Sonar - protecție pe baza comportamentului

SONAR - Această soluție oferă protecție împotriva amenințărilor, care se bazează pe comportamentul amenințărilor, mai degrabă decât pe „aspectul“ lor. SONAR este principalul motor de protecție pe baza comportamentului soluțiilor antivirus Symantec

Sonar - protecție pe baza comportamentului

Metoda Boot «Drive prin» și atacuri web pe scară largă în liniște infecta utilizatorii care vizitează site-uri populare. Unele programe instala rootkit-uri sau de a introduce cod malițios în procesele de sistem. malware-ului modern se poate obține cu ușurință, nu mai este suficientă pentru a proteja utilizatorul final, protecția fișierelor.

De ce comportament pe bază de protecție?

Protecția pe baza de comportament este mai rentabilă în comparație cu euristicii de fișiere, deoarece se poate evalua simultan programe la scară largă, cum ar fi periculoase și nu reprezintă o amenințare.

Principalele domenii de protecție, care oferă tehnologie de comportament Symantec, sunt:

În unele cazuri, efectuate de protecție comportamentală?

Indiferent dacă utilizatorul pornește aplicația este în mod deliberat rău intenționat, sau dacă face această încercare de instalare automată, blocurile SONAR programului în timp real, dupa ce a fost lansat și / sau încearcă să se introducă în stare de funcționare a proceselor de sistem (TNP). Asigurarea protecției împotriva Hydraq / Aurora, malware-ului Stuxnet, cum ar fi Tidsrev și ZeroAccess, sa impus ca una dintre cele mai importante tehnologii de protecție a punctului final.

Cum funcționează? motor Clasificarea bazată pe inteligență artificială

Non-proces bazat protectie impotriva amenintarilor

amenințările moderne nu sunt întotdeauna executabile de sine stătătoare. Adesea, ei încearcă să scape prin injectare în procesele de funcționare bine cunoscute, aplicații sau alte componente, ascunzându-se astfel activitățile rău intenționate în masca de procese de încredere (de exemplu, sistem), sau o aplicație de încredere. Ca un exemplu, atunci când aplicația rău intenționat, se poate injecta procesele care rulează cod malware, cum ar fi explorer.exe (proces shell desktop), iexplorer.exe (Internet Explorer) sau înregistrați componente dăunătoare ca extensii pentru astfel de aplicații. SONAR împiedică executarea de cod, a intrat în procesul de țintă prin clasificarea unei surse care încearcă să facă o injecție. De asemenea, clasifică, și, dacă este necesar, se oprește codul dăunător este încărcat într-o țintă sau un proces de încredere.

Politica de blocare comportamentală

metoda de încărcare «Drive prin» funcționează prin exploatarea vulnerabilităților în browser plug-in-uri, cum ar fi Adobe Reader, Oracle Sun Java și Adobe Flash. Odată ce vulnerabilitatea a fost descoperită de o sarcină similară, se poate utiliza o aplicație vulnerabilă pentru propriile lor scopuri, adică pentru a lansa orice altă aplicație. Crearea anumită politică de blocare comportamentală, Symantec poate bloca un comportament rău intenționat, cum ar fi „Adobe Acrobat nu creează alte fișiere executabile,“ sau „această injecție DLL este interzisă în procesul explorer.exe“, protejând astfel sistemul. Acest lucru poate fi descris ca blocarea comportament pe baza unor politici și reglementări. Aceste politici / definiție echipei SONAR Symantec STAR sunt implicate automat în modul de blocare și necesită un control. Acest lucru previne comportamentul suspect al aplicațiilor „bune“ și protejate în mod automat un utilizator.

Semnăturile comportamentale Aplicarea politicii (BPE - aplicarea politicii de comportament)

Posibilitatea de dezvoltare, în conformitate cu amenințările în continuă schimbare este o parte integrantă a tehnologiei SONAR, astfel încât protecția produsului Symantec are capacitatea de a se concentra pe amenințarea chiar mâine, a doua zi nu a venit încă. Când Symantec descoperă nouă familie de amenințări, cum ar fi noi rootkits, troieni, FakeAV sau alte tipuri de malware, poate crea noi semnături de comportament pentru a detecta aceste familii de amenințări, și le livreze, împreună cu actualizări. Prin urmare, societatea nu actualizează în mod necesar codul produsului în sine. Această așa-numitele semnături comportamentale SONAR Politica de executare. Aceste semnături pot fi destul de rapid pentru a scrie, de testare, și să livreze utilizatorului, și ei dau SONAR „flexibilitate“ și „adaptabilitate“, care îi permite să ofere un răspuns la anumite categorii de amenințări emergente, având în același timp un nivel foarte scăzut de rezultate fals pozitive.

Deci, cum lucrezi BPR-semnătură?

Să ne uităm la o aplicație care este pornit pentru a efectua.

1) Se creează anumite componente din directorul TEMP
2) se adaugă intrarea lor în registru
3) Schimbă gazde-fișier
4) Nu are o interfață
5) Se deschide din cauza porturilor „mari“

Oricare dintre aceste comportamente singure nu pot fi „rele“, ci pe întregul profil său comportamental este considerată ca fiind rea. STAR-analist creează o regulă care afirmă că, dacă există o anumită secvență a comportamentului unor fișiere executabile cu anumite caracteristici Reputație Insight, produsul ar trebui să oprească acest proces, și se rostogolesc înapoi modificările. SONAR este capabil de a crea un mediu de testare virtuală în jurul infectat, dar este o aplicație legitimă și, astfel, pot preveni orice acțiuni rău intenționate ale unei aplicații infectate care pot afecta computerul utilizatorului. Aceasta este o cu totul nouă paradigmă în domeniul protecției utilizatorului final. Acesta funcționează prin utilizarea datelor care arată cererea de acțiune, nu aspectul său.

recuperare automată a fișierelor infectate, folosind un mediu de testare

Bazate pe comportament monitoare de protecție în timp real și magazine în aplicațiile sandbox, procesele și evenimentele în ordinea în care acestea apar. Modificările sistemului pot fi anulate, în scopul de a preveni activitatea rău intenționate.

Monitorizarea aplicațiilor și proceselor în timp real

monitoare SONAR și protejează mai mult de 1.400 de aspecte legate de toate aplicațiile care rulează, DLL fișiere și procese, care oferă protecție în timp real, pe măsură ce apar.

STAR Bus Comunicare Intelligence

Tehnologia de protecție SONAR nu funcționează de la sine. Motorul comunică cu alte servicii de securitate folosind un protocol STAR Intelligence Communication (STAR ​​ICB). Motorul de rețea IPS, este conectat la motorul Symantec Sonar, și apoi cu motor reputația interioară (Insight Reputație). Acest lucru ne permite să ofere o protecție mai informativ și precise, care nu poate oferi aproape orice produs.

Conținutul Symantec