Trochę na temat nowoczesnej heurystyki:
ThreatSense (ESET)
Nowa, stworzona przez firmę ESET, technologia wykrywania wirusów i innych wrogich programów takich jak robaki komputerowe, spyware, adware, hackware i wiele innych. Zapewnia aktywną ochronę, co oznacza, że skutecznie chroni także przed nowymi, nieznanymi jeszcze wirusami i wrogimi programami, zanim zostaną one zanalizowane w laboratoriach antywirusowych i powstaną stosowne szczepionki.
Technologia ThreatSense™ łączy w sobie metody wykrywania wirusów oparte o systematycznie aktualizowane bazy sygnatur wrogich programów z unikalną metodą zaawansowanej analizy heurystycznej (zwaną także ochroną aktywną), zdolną do wykrywania nowych, nieznanych jeszcze zagrożeń. Dzięki takiemu połączeniu technologia ta wyjątkowo skutecznie chroni przed wszelkimi typami zagrożeń.
Dlaczego technologia ThreatSense™ jest skuteczniejsza od innych metod?
Technologia ThreatSense™ zastosowana w rozwiązaniach firmy ESET łączy w sobie metody wykrywania wirusów oparte o systematycznie aktualizowane bazy sygnatur wrogich programów (wirusów, spyware, adware, hackware) z metodą zaawansowanej analizy heurystycznej. Dzięki stale aktualizowanej bazie sygnatur technologia ta ze 100% precyzją wykrywa i usuwa znane już i sklasyfikowane zagrożenia. Z drugiej strony, tylko ThreatSense™ wykorzystująca zaawansowaną analizę heurystyczną jest zdolna do skutecznej walki z zupełnie nowymi, nieznanymi jeszcze wirusami i wrogimi programami i daje pełną ochronę typu "day zero protection". Oznacza to, że wykrywa zagrożenia w tym samym momencie, w którym się one po raz pierwszy pojawiły.
Dlaczego tradycyjne metody wykrywania wirusów i innych zagrożeń już nie wystarczają?
Tradycyjne metody wykrywania wirusów, oparte o ich identyfikację na podstawie stale aktualizowanej bazy sygnatur wirusów określane są mianem ochrony pasywnej (w odróżnieniu od ochrony aktywnej). Aby program antywirusowy mógł wykryć wirusa czy robaka, musi on najpierw trafić do laboratorium producenta programu antywirusowego, gdzie zostanie zanalizowany i powstanie jego unikalna sygnatura. Sygnatura ta zostanie następnie pobrana przez program antywirusowy w postaci aktualizacji i dopiero od tego momentu program będzie zdolny do wykrycia danego wirusa czy robaka. Podstawowym problemem przy pasywnym podejściu do wykrywania wirusów i innych wrogich programów jest czas pomiędzy pojawieniem się zagrożenia, a możliwością jego wykrycia przez program antywirusowy. W zależności od producenta może to być czas od 1 do nawet 12 godzin. Jest to okres, w którym program antywirusowy stosujący tylko pasywną ochronę nie jest w stanie zidentyfikować i zatrzymać nowo powstałego wirusa czy innego zagrożenia, podczas gdy współczesne robaki internetowe potrzebują zaledwie kilku minut na rozprzestrzenienie się po całym świecie.
Co to jest zaawansowana analiza heurystyczna?
Zaawansowana analiza heurystyczna jest elementem technologii ThreatSense™, który odpowiada za jej zdolność do aktywnej ochrony przed nowymi wirusami i innymi wrogimi programami jak robaki, spyware i inne. Zaawansowana analiza heurystyczna to swoisty wirtualny analityk programów, który pracuje na każdym komputerze, na którym zainstalowany jest program firmy ESET.
Programiści ESET''a tworząc technologię ThreatSense™ postanowili odwrócić dotychczas stosowany przy pasywnym podejściu porządek rzeczy - zamiast wysyłać próbki podejrzanych programów do analizy do swoich laboratoriów postanowili wysłać na każdy chroniony komputer wirtualnego analityka, który na bieżąco analizuje wszystkie potencjalnie niebezpieczne programy. Dzięki takiemu podejściu udało się zredukować do zera czas pomiędzy pojawieniem się nowego wirusa czy innego zagrożenia a zdolnością programu do wykrycia nowego zagrożenia.
Zaawansowana analiza heurystyczna (czyli nasz wirtualny analityk) wykorzystuje wiele różnych metod do badania podejrzanych programów (kodów). Wśród nich są takie metody jak pasywna analiza heurystyczna, analiza algorytmiczna, sygnatury generyczne, emulacja oraz metody typu sandbox.
Czy każda metoda heurystyczna jest skuteczna?
Warto zwrócić uwagę na fakt, że termin "heurystyka" jest często nadużywany. Stosowany jest powszechnie przez producentów systemów antywirusowych do określenia metod wykrywania wirusów, które w rzeczywistości wcale nie są heurystyczne. Najczęściej jest ten termin wykorzystywany błędnie do określenia zdolności programu antywirusowego do wykrywania różnych odmian znanego już wirusa, a nie zupełnie nowych, nieznanych wirusów czy innych zagrożeń.
Zaawansowana analiza heurystyczna wykorzystuje wiele różnych metod do badania podejrzanych programów (kodów). Wśród nich są takie metody jak pasywna analiza heurystyczna, analiza algorytmiczna, sygnatury generyczne, emulacja oraz metody typu sandbox. Ważne jest to, że zaawansowana analiza heurystyczna pozwala na skuteczne wykrywanie zupełnie nowych wirusów i wrogich programów, także tych które nie są podobne do dotychczas znanych.
Co to jest ThreatSense.NET?
ThreatSense.NET jest globalnym systemem pozwalającym na błyskawiczne, automatyczne dostarczenie podejrzanego zbioru do laboratoriów firmy ESET w celu zanalizowania go. Jeżeli okaże się, że dostarczony zbiór jest zainfekowany nowym wirusem lub jest to nieznany dotąd wrogi program, natychmiast zostanie opracowana dla niego szczepionka.
[Aby zobaczyć linki, zarejestruj się tutaj]
ESET NOD32 analizuje działanie podejrzanego kodu w odizolowanym środowisku, dzięki czemu jest w stanie zablokować ponad 90% ataków proaktywnie, a więc bez potrzeby aktualizacji bazy sygnatur. Większość innych producentów rozsyła aktualizacje swoich baz sygnatur dopiero wtedy, gdy komputery ich klientów zostały zainfekowane, a próbki zostały przesłane do analizy.
System kontrolny: SONAR 2 (Symantec)
Behawioralny system nowej generacji do zwalczania szkodliwego oprogramowania, SONAR 2, gromadzi dane z całego komputera, aby podejmować precyzyjne decyzje, w zależności od potrzeby przełączając się między różnymi metodami ochrony.
SONAR 2 wykrywa nieznane zagrożenia z wykorzystaniem wszystkich mechanizmów ochronnych, niezależnie czy chodzi o komunikację sieciową, aktywność programów w systemie, wykorzystanie internetowych danych o reputacji czy też o inne środki defensywne.
Źródło:
[Aby zobaczyć linki, zarejestruj się tutaj]
