Sangfor Engine Zero
Cos'è Engine Zero?
Contesto
Il software dannoso o malware si occupa di danneggiare dati, dispositivi e persone. Virus, worm e spyware sono tutte varianti di una minaccia molto pericolosa e in rapida crescita per la tua sicurezza e quella della tua azienda. Negli ultimi anni la maggior parte degli attacchi devastanti è stata sferrata utilizzando i famosi programmi Ransomware e Cryptojacking, che costano milioni.
Il malware è eccellente nel suo lavoro e tu devi essere eccellente nel tuo per difenderti da esso. I sistemi di sicurezza tradizionali e gli antivirus riescono a identificare le firme esistenti, ma non sono in grado di contrastare le minacce più recenti, altamente malleabili e dannose. Gli hacker spesso si limitano a creare nuove varianti di malware esistenti o a sfruttare efficaci tecniche zero-day contro di te e la tua azienda. Come difendersi da questa minaccia in costante evoluzione? Devi evolverti.
Overview dell'innovazione
La tecnologia dell'Intelligenza Artificiale ha permesso a Sangfor di sviluppare un proprio motore di rilevamento malware interno per difendersi dalle minacce note e sconosciute. Il nostro team dedicato alla R&S e alla Sicurezza, composto da data scientist, analisti di sicurezza e ricercatori etici, sviluppa e migliora continuamente questo motore in combinazione con uno dei più interessanti progressi tecnologici del nostro tempo: l'IA.
"Engine Zero" è stato creato per garantire che zero minacce colpiscano la tua rete e per darti una protezione completa ed esaustiva contro le vulnerabilità zero-day. Engine Zero è solo uno dei tanti motori di ispezione malware integrati nelle soluzioni di sicurezza di rete, nelle soluzioni end point e nella piattaforma cloud Neural-X di Sangfor.
Approcci tradizionali
Rilevamento basato sulla firma
Spesso utilizzati dai fornitori di antivirus tradizionali, gli hash (MD5) di tutti i file dannosi noti vengono calcolati e memorizzati in un database antivirus. Ogni volta che un file sospetto viene ispezionato, il suo MD5 viene calcolato e poi confrontato con gli altri file presenti nel database AV. Sebbene questo metodo sia efficace, veloce e collaudato dal settore, richiede la manutenzione quotidiana di un enorme database di campioni di malware noti, spesso centinaia di megabyte, e aggiornamenti quotidiani degli endpoint. Nonostante questa costante vigilanza sia ancora preziosa ed efficace per combattere il malware noto, è comunque inefficace contro il malware sconosciuto e le varianti in rapida evoluzione.
Motore di script di tipo YARA
Questo script esamina i file/directory sospetti e abbina le stringhe definite nelle regole YARA al file. L'approccio YARA svolge un lavoro migliore rispetto all'AV in termini di copertura di un maggior numero di famiglie di malware, ma non è ancora in grado di rilevare quelli di nuova creazione.
Esecuzione virtuale/Sandboxing
L'esecuzione virtuale e il sandboxing sono il processo di detonazione del malware all'interno di un ambiente virtuale controllato e il monitoraggio del comportamento post-esecuzione. La natura del malware presenta diverse sfide a questo metodo. Il malware sta diventando sufficientemente intelligente da riconoscere quando si trova in un ambiente sandbox e impara a evitarli in futuro se il sandbox non è invisibile (e di solito, non lo sono). L'altra sfida del sandboxing è che richiede molto tempo per l'ispezione e spesso non è ampiamente implementato in tutte le parti della rete o addirittura in molte organizzazioni, permettendo al malware di aggirarlo.
Come funziona
Progettato da decine di dottori di ricerca, scienziati, analisti della sicurezza e hacker etici, Engine Zero esamina l'intero file sospetto, classificando i risultati in diverse caratteristiche. Tutti concordano sul fatto che l'apprendimento automatico sta potenziando il modo in cui ci proteggiamo e anche il modo in cui la tecnologia continuerà a crescere, ed Engine Zero impiega diverse di queste tecniche efficaci e sorprendenti.
Basandosi su anni di diligente ricerca sulle caratteristiche delle minacce informatiche, Sangfor ha sviluppato un modello di apprendimento supervisionato. Per addestrare e garantire l'accuratezza di questo modello, abbiamo poi applicato decine di milioni di campioni di malware, utilizzando al contempo funzionalità avanzate di Intelligenza Artificiale per consentire ai nostri motori di funzionare e imparare da soli, ampliando la nostra capacità di scoprire malware sconosciuti e le relative famiglie.
Engine Zero non è l'unica linea di difesa all'interno del portafoglio di sicurezza di Sangfor, che comprende gateway di rete, protezioni per gli endpoint e sicurezza basata su cloud come servizio. Altre linee di difesa, tra cui le informazioni sulle minacce, il sandboxing e le capacità di rilevamento delle botnet, lavorano tutte in sinergia per fornire una copertura completa per il rilevamento delle minacce informatiche.
Vantaggi di Engine Zero
- Preciso: in test recenti il nostro tasso di rilevamento del malware ha ottenuto il punteggio più alto in termini di accuratezza, superando altri fornitori e alternative open source.
- Veloce: questo motore è molto efficiente e utilizza pochissime risorse. Solo una tale efficienza può fornire l'ispezione del malware sul gateway di rete con un impatto minimo sulle prestazioni.
- Copertura: copertura degli attacchi noti e zero-day. Il nostro motore, rilasciato nel giugno 2017, ha dimostrato di essere in grado di rilevare malware di alto profilo come il ransomware BadRabbit, visto per la prima volta nell'ottobre 2017, senza alcuna firma precedente.
Validazione di Engine Zero: protezione senza pari contro il ransomware
Mentre gli aggressori motivati dal denaro sviluppano e distribuiscono ransomware sempre più sofisticati, la capacità avanzata dell'IA di Engine Zero si è dimostrata altamente efficace contro di essi. Più alto è il nostro tasso di successo, più gli hacker devono impegnarsi per creare strumenti con armi diffuse che siano unici o variazioni di malware noti.
Clicca qui per saperne di più sulla storia e sull'evoluzione del ransomware.
Engine Zero e Ransomware
La formazione supervisionata e l'Intelligenza Artificiale di Engine Zero si sono dimostrate la migliore difesa contro il ransomware, offrendo:
- Adattabilità: ha dimostrato di offrire la migliore copertura per i ransomware noti e sconosciuti anche senza una precedente formazione (esempio: BadRabbit).
- Precisione: in 60.000 test recenti su campioni di ransomware, Engine Zero ha ottenuto il punteggio più alto tra le soluzioni simili.
- Velocità: i clienti che utilizzano il nostro firewall di nuova generazione (NGAF) possono utilizzare Engine Zero per rilevare il ransomware alla velocità di linea.