Cómo funcionan las capas de detección
ESET LiveGuard Advanced usa 4 capas de detección separadas para garantizar la máxima velocidad de detección. Cada capa usa un enfoque diferente y da su veredicto sobre la muestra. La evaluación final es el resultado de toda la información sobre la muestra. Consulte la descripción general del proceso en el siguiente esquema:
Haga clic en la imagen para ver la imagen de tamaño completo.
Capa 1: Desempaquetado y exploración avanzados
Al acceder a la capa inicial de ESET LiveGuard Advanced (denominada Empaquetado y análisis avanzados), las muestras estáticas se comparan con la base de datos de amenazas de ESET: enriquecida con detecciones experimentales y sin distribuir, así como con una lista completa de elementos no infectados, potencialmente no deseados (PUA) y potencialmente no seguros (PUsA). Con frecuencia, el malware intenta evadir la detección al ocultar un núcleo malicioso detrás de una serie de capas de empaquetado. Por lo tanto, para un análisis adecuado, este revestimiento debe eliminarse. Para lograrlo, ESET LiveGuard Advanced usa el desempaquetado y análisis avanzados con herramientas altamente especializadas basadas en empaquetadores que los investigadores de ESET han encontrado en el código malicioso. Estos desempaquetadores especializados quitan la capa de protección del malware, lo que permite que ESET LiveGuard Advanced compare la muestra de nuevo con la base de datos de amenazas. La capa de desempaquetado y análisis avanzados clasifica la muestra como malware, no infectada, PUA oPUsA. Debido a los riesgos de seguridad y las demandas de hardware asociadas con los desempaquetadores, así como otros procedimientos integrados, se requiere un entorno de gran rendimiento y seguridad. Este entorno único se proporciona gracias a la infraestructura de nube sólida y resistente de ESET LiveGuard Advanced.
Capa 2: Detección de aprendizaje automático avanzado
Cada elemento que se envía a ESET LiveGuard Advanced también se somete a análisis estático mediante la detección de aprendizaje automático avanzado, lo que produce características básicas de la muestra. Dado que el análisis de un código comprimido o cifrado sin procesamiento posterior solo intentaría clasificar el ruido, el elemento enviado se somete simultáneamente a otro análisis (más dinámico) que extrae sus instrucciones y genes de ADN. Al describir las características y los comportamientos activos de una muestra, se descubren las características maliciosas de los objetos empaquetados o complicados, incluso sin ejecutarlos. La información que se extrae de todos los pasos anteriores se procesa posteriormente mediante un pequeño ejército de modelos de clasificación y algoritmos de aprendizaje profundo elegidos cuidadosamente. Finalmente, toda esta información se consolida a través de una red neural que devuelve uno de los cuatro niveles de probabilidad: malicioso, altamente sospechoso, sospechoso y no infectado. Si no se usa esta ni ninguna otra capa de ESET LiveGuard Advanced, se mostrará el mensaje "No se necesita análisis". Dada la complejidad y las exigencias de hardware de estos procedimientos, es necesario contar con una infraestructura mucho más potente que la proporcionada por la terminal del usuario. Para gestionar las tareas de cálculo intensivo, los ingenieros de ESET idearon un conjunto de sistemas superior y complejo: ESET LiveGuard Advanced.
Capa 3: Motor de detección experimental
Para analizar cada muestra en detalle, es necesario un análisis más profundo y centrado en el comportamiento para complementar los resultados anteriores. Para recopilar este tipo de inteligencia sobre amenazas, aparece otra capa de ESET LiveGuard Advanced, específicamente, el motor de detección experimental. Inserta el elemento sospechoso en un conjunto de sistemas configurados con precisión que se asemejan mucho a las máquinas a escala real que usan diversos sistemas operativos, una especie de "sandbox aumentada". Estos entornos altamente controlados sirven como celdas de supervisión equipadas con una legión de algoritmos de detección de ESET que registran todas las acciones. Con el fin de identificar comportamientos maliciosos ocultos, el motor de detección experimental también produce una gran cantidad de volcados de memoria. Posteriormente se analizan y comparan con la base de datos de amenazas enriquecida de ESET, que incorpora detecciones no publicadas y experimentales, lo que garantiza resultados de detección muy precisos y una cantidad extremadamente baja de falsos positivos. La inteligencia recopilada por el motor de detección experimental también se compila en una lista completa de eventos detectados por sandbox, que luego se usa para un análisis más profundo en la capa de detección final de ESET LiveGuard Advanced: Análisis exhaustivo del comportamiento.
Capa 4: Análisis exhaustivo del comportamiento
En la capa final de ESET LiveGuard Advanced, conocida como Análisis exhaustivo del comportamiento, todas las salidas del sandbox (incluidos los archivos creados o eliminados en el disco duro, las entradas agregadas o eliminadas del registro del sistema Windows, todos los intentos de comunicación externa y los scripts que se ejecutan) se someten a un análisis exhaustivo del comportamiento. En esta etapa, ESET LiveGuard Advanced se centra en las acciones maliciosas y sospechosas, como los intentos de conexión a ubicaciones web con mala reputación, el uso de objetos maliciosos conocidos y el uso de cadenas únicas generadas por determinadas familias de malware. El Análisis exhaustivo del comportamiento también divide los resultados del sandbox en bloques lógicos, que luego se comparan con una extensa base de datos (que se revisa de forma periódica) de patrones y cadenas de acciones previamente analizadas para identificar hasta el más mínimo indicio de comportamiento malicioso.
Resultado final
ESET LiveGuard Advanced combina todos los veredictos disponibles de las capas de detección y evalúa el estado de la muestra. El resultado se entrega primero al producto de seguridad ESET del usuario y a la infraestructura de su empresa.