Poznaj korzyści wielowarstwowej ochrony przed wirusami.

Zagrożenia ewoluują, każdego roku powstają nowe, coraz bardziej zaawansowane metody ataków. Dotychczasowe metody walki z zagrożeniami przestają być skuteczne i należy je uaktualniać o kolejne warstwy ochrony, odporne na nowe, zaawansowane technologicznie zagrożenia.

Warto wiedzieć, że pierwsze antywirusy walczyły z zagrożeniami tworzonymi dla zabawy przez maksymalnie kilkuosobowe zespoły znajomych, a ich budżety to piwo i chipsy. Dzisiejsze zaawansowane zagrożenia powstają w celu kradzieży wielkich sum pieniędzy, wykradania tajnych dokumentów, niszczenia infrastruktury wroga. Zleceniodawcami są wywiady, wojsko lub zorganizowane grupy przestępcze, z budżetami sięgającymi milionów dolarów, wynajmując zespoły do prowadzenia cyberataków, składające się z setek wysoko wykwalifikowanych specjalistów.

Skutki zainfekowania pierwszymi wirusami komputerowymi są podobne do współczesnych żartów administratorów IT. Efekt zainfekowania komputera okazywał się zabawny i całkowicie nieszkodliwy. Wystarczy przypomnieć objawy działania wirusów sprzed 20 lat: odwrócony ekran o 180 stopni, niespodziewanie odtworzona melodia, wyświetlenie zabawnego komunikatu.

Żarty zazwyczaj mają na celu wywołać rozbawienie, zdarzają się jednak żarty złośliwe i krzywdzące. Szkodliwe efekty pierwszych wirusów często były niezamierzone przez twórców. Mechanizm powielania kodu wirusa (przez doklejanie go do plików wykonywalnych lub systemowych plików rozruchowych), w celu jego rozprzestrzeniania się, często zawierał błędy i prowadził do niecelowego uszkadzania plików. Skutkowało to problemami z uruchamianiem programów czy całego systemu. Z czasem zaczęły pojawiać się wirusy które z założenia miały szkodzić użytkownikom, np. kasować dane z dysku lub uniemożliwić uruchomienie komputera. Wśród użytkowników pojawiła się potrzeba przeciwdziałania tym problemom, w efekcie zaczęły powstawać pierwsze programy antywirusowe.

Pierwsza warstwa ochrony – skanowanie sygnatur plików

Mechanizm wykrywania pierwszej generacji wirusów był stosunkowo prosty. Antywirus skanował wszystkie pliki na komputerze w poszukiwaniu charakterystycznych ciągów znaków (sygnatur) które wskazywały na to, że dany program lub system jest zainfekowany.

Druga warstwa ochrony – sandbox

Na początku lat 90, twórcy wirusów zaczęli walczyć z wykrywaniem wirusów za pomocą sygnatur. Zaczęli ukrywać łatwy do zidentyfikowania złośliwy kod wykorzystując szyfrowanie i mechanizm generowania za każdym razem trochę innego deszyfratora. W efekcie, z każdą infekcją, kod wirusa się zmienia. Metody oparte na wyszukiwaniu charakterystycznego ciągu znaków, okazały się nieskuteczne.

Producenci programów antywirusowych zaczęli stosować nową metodę wykrywania tzw sandbox. Metoda polegała na wykonywaniu potencjalnie zarażonego kodu w odizolowanym obszarze pamięci, gdzie wirus się deszyfrował i zdradzał swoją sygnaturę. Ponieważ wirus nie został uruchomiony w jego naturalnym środowisku, tylko w sandboxie (nie ma dostępu do innych zasobów), wykonanie złośliwego kodu nie wyrządzało żadnej szkody użytkownikowi.

Trzecia warstwa ochrony – analiza zachowania uruchamianych procesów.

