Handtekeningdatabases hebben onze computers jarenlang effectief beschermd. Met de komst van steeds meer bedreigingen hebben antivirusbedrijven hun vindingrijkheid moeten verdubbelen om met onbekende en onvoorspelbare malware om te gaan. Gedragsanalyse gaat verder door het systeem te monitoren om verdachte acties bij de bron te blokkeren. Laten we een korte rondleiding volgen om te begrijpen hoe een virus wordt gedetecteerd en waartegen een antivirusprogramma u beschermt.
Heuristische of gedragsanalyse: twee kanten van geavanceerde bescherming
Samenvatting van eerdere afleveringen: in het begin was het virus. De eerste malware is niet erg wijdverspreid en gemakkelijk te identificeren, en kan (en kan nog steeds) worden gedetecteerd aan de hand van hun handtekening, een reeks opeenvolgende bytes waarmee ze kunnen worden herkend. Deze handtekeningen worden regelmatig bijgewerkt en kunnen daarom alleen bekende bedreigingen detecteren.Dit was geen probleem totdat de dreigingen zich vermenigvuldigden, in aantallen die veel te groot waren om optimaal te kunnen reageren. Vandaar de noodzaak om bescherming te bieden die niet alleen reageert op een bekend virus, maar die de kwaadaardige aard ervan kan voorspellen door zijn gedrag te analyseren.
Twee methoden bieden deze mogelijkheid. De eerste is heuristische analyse, die bestaat uit het doorzoeken van software, ofwel door de broncode te "decompileren", of door deze op een virtuele machine uit te voeren. We detecteren vervolgens of het acties uitvoert die verdacht kunnen zijn, of we vergelijken de structuur van de code met die van reeds geïdentificeerde bedreigingen of met potentieel gevaarlijke gedragspatronen.
Gedragsanalyse is op het niveau van het systeem zelf. Het is geen bestand dat we controleren door het door een scanner of een sandbox te sturen, het is het besturingssysteem als geheel. Gedragsbescherming observeert systeemactiviteit (Windows, Android, MacOS, enz.) En herkent acties die kwaadaardig lijken, zoals verzoeken aan een onbekende server, bestandswijzigingen of verzoeken om toegang tot locaties in de geheugen.
De twee methoden bestaan naast elkaar en vullen elkaar aan. Heuristieken kunnen bijvoorbeeld zijn beperkingen hebben, aangezien veel recente bedreigingen bescherming tegen emulators omvatten. Op dit moment kan alleen de daadwerkelijke uitvoering van het bestand het verraden.
Ransomware, stealth-aanvallen: gedragsanalyse als bolwerk
Gedragsanalyse, gericht op het systeem en niet alleen op bestanden, is een bolwerk tegen meer schadelijke aanvallen, zoals "drive-by downloads", geactiveerd door code die in een webbrowser wordt uitgevoerd.
In de familie van recente bedreigingen die in het bijzonder schade hebben veroorzaakt, is ransomware of "ransomware" doorgaans het type aanval waarbij gedragsbescherming een sleutelrol speelt. Ransomware is ontstaan uit de mutatie van cybercriminaliteit. In de dagen van de eerste virussen was het verlies van persoonlijke bestanden de meest voorkomende angst. Maar wat heeft het voor zin documenten te vernietigen die u dierbaar zijn? Schade aan de gebruiker of het bedrijf natuurlijk. Waarom gijzelen ze in plaats daarvan niet in een poging dat te doen?een financiële vergoeding krijgen?
Dit is wat ransomware doet. Ze vallen uw persoonlijke bestanden aan en passen er een coderingsalgoritme op toe om ze ontoegankelijk te maken. Betaal het losgeld en je hebt de sleutel. In de praktijk is dit niet eens gegarandeerd.
Hier kan gedragsanalyse deze abnormale veranderingen detecteren, deze bewerkingen blokkeren en, indien nodig, de bestanden herstellen naar hun vorige versie.
Grenzen en evoluties
Gedragsscanning stuit bij elk type virusscan op het grootste probleem: false positives. Ongebruikelijke systeembediening kan gewoon onconventioneel zijn zonder noodzakelijkerwijs schadelijk te zijn.Modules voor gedragsanalyse zijn echter ook in ontwikkeling en zijn ideaal voor een van de recente trends: machine learning. Met progressief leren maken beveiligingsoplossingen steeds meer gebruik van neurale netwerken om legitieme acties te onderscheiden van verdachte.
Een andere valkuil komt in ruil voor de effectiviteit van dit soort analyses. Het monitoren van het gedrag van een besturingssysteem kan arbeidsintensief zijn en mogelijk zware taken vertragen. Dit is echter de prijs die moet worden betaald om te profiteren van een effectievere beschermingslaag tegen de verspreiding van online bedreigingen.
