Zapobieganie zagrożeniom zero-day z ESET Dynamic Threat Defense

W dobie ransomware, ataków ukierunkowanych i wszechobecnych botnetów możliwość skutecznego wykrywania i blokowania nigdy wcześniej nie występujących rodzajów zagrożeń powinna stanowić fundament zabezpieczeń firmowych systemów IT. W tym kierunku ESET Dynamic Threat Defense zapewnia kolejną warstwę ochrony dla ESET Mail Security i rozwiązań ESET Endpoint, opartą na analizie podejrzanych plików w piaskownicy w chmurze.

Sama idea przetwarzania potencjalnie niebezpiecznych plików w piaskownicy (ang. sandboxing) nie jest nowa. Co najmniej kilka programów antywirusowych pozwala na uruchamianie podejrzanych plików w izolowanym, zamkniętym środowisku piaskownicy, bez wpływu na system operacyjny i dane komputera. Problem w tym, że analiza próbki jest inicjowana przez pracownika, zaś poszukiwanie zagrożeń odbywa się z wykorzystaniem zasobów lokalnego urządzenia i standardowych silników detekcji. Usługa ESET Dynamic Threat Defense wynosi funkcję piaskownicy na nowy, wyższy poziom.

Próbki wysłane do chmury ESET przetwarzane są przez setki serwerów, wspomaganych algorytmami uczenia maszynowego i zasilanych danymi pochodzącymi z wielu źródeł. W rezultacie ESET Dynamic Threat Defense potrafi przeanalizować większość nowych plików w mniej niż 5 minut. Jeśli dana próbka została przebadana już wcześniej, system potrzebuje raptem kilku sekund, aby wydać werdykt.

Samoucząca się ochrona

ESET Dynamic Threat Defense rozszerza ochronę stacji roboczych, firmowych serwerów oraz serwerów poczty o funkcję piaskownicy w chmurze (ang. sandboxing). Podejrzany plik jest przesyłany do chmury, gdzie zostaje poddany szczegółowej analizie. W ten sposób narzędzie pomaga zapobiegać nieznanym zagrożeniom zero-day, czy atakom ukierunkowanym na daną firmę.

Piaskownica ESET korzysta z kilku typów sensorów, które uzupełniają mechanizmy statycznej analizy kodu o badanie próbek z wykorzystaniem uczenia maszynowego, introspekcję wewnątrz pamięci oraz detekcję zagrożeń opartą na analizie behawioralnej. W celu lepszego wykrywania zagrożeń typu zero-day, ESET Dynamic Threat Defense implementuje trzy modele uczenia maszynowego. Próbka przesłanego pliku jest analizowana w sposób naśladujący działania użytkowników, aby oszukać techniki mające na celu uniknięcie wykrycia złośliwego kodu. W kolejnym kroku inteligentne sieci neuronowe porównują zachowanie badanych próbek z danymi archiwalnymi.

Jak działa ochrona?

ESET Dynamic Threat Defense chroni serwery poczty z ESET Mail Security oraz serwery i punkty końcowe użytkowników zabezpieczone rozwiązaniami Endpoint. Kiedy do serwera poczty Microsoft Exchange dociera nowa wiadomość, jest ona analizowana pod kątem złośliwego oprogramowania. Jeśli skaner detekcji wykryje podejrzany, ale nieznany wcześniej plik, moduł ESET Dynamic Threat Defense wysyła go do dalszej analizy w piaskownicy ESET-a. Adresat wiadomości otrzyma informację o podjętych działaniach, zaś jej dostarczenie zostanie opóźnione aż do momentu, gdy załącznik zostanie uznany za w pełni bezpieczny. W przeciwnym przypadku zainfekowany plik trafia do kwarantanny.

Na podobnych zasadach realizowana jest ochrona punktów końcowych. Kiedy silnik skanowania ESET wykryje podejrzany plik, moduł ESET Dynamic Threat Defense automatycznie wysyła go do dalszej analizy w chmurze. Wyniki udostępniane są administratorom, zaś oprogramowanie ESET zostaje zaktualizowane o informacje z przebadanej próbki.

Proste zarządzanie

Wdrażanie i zarządzanie funkcją odbywa się z poziomu konsoli ESET Security Management Center, a więc tej samej, która w ramach całej organizacji umożliwia zarządzanie ochroną antywirusową ESET oraz modułem ESET Enterprise Inspector. Ten ostatni to zaawansowane narzędzie typu Endpoint Detection & Response (EDR), służące do identyfikacji nietypowych zachowań i naruszeń bezpieczeństwa firmowej sieci. Wracając jednak do głównego tematu, konsola ESET Security Management Center gromadzi informacje o wszystkich próbkach przekazanych do analizy w chmurze wraz z jej wynikami. W przypadku plików oznaczonych jako podejrzane lub zainfekowane administrator może zapoznać się ze szczegółowym raportem z przeprowadzonej analizy.

Usługa ESET Dynamic Threat Defense działa niewidocznie dla użytkowników, co należy uznać za dużą zaletę tego rozwiązania. Tak samo jak łatwość wdrożenia dodatkowej ochrony w ramach całej organizacji. Konfiguracja ESET Dynamic Threat Defense wymaga bowiem jedynie zdefiniowania polityk zabezpieczeń, w tym progu wykrywania oraz akcji jaka zostanie podjęta w przypadku zauważenia zainfekowanego pliku. W kontekście RODO warto rozważyć opcję blokowania automatycznego przesyłania próbek będących dokumentami. To tyle. Właściwa ochrona odbywa się w pełni automatycznie, chyba że zezwolimy pracownikom na ręczne przesyłane plików do przeskanowania w chmurze.

Analiza podejrzanych plików w piaskownicy zapewnia dodatkową warstwę zabezpieczeń przed atakami typu zero-day i stanowi uzupełnienie ochrony realizowanej w ramach innej usługi chmurowej ESET LiveGrid. Ta druga działa jako system oceny reputacji plików i system wczesnego ostrzegania na podstawie próbek przesyłanych z komputerów użytkowników z całego świata. Część tych próbek na pewno pochodzi z usługi ESET Dynamic Threat Defense.