Tradycyjne podejście
Piaskownice to odizolowane środowiska testowe, w których uruchamia się nieznany kod, aby przeanalizować jego wpływ na system lub dane. Ponieważ kod testowany jest w izolacji, można sprawdzić, czy jest on bezpieczny, czy szkodliwy.
Activity Monitor, zamiast uruchamiać kod w izolowanym środowisku, tworzy selektywne kopie zapasowe systemu i danych, a następnie pozwala na uruchomienie kodu w systemie podczas monitorowanej sesji. Jeśli Activity Monitor wykryje szkodliwe zmiany, natychmiast zablokuje procesy i wykorzysta stworzone wcześniej kopie zapasowe, aby przywrócić sesję do stanu, w którym znajdowała się przed uruchomieniem złośliwego kodu. Dodatkową zaletą nowego podejścia jest możliwość wykrycia złośliwego zachowania względem plików, nawet jeśli oprogramowanie działa na innym komputerze i szyfruje pliki zdalnie.
Mniejsze zużycie zasobów
Główny badacz WithSecure, Broderick Aquilino, podkreśla, że Activity Monitor został zaprojektowany, aby przezwyciężyć ograniczenia innych rozwiązań:
Analiza dostarczana przez piaskownice zapewnia kompleksowy obraz zachowania złośliwego oprogramowania, ale zużywa dużo zasobów, co ogranicza ich zastosowanie. Dzięki Activity Monitor pokonaliśmy te ograniczenia, poprzez odtworzenie możliwości, jakie zapewniają piaskownice, ale nie samego sposobu ich działania. Teraz możemy stworzyć mechanizmy ochrony dostępne dla większej liczby organizacji.
Technologia zapewnia nowe narzędzie do zwalczania złośliwego oprogramowania, które według niektórych źródeł, kosztowały organizacje na całym świecie aż 18 miliardów euro do końca 2021 roku. Większość ransomware szyfruje dane ofiary, a następnie dostarcza klucze deszyfrujące w zamian za okup. Activity Monitor jest zbudowany tak, aby wykrywać tego typu zmiany, a po wykryciu procesów szyfrowania zatrzymuje je i przywraca dane do stanu niezaszyfrowanego.
Dodatkowe korzyści
Podczas gdy cofanie skutków ataku ransomware jest oczywistym przykładem wykorzystania Activity Monitor wiceprezes WithSecure Intelligence, Paolo Palumbo spodziewa się, że technologia ta zapewni organizacjom dodatkowe korzyści:
Podejście wykorzystane w tym rozwiązaniu sprawia, że możliwości wykrywania są bardziej wydajne, dzięki czemu można je wykorzystać na nowe sposoby. Chcemy, aby nasze produkty zapewniały organizacjom praktyczną, skuteczną ochronę bez przeszkadzania im w wykonywaniu pracy lub realizacji celów biznesowych. W miarę rozwoju nowych aplikacji i funkcji, wykorzystujących tę technologię, oczekujemy, że będzie ona umożliwiać lepsze, bardziej efektywne mechanizmy obronne dla naszych klientów – podkreśla.
Pierwsze wdrożenie technologii w gotowym rozwiązaniu, Server Share Protection, jest już dostępne jako część produktu WithSecure Element’s Endpoint Protection for Servers. Więcej informacji można znaleźć na stronie firmy.
Badania były wspierane przez TRUST aWARE, projekt finansowany przez program Unii Europejskiej Horyzont 2020 w zakresie badań i innowacji w ramach umowy o dofinansowanie nr 101021377.
Źródła:
https://www.europarl.europa.eu/resources/library/images/20220126PHT21867/20220126PHT21867_original.jpg
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS