Как стать автором
Обновить

Комментарии 7

Помоему идет передергивание. Сравнивается поведенческий анализатор, локально работающий на компьютере и облачный анализатор, анализирующий изменение согласно статистики кучи компьютеров. Так надо и сравнивать например с KSN Касперского.
Помоему идет передергивание. Сравнивается поведенческий анализатор, локально работающий на компьютере и облачный анализатор, анализирующий изменение согласно статистики кучи компьютеров.

Нет, передергивания здесь нет.
Тут речь идет не о том, что идет анализ с кучи компьютеров в облаке (это уже давно пройденный этап).

Речь идет о том, что на каждом отдельно взятом компьютере отслеживаются все взаимодействия между процессами, чтобы установить весь жизненный цикл большого вредоносного процесса. Допустим, на ПК попал какой-то файл из Интернета, этот файл запустил 10 разных процессов, каждый из которых тоже может запускать свои процессы. Система отслеживает все взаимосвязи, чтобы устанавливать причинно-следственную связь каждого процесса, таким образом можно четко знать, с чего все началось и что это породило.
Такой контекстный анализ позволяет анализировать весь большой процесс, состоящий из множества подпроцессов, чтобы понимать характер этого большого процесса и при необходимости заблокировать его. Это очень актуально именно для борьбы с неизвестными угрозами.

Стандартные технологии анализируют каждый процесс в отдельности в отрыве от всего большого процесса. Поэтому возможны случаи, когда вся атака может состоять из невредоносных процессов (каждый по отдельности не представляет опасности), хотя в целом у процесса вполне вредоносный характер, например, кража данных.

Аналогично и с шифровальщиками. Бывают разные ситуации:
— пользователь запустил архиватор и заархивировал файлы с паролем
— пользователь через Total Commander (например) запустил архивацию файлов с паролем
— сторонняя программа запустила Total Commander (например), в котором запустила архивацию файлов с паролем
— … другие варианты, где запуску процесса архивации с паролем может предшествовать с десяток итераций, которые могут быть предназначены для маскировки или имитации легального процесса
И в каждой такой ситуации надо правильно понимать, сам ли пользователь запустил архивацию с паролем или это кто-то умело сделал от его лица. Без анализа всего большого процесса очень сложно понимать, что происходит в самом деле.

В статье есть скриншоты и ссылка на демо-консоль. Посмотрите информацию по жизненному циклу тех или иных вредоносных процессов. Там все становится прозрачно с момента проникновения в систему чего-то подозрительного до подробного списка всех действий, которые после этого произошли (и какие из них были заблокированы): попытки обращения к конкретным ip_адресам, попытки записать определенные значения в конкретные ветки реестра, создание/ копирование таких то файлов и пр. Ценная информация для экспертного анализа и выявления слабых мест, включая несанкционированного доступа к файлам с данными.
Так надо и сравнивать например с KSN Касперского.

Для Panda Security это давно пройденный этап.
Аналог KSN Касперского — это наш Коллективный разум, запущенный в коммерческую эксплуатацию в 2007 году.
Когда уже начнут проводить сравнительные тесты Anti-APT решений, все эти тесты должны быть регулярными!
Когда уже начнут проводить сравнительные тесты Anti-APT решений, все эти тесты должны быть регулярными

Очень хороший вопрос.
Пока сложно сказать.
Мы с 2015 года пробовали сподвигнуть некоторые независимые лаборатории на сравнительный анализ, включая наш Adaptive Defense 360.
Почему-то не получилось: есть информация, что лаборатории не смогли привлечь вендоров к такому сравнению.
В последнее время появляется все больше систем якобы с «искуственным интеллектом» в различных сферах. Интересно, кто первый придумает систему которая начнет анализировать системамы и элементы их кода, к примеру, анализируя саму изменчивость (разницу) и на выходе имея аналогичные решения по заданному запросу (готовые программы, которые, становятся более оптимизированными со временем)? В итоге должна получиться операционка, которая дописывает себя «на лету» под запросы пользователей, используя базу элементов различного кода.
кто первый придумает систему которая начнет анализировать системамы и элементы их кода, к примеру, анализируя саму изменчивость (разницу) и на выходе имея аналогичные решения по заданному запросу (готовые программы, которые, становятся более оптимизированными со временем)?

Наверное, это вопрос времени.
Мы пока стараемся с помощью искусственного интеллекта анализировать взаимосвязь всех процессов для определения контекста процессов с целью прогнозирования характера процесса (вредоносный или нет), его последующих действий и направлений атак.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий