Panda Adaptive Defense: viselkedésalapú védelem, modern fenyegetések ellen (x)

A biztonsági szoftvereknek egyre nehezebb lépést tartaniuk a napi rendszerességgel megjelenő új malware-ek százezreivel, a kártevők ráadásul nem csak egyre többen vannak, de egyre kifinomultabbak is lesznek. Míg 1998-ban nagyjából napi 100 új malware-rel kellett számolni, ez az érték 2014-re a 200 ezret is meghaladta, azóta pedig egyes kutatások szerint napi egymillió új fenyegetés jelenik meg - a kártékony szoftverek pedig a hatékony terjedés mellett a rejtőzésben is egyre jobbak.

Eközben a vállalati IT infrastruktúra is egyre komplexebbé válik, így a támadási felületek, illetve lehetséges behatolási pontok is egyre gyarapodnak, kiváltképp a távmunkások, illetve a céges munkavégzésre is saját eszközt használó, BYOD (Bring Your Own Device) trendet követők körében. Céges környezetben ráadásul sokszor egyszerre többféle platform is használatban lehet, a dolgozók egyre többféle szoftverrel dolgoznak, ami ismét megdobja a potenciális sebezhetőségek számát.

Az IDG kutatása szerint az újonnan megjelenő malware-ek 18 százalékának sikerül elrejtőzni a biztonsági cégek elől, az első 24 órában, két százalékot pedig három hónappal később sem fedeznek fel. Ha csak a 2014-ben mért számot vesszük is, ez négyezer, három hónappal megjelenése után is szabadon garázdálkodó kártevőt jelent - de mára ez érték akár ötvenezerre is hízhat. Ez az olyan különösen veszélyes rosszindulatú szoftverek térnyerésével, mint a számítógépek teljes tartalmát túszul ejtő ransomware-ek, minden eddiginél nagyobb biztonsági kockázatot jelent.

Miután a hagyományos, aláírás-alapú védelemmel szinte lehetetlen tartani a tempót az iszonyatos számban ömlő kártevőkkel szemben, a rosszindulatú szoftvereket adatbázisai alapján elcsípő rendszerek helyett új alternatívára van szükség. Ezt célozza a Panda Security Adaptive Defense névre keresztelt megoldása, amely az adott készüléken futó folyamatok mindegyikét szemmel tartja, aláírásaik helyett pedig azok viselkedését tartja folyamatos megfigyelés alatt.

Az Adaptive Defense működése három szakaszba rendeződik, melyek közül az első a folyamatos végpontfigyelés. Az ehhez szükséges végpontvédelmi kliens a számítógépeken futva folyamatosan figyeli az aktív folyamatok működését, az egyes eseményeket, illetve aktivitást pedig mintegy kétezer karakterisztika alapján katalogizálja, majd a felhős háttérrendszer felé továbbítja. A rendszer többek között olyan eseményeket figyel, mint a fájlletöltés, a szoftvertelepítés és driverkészítés, a kommunikációs folyamatok, DLL betöltés, fájlok, mappák, registry-ágak létrehozása, illetve a helyi adatokhoz való hozzáférés - utóbbi esetében a szoftver mintegy kétszázféle formátumot ismer fel.

A második szakaszban a felhős rendszer big data analízisnek veti alá a kapott adatokat, ahol a vizsgált szoftverek viselkedésmintái alapján egy megbízhatósági pontszámot rendel azokhoz. A cég big data adatbázisaiban mintegy másfél millió szoftver viselkedésmintáit tárolja (a lista ráadásul folyamatosan bővül), az elemzett folyamatok működését pedig ezekkel veti össze. Az utólag beérkező információk birtokában a megbízhatósági pontszámot a rendszer később felülvizsgálja, és ha kell módosítja. A harmadik fázisban a felhős elemzésből szerzett adatok alapján a rendszer megerősíti a végpontok védelmét: a szolgáltatás szinte száz, egész pontosan 99,9991 százalékos bizonyossággal osztályozza a végrehajtható fájlokat és a malware-ként felismert folyamatokat azonnal blokkolja - emellett beállítható az esetlegesen felbukkanó, ismeretlen folyamatok blokkolása is, míg azokat a rendszer be nem azonosítja. A szolgáltatás viselkedésalapú és kontextuális elemzési funkciója ezen felül többek között a Java és Adobe alkalmazások, illetve a böngészők biztonsági réseit kihasználó kártevők ellen is védelmet nyújt - lényegében addig nem enged semmit futni, amíg nem identifikálta pontosan az adott folyamatot.

A hagyományos, aláírás-alapú biztonsági szoftverek mellett különösen a korábban említett ransomware-ek térnyerésével lett szükség alternatív megoldásokra, miután a zsarolóvírusok nem csak rendkívüli tempóval fejlődnek, de azok ellen még a teljes körű biztonsági mentés sem biztos, hogy megfelelő védelmet biztosít: az ilyen kártevők több példánya már nem csak az adatok használhatatlanná tételével fenyeget, de a potenciálisan érzékeny vállalati információk online közzétételével is. Az Adaptive Defense a viselkedésalapú ellenőrzésnek hála a Cryptolockerhez hasonló zsarolószoftvereket, illetve a zero-day sebezhetőségeket kihasználó támadásokat is képes blokkolni.

A Panda saját felhőjében folyamatosan osztályozza az újonnan felbukkanó végrehajtható fájlokat, illetve itt zajlik az Adaptive Defense-hez bevetett big data analízis is. A végponti agentek, valamint az Adaptive Defense agentjei is a Microsoft Azure infrastruktúrájára támaszkodnak - ennek köszönhetően a védelmi szoftver kifejezetten barátságosan bánik a helyi erőforrásokkal, nem fogja vissza érzékelhetően a végponti gépek teljesítményét. A szolgáltatás egy webes menedzsmentfelületről kezelhető, a konzolról elérhető minden szerver és végpont is. A Panda Adaptive Defense jelenleg Windows platformon érhető el, mind asztali, mind pedig szerverkörnyezetben.

(A P. Antivírus Hungary Kft. megbízásából készített anyag.)