Bảo vệ dựa trên hành vi
Phát hiện dựa trên hành vi là một phần của phương pháp bảo vệ nhiều lớp, thế hệ tiếp theo của Kaspersky Lab. Đó là một trong những cách hiệu quả nhất để bảo vệ khỏi các mối đe dọa nâng cao như phần mềm độc hại không có bộ lọc, phần mềm tống tiền và phần mềm độc hại zero-day.
Các khả năng bảo vệ sau tạo nên Công cụ Hành vi Đe doạ mới của Kaspersky Lab:
- Phát hiện hành vi
- Phòng chống bóc lột (EP)
- Công cụ khắc phục hậu quả
- Chống khóa
Trong cuộc sống thực, các tác nhân đe dọa làm xáo trộn mã độc để vượt qua các công nghệ phát hiện tĩnh và mô phỏng bằng các sản phẩm bảo mật. Ví dụ: mã ransomware vừa tạo thường được đóng gói bởi trình đóng gói tùy chỉnh với tính năng chống giả lập. Trước khi thực hiện, bất kỳ nỗ lực nào để quét mẫu được thực hiện tốt bằng Quét theo yêu cầu hoặc Quét khi truy cập sẽ không phát hiện thành công, do đó, nhiệm vụ của tác nhân đe dọa được thực hiện.
Nhưng khi đến giai đoạn thực thi, Công cụ hành vi đe dọa sẽ phân tích hoạt động thực tế của quy trình trong thời gian thực và tiết lộ bản chất độc hại của nó. Tất cả những gì cần thiết sau đó là gắn cờ cảnh báo, chấm dứt quá trình và thực hiện khôi phục các thay đổi.
Trong ví dụ được đề cập với ransomware được đóng gói, mẫu có thể cố gắng
- Tìm các tệp quan trọng trên hệ thống đích
- Mã hóa các tệp quan trọng
- Xóa các tệp gốc
- Xóa các bản sao bóng
Thông tin như vậy là đủ để phát hiện và không phụ thuộc vào trình đóng gói hoặc các kỹ thuật chống giả lập được sử dụng. Chạy Công cụ hành vi đe dọa, được trang bị bởi cả phương pháp phỏng đoán hành vi và mô hình dựa trên Machine Learning, sản phẩm trở nên không nhạy cảm với các kỹ thuật tránh tĩnh và thậm chí cả các sửa đổi hành vi mẫu.
Đưa ra các phán đoán dựa trên hành vi, điều quan trọng là phải phát hiện ra hoạt động độc hại càng sớm càng tốt, kết hợp với Remediation Engine phù hợp cho phép ngăn chặn mọi mất mát dữ liệu của người dùng cuối cùng. Remediation Engine bảo vệ các đối tượng khác nhau, như tệp, khóa đăng ký, tác vụ, v.v.
Quay lại ví dụ trên, giả sử rằng trước khi có hoạt động độc hại thực sự, ransomware đã tự thêm vào chế độ tự động chạy (ví dụ: thông qua sổ đăng ký). Sau khi phát hiện, Remediation Engine sẽ phân tích luồng hành vi và không chỉ khôi phục dữ liệu của người dùng mà còn xóa khóa đăng ký đã tạo.
Trong số các ưu điểm khác, trong một số trường hợp, công nghệ phát hiện dựa trên hành vi trở thành phương tiện duy nhất để phát hiện và bảo vệ khỏi mối đe dọa như phần mềm độc hại không có bộ lọc. Ví dụ: khi đang lướt internet, một người dùng bị nhắm mục tiêu bởi một cuộc tấn công dựa trên ổ đĩa. Sau khi khai thác, mã độc được thực thi trong ngữ cảnh của trình duyệt web. Mục tiêu chính của mã độc là sử dụng đăng ký đăng ký hoặc đăng ký WMI để duy trì sự bền vững và điều này kết thúc không có đối tượng duy nhất để quét tĩnh. Tuy nhiên, thành phần Phát hiện hành vi phân tích hành vi chuỗi của trình duyệt web, gắn cờ phát hiện và chặn hoạt động độc hại.
Thành phần Behavioral Engine hưởng lợi từ các mô hình dựa trên ML trên điểm cuối để phát hiện các mẫu độc hại chưa biết trước đây ngoài các bản ghi heuristic về hành vi. Được thu thập từ các nguồn khác nhau, các sự kiện hệ thống được chuyển đến mô hình ML. Sau khi xử lý, mô hình ML sẽ đưa ra phán quyết nếu mẫu được phân tích là độc hại. Ngay cả trong trường hợp phán quyết không ác ý, kết quả từ mô hình ML sau đó được sử dụng bởi phương pháp phỏng đoán Hành vi, do đó cũng có thể gắn cờ phát hiện.
Thành phần Phát hiện Hành vi thực hiện cơ chế Bảo vệ Bộ nhớ. Nó bảo vệ quá trình quan trọng của hệ thống như lsass.exe và cho phép ngăn chặn rò rỉ thông tin xác thực của người dùng với sự trợ giúp của mimikatz như phần mềm độc hại.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