Twórcy wirusów zaczęli rozwijać technologię maskowania sygnatur. Powstały zaawansowane techniki ukrywania złośliwego kodu np. wyposażono wirusy w zdolność do samodzielnej modyfikacji swojego kodu przy każdym powieleniu wirusa. Dotychczasowe metody wykrywania, oparte o sygnatury, okazały się nieskuteczne.

Producenci oprogramowania antywirusowego sięgnęli po nową metodę. O ile sam złośliwy kod można stosunkowo łatwo ukryć, to już samo zachowanie konkretnych procesów jest trudne do ukrycia. Program antywirusowy przed uruchomieniem w systemie operacyjnym wykonuje podejrzany kod w odizolowanym środowisku i porównuje zachowanie się uruchomionych procesów z procesami typowymi dla szkodników (np. próba rozmnażania się) i podejmuje decyzję o przeniesieniu kodu do kwarantanny. Po uruchomieniu w systemie, program antywirusowy dalej monitoruje procesy. Charakterystyczna kombinacja podejrzanych zachowań jest podstawą decyzji czy mamy do czynienia z wirusem. 

Technologia analizy zachowań procesów, pozwala na wykrywanie całkowicie nowych zagrożeń, ponieważ pewne typy działania są charakterystyczne dla wszystkich wirusów. W panelu GravityZone istnieje możliwość ustawienia 3 poziomów czułości z jaką mają być identyfikowane zagrożenia z pomocą tego rozwiązania.

Czwarta warstwa ochrony – chmura

W chwili popularyzacji Internetu, przestępcy otrzymali możliwości natychmiastowego rozprzestrzeniania zagrożeń. Szacuje się, że dziennie może ich powstawać nawet milion, choć w większości są to modyfikacje już znanych wirusów. Można jednak założyć, że powstawanie każdego dnia kilkunastu tysięcy nowych szkodników, jest jak najbardziej realne. Programy antywirusowe musiały zacząć wykrywać zagrożenia, które dopiero co powstały i nie zostały dodane do bazy zagrożeń

Bitdefender, zwycięzca licznych testów na wykrywalność zagrożeń, zwrócił się w stronę rozwiązań opartych o chmurę. Wdrożył Globalną sieć Ochrony na którą składa się ponad 500 mln chronionych urządzań. Jest to największa sieć wykrywania zagrożeń jaka kiedykolwiek powstała przetwarzając 7 miliardów zapytań dziennie.

W momencie, kiedy na którymkolwiek z 500 mln chronionych przez Bitdefender urządzań zostanie wykryty podejrzany kod, natychmiast jest wysyłany do chmury i poddawany tam dalszej zautomatyzowanej analizie pod kątem uruchamianych procesów i ich zachowań. Kiedy podejrzany kod zostanie na podstawie zautomatyzowanych testów zakwalifikowany jako zagrożenie, 3 sek. później każde chronione przez Bitdefendera urządzenie, staje się odporne.

Uczenie maszynowe

W dobie Internetu i coraz większych nakładów na tworzenie zaawansowany wirusów, poprzednie technologie przestały być wystarczająco skuteczne. Dzisiaj w grę wchodzą miliardowe zyski z cyberprzestępczości oraz interesy mocarstw. Tworzenie wirusów przestało być hobby jednego, lub kilku zespołów, stały się narzędziem do kradzieży setek milionów dolarów lub wykradania tajnych dokumentów przez Państwowe wywiady.

Przeciwdziałając zaawansowanym atakom Bitdefender wdrożył uczenie maszynowe do wykrywania bardzo złożonych szkodników. Uczeniu maszynowemu poddawana jest gigantyczna ilość informacji, wszystkie zagrożenia które zostały dotychczas zidentyfikowane. W efekcie, sztuczna inteligencja z bardzo wysokim prawdopodobieństwem potrafi rozpoznawać nowe, zaawansowane wirusy, praktycznie w chwili kiedy zostają wpuszczone do Internetu.

Dowiedz się więcej: https://biznes.bitdefender.pl/wielowarstwowa_ochrona