Deze pagina als e-mailbericht verzenden Deze pagina afdrukken Laat ons uw mening weten
Panda Security » about » Technologische mijlpalen

Technologische mijlpalen


Eerste generatie: Antivirus Tweede generatie: anti-malware Derde generatie:
proactieve technologieën		 Collective Intelligence:
De volgende generatie



De eerste generatie: antivirus

De eerste generatie van antivirusproducten was volledig gebaseerd op detectie op basis van virussignaturen.

Deze generatie besloeg het grootste gedeelte van de jaren negentig en omvatte polymorfische engines en standaardheuristiek op basis van regels en later scripts voor MS-DOS en Win32-systemen en macro´s. Deze periode werd eveneens gekenmerkt door de introductie van de eerste op brede schaal ingezette Trojaanse paarden voor win32-systemen, zoals NetBus en BackOrifice.

De tweede generatie: anti-malware

In 2000 staken er nieuwe vormen van malware de kop op. Bestandsloze netwerkwormen en vormen van spyware betraden het toneel en veroorzaakte grootschalige, uiterst zichtbare epidemieën.

Standaard antivirus-engines werden uitgerust met firewalls om netwerkwormen te kunnen identificeren en een halt toe te roepen met behulp van pakketsignaturen en systeemreinigers om instellingen van besturingssystemen te herstellen, zoals door malware gewijzigde registeringangen, HOST-bestanden, Browser Helper Objects, etc. Tijdens de tweede technologische generatie integreerde Panda Software de SmartClean-functionaliteit in zijn anti-malware-engine om besturingssystemen te kunnen desinfecteren en herstellen nadat deze waren geïnfecteerd met spyware of een Trojaans paard.

De derde generatie: proactieve technologie

TruPrevent

In 2004 introduceerde Panda na meer dan drie jaar intensief onderzoek en ontwikkeling de gedragsgebaseerde TruPrevent-technologie.

Sindsdien heeft TruPrevent zich ontwikkeld tot een reeks van gedragstechnologieën die aanzienlijk effectiever in het proactief blokkeren van zeroday-malware dan alle voorgaande initiatieven op dit gebied, en niet langer afhankelijk zijn van virussignaturen. TruPrevent wordt voortdurend aangepast aan nieuwe malware-technieken en pogingen om misbruik te maken van kwetsbaarheden. TruPrevent was bovenop de anti-malware-engine gebouwd. Momenteel draait TruPrevent op meer dan 5 miljoen computers. Al deze computers functioneren als lokazen voor malware met een hoge mate van interactie. Alle nieuwe malware-fragmenten die TruPrevent als verdacht aanmerkt en niet door reguliere antivirus-signaturen worden gedetecteerd, worden aan PandaLabs gerapporteerd.

Vanuit technisch oogpunt bestaat TruPrevent uit twee basistechnologieën: gedragsanalyse (link) en gedragsblokkering (link).

    Gedragsanalyse

    Gedragsanalyse fungeert als de laatste verdedigingslinie tegen nieuwe malware die op de machine wordt uitgevoerd nadat deze langs signaturen, heuristiek en gedragsblokkade is geglipt. Proteus onderschept tijdens de runtime de bewerkingen en API-calls die door elk programma worden gemaakt en brengt deze met elkaar in verband alvorens hen toestemming te geven om volledig te worden uitgevoerd. Deze real-time samenhang resulteert in processen die louter op basis van hun gedrag toestemming krijgen om al dan niet te worden uitgevoerd.

    In tegenstelling tot andere gedragsgebaseerde technologieën heeft deze technologie een autonoom karakter. Er worden geen technische vragen aan de eindgebruiker gesteld zoals Wilt u proces xyz toestemming geven om een thread toe te voegen aan explorer.exe toe of aan geheugenadres abc?". Voor deze technologie zijn geen updates van signaturen vereist, aangezien deze volledig op het gedrag van toepassingen is gebaseerd. Een bot zou geen bot zijn als deze zich niet als zodanig zou gedragen, maar zodra het dit doet, zal deze ongeacht zijn naam of vorm door onze technologie worden gedetecteerd.

    Gedragsblokkering

    De tweede technologische component is TruPrevent Behavior Blocking. Hackers en malware maken misbruik van de rechten van legitieme toepassingen om computers aan te vallen door ze met hun code te injecteren. Om dergelijke aanvallen te voorkomen, is het doorgaans uiterst kostenefficiënt om gebruik te maken van op regels gebaseerde blokkadetechnologie waarmee de bewerkingen die legitieme toepassingen op de computer kunnen uitvoeren, aan banden te leggen.

