Baze podataka s potpisima već godinama učinkovito štite naša računala. Dolaskom sve više i više prijetnji, antivirusne tvrtke morale su udvostručiti svoju domišljatost u rješavanju nepoznatog i nepredvidivog zlonamjernog softvera. Analiza ponašanja ide dalje praćenjem sustava kako bi blokirao sumnjive radnje na izvoru. Krenimo u kratki obilazak kako bismo shvatili kako se virus otkriva i od čega vas antivirus štiti.
Heuristička analiza ili analiza ponašanja: dvije strane napredne zaštite
Sažetak prethodnih epizoda: na početku je bio virus. Nije vrlo raširen i jednostavan za prepoznavanje, prvi bi se zlonamjerni softver mogao (i još uvijek može) otkriti njihovim potpisom, slijedom uzastopnih bajtova koji im omogućuju prepoznavanje. Ti se potpisi redovito ažuriraju i stoga mogu otkriti samo poznate prijetnje.To nije bio problem dok se prijetnje nisu umnožile, previše previše da bi omogućile optimalnu reakciju. Otuda potreba za ponudom zaštite koja ne samo da reagira na poznati virus, već koja može predvidjeti njegovu zlonamjernu analizu analizirajući njegovo ponašanje.
Dvije mogućnosti pružaju ovu mogućnost. Prva je heuristička analiza koja se sastoji od prosijavanja softvera, bilo "dekompiliranjem" izvornog koda, bilo pokretanjem na virtualnom stroju. Zatim otkrivamo izvršava li radnje koje bi mogle biti sumnjive ili uspoređujemo strukturu svog koda sa već identificiranim prijetnjama ili potencijalno opasnim obrascima ponašanja.
Analiza ponašanja je na razini samog sustava. To nije datoteka koju nadgledamo prolazeći je kroz skener ili pješčanik, to je OS u cjelini. Zaštita od ponašanja promatra aktivnosti sustava (Windows, Android, MacOS itd.) I prepoznaje radnje koje se čine zlonamjernima, poput zahtjeva za nepoznatim poslužiteljem, izmjena datoteka ili zahtjeva za pristup lokacijama u memorija.
Dvije metode koegzistiraju i nadopunjuju se. Na primjer, heuristika može imati svoja ograničenja jer mnoge nedavne prijetnje uključuju zaštitu od emulatora. Trenutno je može izdati samo stvarno izvršavanje datoteke.
Ransomware, napadi stelta: analiza ponašanja kao bedem
Analiza ponašanja, usredotočena na sustav, a ne samo na datoteke, bedem je protiv pogubnijih napada poput "preuzimanja putem pokretanja", pokrenutih kôdom koji se pokreće u web pregledniku.
U obitelji nedavnih prijetnji koje su prouzročile osobito štetu, ransomware ili "ransomware" obično je vrsta napada u kojem zaštita ponašanja igra ključnu ulogu. Ransomware je rođen iz mutacije cyber kriminala. U doba prvih virusa gubitak osobnih datoteka bio je najčešći strah. Ali koja je svrha uništavanja dokumenata koji su vam dragi? Šteta za korisnika ili tvrtku, naravno. Zašto ih umjesto toga ne uzeti za taoce u pokušajudobiti novčanu naknadu?
To je ono što ransomware radi. Oni napadaju vaše osobne datoteke i na njih primjenjuju algoritam šifriranja kako bi postali nedostupni. Platite otkupninu i imat ćete ključ. U praksi to nije ni zajamčeno.
Ovdje će analiza ponašanja moći otkriti ove abnormalne promjene, blokirati ove operacije i, ako je potrebno, vratiti datoteke u prethodnu verziju.
Granice i evolucije
Skeniranje ponašanja nailazi na glavni problem bilo koje vrste skeniranja virusa: lažne pozitivne rezultate. Neobičan rad sustava može jednostavno biti nekonvencionalan, a da pritom nije nužno zlonamjeran.Međutim, moduli za analizu ponašanja također se razvijaju i idealni su za jedan od novijih trendova: strojno učenje. Progresivnim učenjem sigurnosna rješenja sve više koriste neuronske mreže kako bi razlikovala legitimne radnje od sumnjivih.
Još jedna zamka dolazi zauzvrat za učinkovitost ove vrste analiza. Nadgledanje ponašanja operativnog sustava može zahtijevati puno resursa i potencijalno usporiti teške zadatke. Međutim, to je cijena koju treba platiti da biste imali koristi od učinkovitijeg sloja zaštite od širenja internetskih prijetnji.
