Eugene Kaspersky: “Како ја правиме нашата заштита уште подобра”

Ransomware: како и понатаму ја правиме нашата заштита уште подобра.

Да се биде девелопер за сајбер -безбедност: тоа е тешка работа, но некој треба да го стори тоа најдобро.

Нашите производи бараат и уништуваат малициозен софтвер, блокираат хакерски напади, управуваат со ажурирања, затвораат наметливи рекламни банери, ја штитат приватноста и уште многу друго… и сето тоа се случува во позадина (за да не ве вознемирува) и со бесно темпо. На пример, Kaspersky Internet Securitу може да провери илјадници предмети или на вашиот компјутер или паметен телефон за само една секунда, додека користењето ресурси од вашиот уред е скоро еднакво на нула: ние дури поставивме светски рекорд за брзо возење, играјќи го најновиот Doom со Kaspersky Internet Security што работи далеку во позадина!

Одржувањето на работите толку ефикасно и со толку бесно темпо бара работа од стотици девелопери и илјадници човечки години инвестирани во истражувања и развој. Само милисекунда одложување ги намалуваат вкупните перформанси на компјутерите. Но, во исто време, треба да бидеме што е можно потемелни за да не дозволиме да пробие ниту еден сајбер-микроб.

Неодамна напишав објава која прикажува како ја победивме конкуренцијата (10 други популарни производи за сајбер-безбедност) при тестирање за заштита од откупниот софтвер-денес најопасното сајбер-зло од сите. Значи, како да добиеме врвни оценки за квалитетот на заштитата и брзината? Едноставно: со тоа што ги имате најдобрите технологии, плус најдобриот став за откривање без компромиси, помножен со оптимизација).

Но, особено против ransomware, отидовме уште подалеку

Kaspersky патентираше нова технологија за пронаоѓање непознат ransomware со употреба на паметни модели за машинско учење. Навистина.

Најдобра заштита од сајбер напади е заштита на повеќе нивоа. И не само користење различни заштитни алатки, туку и во различни фази на активност на малициозниот софтвер: пенетрација, распоредување, интеракција со командниот центар и стартување на злонамерната носивост (и на овој начин ги откриваме најситните од тешко забележливите аномалии во системот, чија анализа води до откривање на фундаментално нови сајбер -напади).

Сега, во борбата против ransomware, заштитните производи традиционално ја потценуваат последната фаза – фаза на вистинското шифрирање на податоците. „Но, зарем не е малку доцна за Band-Aid?“, логично може да се запрашате. Па, како што покажа тестирањето (видете ја горната слика) – малку е доцна за оние производи што не можат да ја вратат активноста на малициозен софтвер; не за производи што можат и прават. Но, вие добивате таква функционалност само со нашиот и производот со жолто на сликата ( н.з. кој исто така е достапен во КАБТЕЛ). Откривањето на обиди за криптирање е последна шанса да се фати злонамерен софтвер на дело, да се затегне и да се врати системот во првобитната состојба!

Во ред, но како можете да кажете – брзо, бидејќи времето е, се разбира, суштинско – кога се случува енкрипција?

Всушност, шифрирањето на ransomware има една карактеристична карактеристика: модифицира многу датотеки одеднаш. Тоа им дава изменети имиња; се користат нестандардни методи за пристап до датотеки; еден ист додаток се додава на сите имиња на датотеки, итн. Нашиот системски системски набудувач (оној што проактивно ги штитеше корисниците од WannaCry и многу други сајбер напади) ги следи сите промени на датотеките на компјутерот (нешто како вашата медицинска историја), и го пренесува она што го наоѓа за анализа во математички модел. Тој математички модел (кој го применува концептот на човечка интелигенција), е обучен-без престан-како да разликува злонамерни од легитимни модификации, давајќи му голема (и зголемена) веројатност за препознавање активност на непознат рансомвер. И шифрираните датотеки може да се обноват – бидејќи резервните копии се направени од датотеки со промени извршени од недоверливи процеси.

На пример, еве споредба на предвидувањата во нашиот прототип систем, покажувајќи (i) чисти датотеки и (ii) датотеки шифрирани со Sodin ransomware:

Има корисен бонус и со оваа технологија…

Кога ги проверуваме доверливите процеси (вклучително и системските), ние исто така можеме ефикасно да се заштитиме од непознат ransomware без датотеки (веќе со години ловиме познат малициозен софтвер без датотеки). Таквиот ransomware користи легитимни комунални услуги (на пример, PowerShell) за извршување на своите команди; згора на тоа, злонамерниот код е содржан само во RAM меморијата (значи нема трага на хард дискот!), а со тоа избегнуваме „стандардни методи за откривање“ на „стандарден антивирусен софтвер“ и лажна „заштита од следната појава“.

Еве, луѓе: така нашата прототип технологија фаќа ransomware дури и без да го „види“ – само откривајќи го неговиот злонамерен товар. И на тој начин ќе ги заштитиме вашите непроценливи датотеки … и вашите дигитални животи.

Но, сигурно оваа сложена технологија користи многу ресурси?

Воопшто не! Тестирањето покажа дека нема значајна разлика во перформансите кога е во функција.