Fińska Tarcza Antywirusowa - szczegóły technologii DeepGuard 2.0
Na specjalnie zorganizowanej prezentacji przedstawiciele firmy F-Secure, jednego z czołowych dostawców zabezpieczeń przed wirusami oraz wszelkimi innymi rodzajami zagrożeń z sieci, ujawnili szczegóły technologii wykorzystywanej w najnowszych produktach firmy.
Fińskie rozwiązania korzystają z oceny reputacji działającej w modelu in-the-cloud. Rozwijany przez F-Secure mechanizm nazwany DeepGuard 2.0 łączy lokalną analizę zachowania programów z wykorzystaniem działającej w czasie rzeczywistym sieci ochronnej, wykorzystuje w tym celu potencjał komputerów użytkowników oraz zbiorową inteligencję z sieci.
Sieć ochrony w czasie rzeczywistym F-Secure jest obecnie wykorzystana w mechanizmie DeepGuard 2.0, który został zawarty w konsumenckich pakietach bezpieczeństwa F-Secure Internet Security 2009 oraz F-Secure Anti-Virus 2009, a także w rozwiązaniach przeznaczonych dla firm, jak F-Secure Client Security 8.0 czy Protection Service for Business.
DeepGuard określany również jak HIPS – Host Intrusion Prevention System działa poprzez wykonywanie serii analiz aplikacji działających w systemie Windows, które są uruchamiane w celu nie tylko sprawdzenia, jak wyglądają, ale co bardziej istotne, w jaki sposób się zachowują. Analiza behawioralna systemu DeepGuard składa się z dwóch głównych komponentów. Są to:
– Silnik Gemini – mechanizm heurystyczny wykonujący statyczne sprawdzenie pliku. Poszukuje cech powszechnych pośród aplikacji złośliwych. Np. czy plik jest spakowany, nie ma odpowiedniego podpisu cyfrowego itd. Pegasus – wirtualne środowisko (SandBox1).
– Pegasus uruchamia plik wewnątrz tego środowiska i analizuje jego działanie bez niebezpieczeństwa dla normalnego środowiska Windows.
DeepGuard 2.0 NHIPS –Network HIPS, może być traktowany jako 3. silnik dla HIPS ( DeepGuard pierwszej generacji). Gdy działa (niezbędne jest połączenie sieciowe) sprawdza przed Pegasusem i Gemini. Jeśli NHIPS daje wynik pozytywny lub negatywny, pozostałe silniki już nie skanują aplikacji. Technologia DeepGuard 2.0 zwalcza nowe i nieznane jeszcze złośliwe aplikacje. W ramach aktywnej ochrony wysyła zapytania dotyczące nieznanych aplikacji przez sieć do serwerów analizujących sytuację w internecie w czasie rzeczywistym.
DeepGuard 2.0 zmniejsza czas reakcji na podejrzane aplikacje do zaledwie kilku sekund. Rozpoznaje błyskawicznie zarówno bezpieczne jak i szkodliwe oprogramowanie. Eliminuje w ten sposób zjawisko False Positive (fałszywe alarmy, kiedy prawidłowy program wykrywany jest jako złośliwy) i ogranicza konieczność podejmowania decyzji przez użytkownika. Unikalna, działająca w czasie rzeczywistym sieć sprawdza reputację plików wykonywalnych i blokuje je lub pozwala na ich uruchomienie. Dzięki tej technologii użytkownicy produktów F-Secure są zabezpieczeni już w 60 sekund od pierwszego potwierdzenia nowego zagrożenia.
Źródło: F-secure
