TREND Micro Endpoint Security

Обнаружение на основе сигнатур Традиционные антивирусные программы на основе подписи обеспечивают высокий уровень защиты от известных угроз очень эффективным способом. (Процесс сопоставления файлов со списком известных сигнатур вредоносного ПО намного менее интенсивный, чем более совершенные методы обнаружения на основе поведения.) Но с новыми вариантами крипторемонта, выпускаемых каждую минуту, полезность обнаружения на основе сигнатур как автономная техника безопасности ослабевает. Чтобы обеспечить реальную ценность для предприятия, он должен быть дополнен широким спектром других методов. Тем не менее, обнаружение на основе сигнатур должно быть частью многоуровневого подхода безопасности, в том числе: Файловая и веб-репутация - блокирует выполнение любых файлов, URL-адресов и веб-сайтов, которые соответствуют сигнатуре известного вредоносного элемента, но имеет трудности с неизвестными / нераспознанными угрозами (такими как полиморфные или упакованные вредоносные программы) или атак, происходящих из «хорошего» провайдера или центра обработки данных. Блокировка C & C - проверяет и отключает трафик конечных точек (через любой порт), который пытается подключиться к известному серверу управления и управления (C & C) или связаться с ним. Обнаружение без подписи Эти методы защищают от вредоносного ПО, не требуя каких-либо предварительных знаний о точных подписях файлов. Вместо этого они определяют определения, основанные на характеристиках и поведении файла. Некоторые из методов, которые должны быть включены в многоуровневый подход безопасности, включают следующее: Вариант защиты Защита от изменений ищет обфускацию, полиморфность или варианты вредоносного ПО с использованием фрагментов ранее обнаруженных вредоносных программ и алгоритмов обнаружения. Проверка переписи Вероятность того, что файл злонамерен, может частично определяться его распространенностью и зрелостью (то есть, как часто это было замечено за определенный период времени). Файлы, которые никогда не были обнаружены, считаются более подозрительными. Этот метод оказался достаточно сильным в отношении хакерских заводов вредоносных программ. Проверка белого списка Чтобы уменьшить ложные срабатывания при обнаружении конечных точек, все файлы должны быть проверены на базе базы данных известных и проверенных файлов. (Например, сертифицированный безопасный белый список программного обеспечения Trend Micro содержит почти миллиард известных хороших файлов.) Поведенческий анализ Этот метод исследует элемент, поскольку он распакован, ищет подозрительное или необычное поведение в том, как он взаимодействует с операционными системами, приложениями и сценариями - даже если элемент не находится в черном списке. Хотя крипторемонт может легко проходить традиционным антивирусом (будучи недавно скомпилированным исполняемым файлом), он будет вести себя подозрительно, поскольку он загружается в память, вызывая дальнейшие действия. Поскольку злоумышленникам по-прежнему сложно избежать обнаружения на основе поведения, этот метод является обязательным для любой организации. Поведенческий анализ может принимать различные формы, в том числе:

• Защита скриптов. Проверяет наличие вредоносного кода или скриптов в файлах, которые пытаются выполнить на конечной точке (например, макросы Office, скрипты в PDF, сценарии PowerShell).
• Инъекционная защита. Блокирует процессы от инъекционного кода, где он не должен быть (например, библиотеки программ).
• Мониторинг подозрительных действий - проверяет объект при его загрузке или запуске, в поисках подозрительного поведения в том, как он взаимодействует с другими процессами.
• Защита Ransomware - ищет быстрое обфускацию / шифрование файлов неизвестным процессом, затем завершает этот процесс и восстанавливает зашифрованные файлы.
• Проверка памяти. Оценивает процессы, выполняемые в памяти, сканирование их на наличие вредоносных программ (или фрагментов распознаваемых вредоносных программ), поскольку элемент распаковывается в память. Это гарантирует, что инструменты пакерного пакета не могут просто запутать старый известный вредоносный код.
• Защита эксплойта браузера. Использует эмуляцию и алгоритмическую технологию обнаружения для защиты от использования кода эксплойта на веб-страницах (например, эксплойты в Java и Flash).

Предотвращение использования Хотя есть сотни тысяч вредоносных файлов, существует не так много уникальных эксплойтов, которые могут быть использованы для компрометации системы пользователя. Таким образом, часто проще сосредоточиться на предотвращении использования определенных приложений или уязвимостей, связанных с ОС, а не на блокировании самих файлов. Также известный как защита от уязвимостей, методы предотвращения использования могут включать: Брандмауэры на основе хоста - защищает конечные точки в сети, используя проверку состояния и проверку сетевого вируса. Защита от эксплойта - контролирует программы, демонстрирующие ненормальное поведение, связанное с атаками с использованием, и использует несколько методов эвристического анализа для обнаружения кода эксплойта на веб-страницах, когда пользователи пытаются получить к ним доступ с помощью своих браузеров. Предотвращение вторжений. Блокирует сетевые эксплойты известных уязвимостей в популярных приложениях и операционных системах, используя правила предотвращения вторжений (HIPS) на основе хоста, которые предоставляют виртуальный патч. Обнаружение бокового движения. Использует сигнатуры IDS / IPS для сетевого трафика в решениях конечных точек для обнаружения и блокировки бокового перемещения