Como as camadas de detecção funcionam
O ESET LiveGuard Advanced usa 4 camadas de detecção separadas para garantir a maior taxa de detecção. Cada camada usa uma abordagem diferente e dá seu veredito sobre a amostra. A avaliação final é o resultado de todas as informações sobre a amostra. Veja a visão geral do processo no esquema abaixo:
Clique na imagem para uma imagem em tamanho real.
Camada 1: Descompactação e escaneamento avançado
Ao entrar na camada inicial do ESET LiveGuard Advanced, chamada de Camada avançada de descompactação e escaneamento, as amostras estáticas são combinadas com o banco de dados de ameaças da ESET: enriquecido com detecções experimentais e ainda não distribuídas, assim como contra uma lista abrangente de itens limpos, potencialmente indesejados (PUA) e potencialmente inseguros (PUsA). O malware muitas vezes tenta impedir a detecção ao ocultar seu núcleo malicioso atrás de uma gama de camadas de compactação, portanto, para uma análise adequada, essas camadas precisam ser removidas. O ESET LiveGuard Advanced usa a Descompactação e escaneamento avançado para isso, utilizando ferramentas altamente especializadas com base em empacotadores que os pesquisadores da ESET descobriram no código malicioso. Esses descompactadores especializados retiram a camada de proteção do malware, permitindo ao ESET LiveGuard Advanced fazer a correspondência da amostra com o banco de dados de ameaças enriquecido mais uma vez. A camada Avançada de descompactação e escaneamento classifica a amostra como malware, limpo, PUA ou PUsA. Devido a riscos de segurança e demandas de hardware associadas com os descompactadores e com outros procedimentos incorporados, é preciso ter um ambiente de alto desempenho e segurança. Este ambiente único é fornecido pela infraestrutura robusta e robusta de nuvem do ESET LiveGuard Advanced.
Camada 2: Detecção de Machine Learning avançada
Cada item enviado ao ESET LiveGuard Advanced também está sujeito à análise estática através da detecção de Machine Learning avançado, produzindo características básicas da amostra. Como analisar um código compactado ou criptografado sem nenhum processamento posterior iria apenas tentar classificar o produto, o item enviado passa simultaneamente por outra análise mais dinâmica que extrai suas instruções e genes de DNA. Ao descrevendo os recursos e comportamentos ativos de uma amostra, características maliciosas de objetos empacotados ou ofuscados são descobertas mesmo sem serem executadas. As informações extraídas de todas as etapas anteriores são processadas ainda mais por um pequeno grupo de modelos de classificação e algoritmos de aprendizado profundo escolhidos cuidadosamente. Finalmente, todas essas informações são consolidadas através de uma rede neural que retorna um de quatro níveis de probabilidade: maliciosos, altamente suspeito, suspeito e limpos. Caso essa ou qualquer outra camada do ESET LiveGuard Advanced não seja usada, uma mensagem "análise não necessária" será exibida. Devido à complexidade e demandas de hardware desses procedimentos, é preciso ter uma infraestrutura significativamente mais poderosa do que a fornecida pelo endpoint de um usuário. Para lidar com tarefas pesadas de computação, os engenheiros da ESET criaram um conjunto superior e complexo de sistemas: o ESET LiveGuard Advanced.
Camada 3: Mecanismo de detecção experimental
Para analisar ainda mais cada amostra, é preciso fazer uma análise mais profunda e focada no comportamento para complementar a descoberta anterior. Para coletar esse tipo de inteligência de ameaça, temos outra camada entra do ESET LiveGuard Advanced: o Mecanismo de detecção experimental. Ele insere o item suspeito em um conjunto de sistemas configurados com precisão que lembram muito máquinas em escala completa usando vários sistemas operacionais, um tipo de "sandbox turbinado". Esses ambientes altamente controlados servem como células de monitoramento que contam com uma legião de algoritmos de detecção da ESET registrando todas as ações. Para identificar o comportamento malicioso oculto, o Mecanismo de detecção experimental também produz uma grande quantidade de despejos de memória. Eles são, posteriormente, escaneados e correspondidos ao banco de dados de ameaças enriquecido da ESET, que integra detecções não publicadas e experimentais, garantindo resultados de detecção altamente precisos e um número extremamente baixo de falsos positivos. A inteligência coletada pelo Mecanismo de detecção experimental também é compilada em uma lista abrangente de eventos detectados pela sandbox, que então é usada para análise posterior na camada de detecção final do ESET LiveGuard Advanced – Análise comportamental aprofundada.
Camada 4: Análise comportamental aprofundada
Na camada final do ESET LiveGuard Advanced, conhecida como Análise comportamental aprofundada, todos os resultados da sandbox – incluindo arquivos criados ou excluídos no disco rígido, entradas adicionadas ou removidas do registro do sistema Windows, todas as tentativas de comunicação externa e scripts que estão sendo executados – estão sujeitos a uma análise comportamental completa. Neste estágio, o foco do ESET LiveGuard Advanced é em ações maliciosas e suspeitas, como tentativas de conexões a locais da web com reputação ruim, uso de objetos conhecidos por serem maliciosos e uso de strings únicas geradas por famílias de malware em particular. A Análise comportamental aprofundada também divide as saídas de sandbox em blocos lógicos, que então são combinados com um banco de dados extensivo e revisado periodicamente de padrões analisados anteriormente e cadeias de ações para identificar até mesmo a menor indicação de comportamento malicioso.
Resultado final
O ESET LiveGuard Advanced combina todos os vereditos disponíveis das camadas de detecção e avalia o status da amostra. O resultado é entregue primeiro ao produto de segurança ESET do usuário e à infraestrutura de sua empresa.
