Come funzionano i livelli di rilevamento
ESET LiveGuard Advanced utilizza 4 livelli di rilevamento separati per garantire la frequenza di rilevamento più elevata. Ciascun livello utilizza un approccio diverso e fornisce il proprio risultato sul campione. La valutazione finale è il risultato di tutte le informazioni sul campione. Vedere la panoramica del processo nello schema sottostante:
Fare clic sull’immagine per una visualizzazione a schermo intero.
Livello 1: Decompressione e controllo avanzati
All'inserimento del livello iniziale di ESET LiveGuard Advanced (il cosiddetto livello di decompressione e controllo avanzati), i campioni statici vengono messi a confronto con il database delle minacce di ESET in grado di eseguire rilevamenti sperimentali e ancora da distribuire, nonché in base a un elenco completo di elementi puliti, potenzialmente indesiderati (PUA) e potenzialmente pericolosi (PUsA). I malware tentano spesso di ostacolare il rilevamento nascondendo il proprio nucleo dannoso dietro una serie di livelli di compressione; pertanto, per una corretta analisi, è necessario rimuovere questo tipo di protezione. ESET LiveGuard Advanced utilizza la decompressione e il controllo avanzati a tal fine utilizzando strumenti altamente specializzati basati su eseguibili compressi trovati dai ricercatori ESET nel codice dannoso. Questi programmi di decompressione specializzati annullano il livello di protezione del malware, consentendo a ESET LiveGuard Advanced di trovare una corrispondenza tra il campione e il database delle minacce. Il livello di decompressione e controllo avanzati classifica il campione come malware, pulito, PUA oPUsA. A causa dei rischi di protezione e delle richieste hardware associate agli strumenti di decompressione, nonché ad altre procedure integrate, è necessario un ambiente sicuro e a elevate prestazioni. Questo ambiente esclusivo è fornito dall'infrastruttura cloud robusta e resiliente di ESET LiveGuard Advanced.
Livello 2: Rilevamento Machine Learning avanzato
Ciascun elemento inviato a ESET LiveGuard Advanced è anche soggetto ad analisi statiche mediante il rilevamento apprendimento automatico avanzato, che produce le caratteristiche di base del campione. Poiché l'analisi di codice compresso o crittografato senza ulteriori elaborazioni tenterebbe solo di classificare il suono, la voce inviata viene sottoposta contemporaneamente a un'altra analisi, più dinamica, che estrae le istruzioni e i geni del DNA. Descrivendo le funzioni e i comportamenti attivi di un campione, le caratteristiche dannose degli oggetti compressi oppure offuscati vengono rilevate anche senza eseguirlo. Le informazioni estratte da tutti i passaggi precedenti vengono ulteriormente elaborate da un piccolo gruppo di modelli di classificazione accuratamente selezionati e algoritmi di deep learning. Infine, tutte queste informazioni vengono consolidate attraverso una rete neurale che restituisce uno dei quattro livelli di probabilità: dannoso, altamente sospetto, sospetto e pulito. In caso di inutilizzo di questo o di altri livelli di ESET LiveGuard Advanced, verrà visualizzato il messaggio "analisi non necessaria". A causa della complessità e delle richieste hardware di queste procedure, è necessaria un'infrastruttura significativamente più potente di quella fornita dall'endpoint di un utente. Per gestire le attività che richiedono un utilizzo elevato di risorse, gli ingegneri ESET hanno sviluppato una serie di sistemi di livello superiore e più complessi: ESET LiveGuard Advanced.
Livello 3: Motore di rilevamento sperimentale
Per analizzare ulteriormente ciascun campione, è necessario eseguire un'analisi più approfondita e incentrata sul comportamento per integrare i risultati precedenti. Per raccogliere questo tipo di informazioni sulle minacce, è necessario utilizzare un altro livello di ESET LiveGuard Advanced, ovvero il motore di rilevamento sperimentale. Questo livello inserisce la voce sospetta in una serie di sistemi configurati con precisione che ricordano da vicino le macchine su vasta scala che utilizzano vari sistemi operativi, una sorta di "sandbox sugli steroidi". Questi ambienti altamente controllati fungono da celle di monitoraggio contenenti un gruppo di algoritmi di rilevamento di ESET che monitora ogni azione. Per identificare un comportamento dannoso nascosto, il motore di rilevamento sperimentale genera anche un'ampia quantità di dump di memoria. Questi vengono successivamente analizzati e messi a confronto con il database delle minacce di ESET che integra rilevamenti non pubblicati e sperimentali, garantendo risultati di rilevamento altamente accurati e un numero estremamente basso di falsi positivi. Le informazioni raccolte dal motore di rilevamento sperimentale vengono compilate anche in un elenco completo di eventi rilevati dalla sandbox, che viene quindi utilizzato per ulteriori analisi nel livello di rilevamento finale di ESET LiveGuard Advanced: analisi del comportamento approfondita.
Livello 4: Analisi comportamentale approfondita
Nel livello finale di ESET LiveGuard Advanced, noto con il nome di analisi del comportamento approfondita, tutti gli output della sandbox (compresi i file creati o eliminati sul disco rigido, le voci aggiunte o rimosse dal registro di sistema di Windows, tutti i tentativi di comunicazione esterni e gli script in esecuzione) sono soggetti a un'analisi approfondita del comportamento. In questa fase, ESET LiveGuard Advanced si concentra su azioni dannose e sospette, come tentativi di connessione a siti Web con reputazione non buona, utilizzo di oggetti dannosi noti e utilizzo di stringhe univoche generate da specifiche famiglie di malware. L'analisi del comportamento approfondita suddivide anche gli output della sandbox in blocchi logici, che vengono quindi messi a confronto con un database ampio e periodicamente rivisto di modelli e catene di azioni precedentemente analizzati per identificare anche la minima indicazione di comportamento dannoso.
Risultato finale
ESET LiveGuard Advanced combina tutti i risultati emersi dai livelli di rilevamento e valuta lo stato del campione. Il risultato viene consegnato prima al prodotto di protezione ESET dell'utente e all'infrastruttura aziendale.