетов в отношении протоколов передачи данных (более 60 контролируемых параметров), а также для определения эффективности и активности рабочих мест пользователей.

Отладка и мониторинг

  • Широкие возможности по трассировке и отладке используемых политик безопасности • Контроль доступности для критичных приложений и услуг
  • Поддержка SNMP и Syslog.

Решение от Symantec – Content Analysis

Обнаружение и блокирование продвинутых угроз с многоуровневой проверкой и динамической песочницей

Используется с Symantec ProxySG. Решение выполняет многоуровневую фильтрацию контента – возможно подключение нескольких антивирусных движков и песочниц для выявления вредоносного поведения и угроз нулевого дня, с возможностью безопасной детонации подозрительных файлов и URL-адресов.

Анализ контента 2.1 включает в себя следующие функции:

  1. Malware и Antivirus сканирование — Content Analysis поддерживает движки McAfee, Sophos и Kaspersky; все могут использоваться одновременно.
  2. Предиктивный анализ — службы от Cylance используют передовой механизм искусственного интеллекта для выявления вредоносных программ.
  3. Служба репутации файлов — анализ содержимого генерирует хэш SHA1 для каждого обрабатываемого файла. Этот хэш сравнивается с облачной системой репутации Symantec для идентификации известных файлов. Служба использует оценки репутации, цифры (1-10), которые указывают, являются ли файлы безопасными или зловредными.
  4. Ручной файловый «Черный» и «Белый» списки.
  5. Интеграция с внешними песочницами Symantec Malware Analysis, Lastline или FireEye и/или активация модуля песочницы на борту — проверка поведения файлов в фоновом или режиме реального времени.
  6. Интеграция с Symantec Endpoint Protection Manager (SEPM) — когда песочница обнаруживает вредоносное ПО, Content Analysis может запросить сервер CounterTack Sentinel в вашей сети, чтобы определить, какие пользователи (если они есть) его получили. Когда песочница находит вредоносный файл, уведомляется администратор и предоставляется возможность добавить хэш файла в черный список на SEPM.
  7. Кэшированные ответы — когда Content Analysis определяет вердикт (чистый и вредоносный) для файла, он кэширует хэши и вердикт файла, чтобы избежать сканирования одного и того же файла при последующих запросах. Анализ контента содержит отдельные кэши для ответов от каждой из своих служб: антивируса, репутации файлов, интеллектуального анализа и песочницы (угрозы и чистые).
  8. Global Intelligence Network (GIN) — крупнейшая глобальная сеть сенсоров, собирающих данные о ландшафте угроз (от сообщества безопасности + 5млн. аккаунтов-приманок + 8млрд. сообщений/мес.)
  • Блокирует все известные угрозы, идентифицированные через Global Intelligence Network
  • Оптимизированный многоэтапный анализ для проверки только подозрительных файлов
  • Детонирует неизвестные файлы с помощью встроенной или выделенных песочниц
  • Интеграция с Symantec Endpoint Protection Manager
  • Выступает в роли брокера для консолидации песочниц
  • Фокус на реальных угрозах, а не на ложных тревогах

Решение от Symantec – Malware Analysis

Обнаружение и блокирование продвинутых угроз с многоуровневой проверкой и настраиваемой песочницей

Решение Malware Analysis обнаруживает и анализирует неизвестные, передовые, и целенаправленные вредоносные программы с использованием уникального подхода двойного обнаружения. Безопасно детонирует в песочнице корпоративного класса в средах с высокой реалистичностью подозрительные файлы и URL-адреса, выявляет вредоносное поведение и угрозы нулевого дня. Объединяет динамические, статические и репутационные методы анализа для точного выявления вредоносных программ. Предоставляет подробные отчеты и информацию об угрозах. Интегрируется с Symantec Content Analysis, Symantec Mail Threat Defense и Symantec Security Analytics.

Ключевые особенности Malware Analysis

  • Высокая эффективность выявления злонамеренного поведения за счет функционала Emulation и Virtualization Sandbox
  • Множественные методы обнаружения, используется комбинация методов статического и динамического анализа, в которых используются стандартные, настраиваемые и открытые шаблоны YARA с открытым исходным кодом. Обнаруживаются упакованные вредоносные программы и VM-образы, которые изменяют поведение в искусственной среде, а также вредоносное ПО, которое пытается подождать анализ любой песочницы, используя короткие или длинные спячки.
  • Инструменты для противодействия анти-анализу
  • Взаимодействие с вредоносными программами путем кликов в диалоговых окнах и инсталляторах ПО
  • Создание более релевантных результатов путем репликации нескольких пользовательских сред
  • Адаптивный интеллект для изменяющихся угроз — гибкие шаблоны предназначены для обнаружения полиморфных файлов, одноразовых целевых вредоносных программ и быстро изменяющихся доменов веб-сайта
  • Подробная информация об инциденте для быстрого реагирования – предоставляется полная карта ущерба, включая хостовые и сетевые индикаторы компрометации
  • Защита от 0-day угроз средствами крупнейшей глобальной сети сенсоров Global Intelligence Network, собирающих данные о ландшафте угроз (от сообщества безопасности + 5млн. аккаунтов-приманок + 8млрд. сообщений/мес.)

Возможности Malware Analysis

  • Emulated и Virtual среда анализа песочницы для реализации подхода двойного обнаружения.
  • Настраиваемые профили Windows 8/7/XP для соответствия производственным системам.
  • Виртуализированная песочница Andro >

Реплицированная компьютерная среда для ПК, эмулирует системы Windows для обнаружения вредоносных программ, которые иначе не будут взорваться в виртуализованной среде.

Пользовательские профили анализа реплицируют фактические производственные среды Windows, вплоть до приложений и версий, используемых для быстрого обнаружения аномалий и поведенческих различий, которые раскрывают методы анализа, сна и других усовершенствованных методов уклонения. Виртуализированная Android- песочница обнаруживает и анализирует мобильные угрозы, проходящие через корпоративные сети

Ссылка на основную публикацию
Adblock
detector