Fonctionnement des couches de détection
ESET LiveGuard Advanced utilise quatre couches de détection distinctes pour assurer le taux de détection le plus élevé. Chaque couche utilise une approche différente et donne son verdict sur l’échantillon. L’évaluation finale est le résultat de tous les renseignements sur l’échantillon. Voir la vue d’ensemble du processus dans le schéma ci-dessous :
Cliquez sur l’image pour l’image en taille réelle.
Couche 1 : Décompression et analyse avancées
En entrant dans la couche initiale de ESET LiveGuard Advanced, la couche dite de décompression et d'analyse avancées, les échantillons statiques sont comparés à la base de données des menaces d’ESET : enrichis de détections expérimentales et qui n’ont pas encore été distribuées ainsi que d’une liste complète d’éléments propres, potentiellement indésirables (PUA) et potentiellement dangereux (PUsA). Les logiciels malveillants tentent souvent de contrecarrer la détection en cachant leur noyau malveillant derrière une gamme de couches d’encapsulation; ainsi, pour une analyse appropriée, ces couches doivent être enlevées. ESET LiveGuard Advanced utilise la décompression et l'analyse avancées pour y parvenir en utilisant des outils hautement spécialisés basés sur des encapsuleurs que les chercheurs d'ESET ont trouvés dans le code malveillant. Ces décompresseurs spécialisés retirent la couche protectrice des logiciels malveillants, ce qui permet à ESET LiveGuard Advanced de faire correspondre l’échantillon à la base de données des menaces enrichies une fois de plus. La couche de décompression et d’analyse avancées classe l’échantillon comme un logiciel malveillant, un logiciel propre, un PUA ou un PUsA. En raison des risques de sécurité et des exigences matérielles associés aux décompresseurs, ainsi que d’autres procédures incorporées, un environnement haute performance et sécurisé est requis. Cet environnement unique est fourni par l’infrastructure infonuagique robuste et résiliente de ESET LiveGuard Advanced.
Couche 2 : Détection par l'apprentissage automatique avancée
Chaque élément soumis à ESET LiveGuard Advanced subit également une analyse statique par détection d’apprentissage automatique avancée, produisant les caractéristiques de base de l’échantillon. Comme l’analyse de code compressé ou chiffré sans traitement ultérieur ne ferait que tenter de classer le bruit, l’élément soumis subit simultanément une autre analyse plus dynamique qui extrait ses instructions et les gènes de son ADN. En décrivant les fonctionnalités et les comportements actifs d’un échantillon, les caractéristiques malveillantes des objets encapsulés ou obscurcis sont découvertes même sans l’exécuter. Les informations extraites de toutes les étapes précédentes sont traitées par une petite armée de modèles de classification soigneusement choisis et d’algorithmes d’apprentissage profond. Enfin, toutes ces informations sont consolidées au moyen d'un réseau neuronal qui retourne l’un des quatre niveaux de probabilité suivant : malveillant, hautement suspect, suspect et propre. Dans le cas où cette couche ou toute autre couche ESET LiveGuard Advanced n’est pas utilisée, un message « analyse non nécessaire » s’affiche. En raison de la complexité et des exigences matérielles de ces procédures, une infrastructure nettement plus puissante que celle fournie par le point de terminaison d’un utilisateur est nécessaire. Pour gérer les tâches lourdes en calcul, les ingénieurs d'ESET ont conçu un ensemble de systèmes supérieurs et complexes : ESET LiveGuard Advanced.
Couche 3 : Moteur de détection expérimental
Pour analyser davantage chaque échantillon, une analyse plus approfondie et axée sur le comportement est nécessaire pour compléter les résultats précédents. Pour recueillir ce type de renseignements sur les menaces, une autre couche de ESET LiveGuard Advanced entre en jeu : il s'agit du moteur de détection expérimental. Il insère l’élément suspect dans un ensemble de systèmes configurés avec précision qui ressemblent beaucoup à des machines à grande échelle en utilisant divers systèmes d’exploitation : une sorte de « bac à sable sur stéroïdes ». Ces environnements hautement contrôlés servent de cellules de surveillance équipées d’une légion d’algorithmes de détection ESET enregistrant chaque action. Pour identifier les comportements malveillants masqués, le moteur de détection expérimental produit également une grande quantité de vidages de mémoire. Ceux-ci sont ensuite analysés et comparés à la base de données enrichie sur les menaces d’ESET qui intègre des détections non publiées et expérimentales, assurant des résultats de détection très précis et un nombre extrêmement faible de faux positifs. Les renseignements recueillis par le moteur de détection expérimental sont également compilés dans une liste complète des événements détectés par le bac à sable, qui est ensuite utilisé pour une analyse plus approfondie dans la couche de détection finale de ESET LiveGuard Advanced : l'analyse comportementale approfondie.
Couche 4 : Analyse comportementale approfondie
Dans la couche finale de ESET LiveGuard Advanced, connue sous le nom d’analyse comportementale approfondie, toutes les sorties de bac à sable, y compris les fichiers créés ou supprimés sur le disque dur, les entrées ajoutées ou supprimées du Registre système Windows, toutes les tentatives de communication externes et les scripts en cours d’exécution, font l’objet d’une analyse comportementale approfondie. À cette étape, ESET LiveGuard Advanced se concentre sur les actions malveillantes et suspectes telles que les tentatives de connexions à des emplacements Web avec de mauvaises réputations, l’utilisation d’objets malveillants connus et l’utilisation de chaînes uniques générées par des familles de logiciels malveillants particuliers. L’analyse comportementale approfondie divise également les sorties du bac à sable en blocs logiques, qui sont ensuite comparés à une base de données étendue et périodiquement examinée de modèles et de chaînes d’actions précédemment analysés afin d’identifier la moindre indication de comportement malveillant.
Résultat final
ESET LiveGuard Advanced combine tous les verdicts disponibles des couches de détection et évalue l’état de l’échantillon. Le résultat est livré au produit de sécurité ESET de l’utilisateur et à l’infrastructure de son entreprise en premier.
