Многоуровневая модель обнаружения в Panda Adaptive Defense
Распространение вредоносных атак, направленных на конечную точку, особенно при применении тактик социальной инженерии, заставляет компании принимать меры предосторожности для защиты персональных данных своих сотрудников и корпоративной информации.
Одним из основных векторов заражения являются спамовые кампании с вложениями. Спамовые кампании, используемые для распространения шифровальщиков, обычно выполняются с помощью сообщений, в которых вложены заархивированные файлы (.zip), содержащие вредоносный код/файл, который пользователь должен запустить. Среди таких файлов могут быть файлы типа PE (как правило, файл с расширением .exe), скрипт (.js, .vbs, .wsf и т.д.) или документ Word (или другой документ MS Office с макросом). Еще одна довольно успешная стратегия для кибер-преступников заключается в том, чтобы вставить в письме ссылку, которая приведет жертву на определенную веб-страницу, где будет скачиваться заархивированный файл. Более подробная информация по таким сценариям представлена в нашей статье Tails from Ransomware: Spam campaigns
Передовые корпоративные решения информационной безопасности с опциями расширенной защиты Panda Adaptive Defense и Panda Adaptive Defense 360 включают в себя многоуровневую модель обнаружения, которая обеспечивает защиту конечных устройств от всех типов атак, включая неизвестные и сложные атаки и угрозы.
Многоуровневая модель обнаружения в Panda Adaptive Defense
Уровень 1: Эвристика и сигнатурное обнаружение
Первый уровень защиты состоит из традиционных или статичных технологий. Антивирусный движок использует информацию, которая хранится в сигнатурном файле, а также информацию, доступную в облачной базе знаний Коллективный разум, для выполнения соответствующего анализа при получении документа, открытии скомпрометированного веб-сайта или скачивании вредоносного скрипта. В том случае, если традиционная технология не смогла идентифицировать файл как вредоносный, то к работе подключается следующий уровень защиты.
Уровень 2: Контекстный движок
На этом уровне защиты при попытке запуска проверяемого элемента (файл / процесс) срабатывают технологии динамического обнаружения. В этом случае метод обнаружения уже учитывает контекст (условия) запуска элемента (контекстуальные технологии) или его происхождение/источник появления (правила hardening).
Уровень 3: Сервис 100% классификации процессов
На этом уровне защиты работает сервис классификации, который гарантирует классификацию всех идентифицированных PE-файлов антивирусной лабораторией PandaLabs компании Panda Security. Это позволяет использовать такие модели защиты, когда возможен запуск только тех элементов, которые были классифицированы нашей лабораторией в качестве надежных, - такой подход реализован при настройке расширенной защиты в режиме LOCK.
Уровень 4: Анти-эксплойтная технология С другой стороны, благодаря технологиям защиты от эксплойтов, можно избежать манипуляций в памяти с легитимными процессами. Таким образом, можно избежать эксплуатации эксплойтами тех уязвимостей в операционной системе и легальных приложениях, которые могут привести к взлому и заражению компьютера.
Белая книга
Мы подготовили специальный документ, в котором более подробно описаны технологии обнаружения, сдерживания и предотвращения угроз и атак, а также реагирования на них и смягчения последствий, - это белая книга под названием «Технологии Panda Adaptive Defense 360: управляемое обнаружение и управляемое смягчение последствий». В нем описан пакет применяемых технологий Panda по защите конечных устройств, сервис100% классификации, технологии по защите от эксплойтов и атак типа living-off-the-land, а также сервис Threat Hunting, который используется специалистами Panda Security для активного поиска новых моделей поведения угроз и атак для более эффективной защиты наших пользователей.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.