    KRE omvat een reeks van beleidsregels die op hun beurt bestaan uit een verzameling regels die toegestane en ongewenste handelingen voor een bepaalde toepassing of groep van toepassingen definiëren. Er kunnen regels worden ingesteld om de toegang van een toepassing tot bestanden, gebruikersaccounts, het register, COM-objecten, Windows-services en netwerkbronnen te regelen.

Genetic Heuristic Engine

“Genetische” technologie is geïnspireerd door de biologische discipline genetica. Deze discipline heeft ten doel om inzicht te bieden in de manier waarop afzonderlijke organismen kunnen worden geïdentificeerd en in relatie met andere organismen kunnen worden gebracht. Deze technologie is gebaseerd op de verwerking en interpretatie van "digitale genen", die in ons geval worden vertegenwoordigd door ettelijke honderden eigenschappen van elk bestand dat wordt gescand.

De Genetic Heuristic Engine werd voor het eerst geïntroduceerd in 2005. De doelstelling van de GHE is om de genetische kenmerken van bestanden met elkaar in verband te brengen op basis van een in eigen beheer ontwikkeld algoritme. De genetische kenmerken bepalen het potentieel van de software om kwaadwillende of onschuldige bewerkingen uit te voeren wanneer deze op een computer wordt uitgevoerd. De Genetic Heuristic Engine is in staat om vast te stellen of een bestand onschuldig is of een worm, spyware, Trojaans paard, virus, enzovoort.

Collective Intelligence: de volgende generatie.

Momenteel wordt er meer dan 10 keer zoveel malware verspreid dan twee jaar geleden. De onvermijdelijke conclusie is dat een beveiligingsoplossing in staat moet zijn om 10 keer zoveel malware te detecteren om gebruikers op adequate wijze te kunnen beschermen. Hoewel een uitgebreide HIPS-oplossing de lat aanzienlijk hoger legt door de meeste van dergelijke vormen van malware te detecteren en te blokkeren met behulp van proactieve technologieën, is het nog steeds mogelijk dat onbekende malware erin slaagt om langs de verdedigingslinie te glippen.

De Collective Intelligence-aanpak werd voor het eerst geïntroduceerd in beperkte pilotprojecten die tegen het einde van 2006 werden uitgevoerd. Deze projecten hadden ten doel om na ge gaan of het mogelijk is om “10 keer meer te detecteren dan we momenteel detecteren, met 10 keer minder inspanning”.

De pijlers van dit nieuwe systeem zijn:

  • Het verzamelen van gegevens vanuit de gemeenschap van gebruikers. Het systeem verzamelt vanaf een centrale locatie gedragspatronen van programma’s, bestandssporen, nieuwe malware-fragmenten enzovoort. Deze gegevens zijn afkomstig van Panda-gebruikers en van andere bedrijven en partners. Het vermogen om op brede schaal informatie te verzamelen biedt beter inzicht in de bedreigingen die momenteel op internet te vinden zijn.

  • Geautomatiseerde gegevensverwerking. Het systeem analyseert de duizenden nieuwe fragmenten die elke dag worden ontvangen en deelt deze in categorieën in. Voor dit doel worden de gegevens die van de gemeenschap van gebruikers worden ontvangen door een geavanceerd systeem afgezet tegen de uitgebreide malware-kennisbank van PandaLabs. Het systeem velt automatisch een oordeel (malware of goodware) over de nieuwe bestanden die van de gemeenschap zijn ontvangen, zodat de taken die PandaLabs handmatig moet uitvoeren tot een minimum worden beperkt.

  • Beschikbaar stellen van de opgedane inzichten. De kennis met betrekking tot nieuwe malware wordt aan gebruikers beschikbaar gesteld in de vorm van web services of updates van signatuurbestanden.

    We hebben reeds een aantal services ontwikkeld en geïmplementeerd die louter op basis van het Collective Intelligence-platform werken. Deze online diensten voeren uitgebreide scans op computers uit en zijn in staat om malware te detecteren die niet door de geïnstalleerde beveiligingsoplossingen werd opgepikt.

    Voor consumenten en standalone pc’s gebruiken we NanoScan, dat op de aanwezigheid van in het geheugen uitgevoerde malware scant, en TotalScan, dat een volledige systeemscan uitvoert op de volledige pc, inclusief de harde schijf, het geheugen, e-maildatabases enzovoort.

    Wat bedrijven betreft worden er hoge eisen gesteld aan het uitvoeren van een uitgebreide malware-controle. Om deze reden hebben we speciaal voor dit doel een managed service ontwikkeld die naar de naam Malware Radar luistert. Met behulp van deze service kunnen bedrijven op snelle wijze een volledige controle van al hun netwerkeindpunten uitvoeren om hun beveiligingsstatus te controleren, niet-gedetecteerde infectiebronnen te identificeren en achterhalen of de computers van managers en directieleden identificeren en computers van managers en directieleden ten prooi zijn gevallen aan doelgerichte aanvallen.