Sangfor Engine Zero
Engine Zero là gì?
Bối cảnh
Phần mềm độc hại hoặc Malware là những phần mềm gây hại cho dữ liệu, thiết bị và con người. Virus, sâu và phần mềm gián điệp đều là những biến thể của mối đe dọa rất nguy hiểm và phát triển nhanh chóng đối với sự an toàn của bạn và doanh nghiệp của bạn. Trong những năm gần đây, phần lớn các cuộc tấn công tàn khốc đều được phát động bằng các chương trình Ransomware và Cryptojacking khét tiếng có giá hàng triệu đô la.
Phần mềm độc hại rất giỏi trong công việc của mình – và bạn cần phải giỏi trong công việc của mình để chống lại nó. Các hệ thống bảo mật và phần mềm diệt vi-rút truyền thống có thể xác định các chữ ký hiện có nhưng không có khả năng chống lại các mối đe dọa dễ thay đổi và độc hại mới hơn. Tin tặc thường chỉ tạo ra các biến thể mới của phần mềm độc hại hiện có hoặc sử dụng các kỹ thuật zero-day hiệu quả để chống lại bạn và doanh nghiệp của bạn. Làm thế nào để bạn chống lại mối đe dọa liên tục phát triển này? Bạn cần phải tiến hóa.
Tổng quan về đổi mới
Công nghệ Trí tuệ nhân tạo đã trao quyền cho Sangfor phát triển công cụ phát hiện phần mềm độc hại nội bộ của riêng mình để chống lại các mối đe dọa đã biết và chưa biết. Nhóm R&D và Bảo mật tận tụy của chúng tôi - bao gồm các nhà khoa học dữ liệu, nhà phân tích bảo mật và nhà nghiên cứu mũ trắng, liên tục phát triển và cải tiến công cụ này kết hợp với một trong những tiến bộ công nghệ thú vị nhất hiện nay - AI.
“Engine Zero” được tạo ra để đảm bảo rằng không có mối đe dọa nào ảnh hưởng đến mạng của bạn và cung cấp cho bạn khả năng bảo vệ toàn diện và toàn diện trước các lỗ hổng zero-day. Engine Zero chỉ là một trong nhiều công cụ kiểm tra phần mềm độc hại được nhúng trong các giải pháp bảo mật mạng, giải pháp điểm cuối và nền tảng đám mây Neural-X của Sangfor.
Các phương pháp tiếp cận truyền thống
Phát hiện dựa trên chữ ký
Thường được các nhà cung cấp phần mềm diệt vi-rút truyền thống sử dụng, hàm băm (MD5) của tất cả các tệp độc hại đã biết được tính toán và lưu trữ trong cơ sở dữ liệu phần mềm diệt vi-rút. Mỗi lần kiểm tra một tệp đáng ngờ, MD5 của tệp đó được tính toán và sau đó so sánh với các tệp khác có trong cơ sở dữ liệu AV. Mặc dù phương pháp này hiệu quả, nhanh chóng và đã được thử nghiệm trong ngành, nhưng nó đòi hỏi phải bảo trì hàng ngày một cơ sở dữ liệu khổng lồ gồm các mẫu phần mềm độc hại đã biết, thường là hàng trăm megabyte và cập nhật điểm cuối hàng ngày. Mặc dù việc duy trì sự cảnh giác liên tục này vẫn có giá trị và hiệu quả trong việc chống lại phần mềm độc hại đã biết, nhưng nó vẫn không hiệu quả đối với phần mềm độc hại và các biến thể phần mềm độc hại đang phát triển nhanh chóng.
YARA Type Script Engine
Tập lệnh này kiểm tra các tệp/thư mục bị nghi ngờ và khớp các chuỗi khi chúng được xác định trong các quy tắc YARA với tệp. Phương pháp YARA thực hiện tốt hơn AV về khả năng bao phủ nhiều họ phần mềm độc hại hơn nhưng vẫn chưa phát hiện được phần mềm độc hại mới tạo.
Thực thi ảo/Hộp cát
Thực thi ảo và hộp cát là quá trình kích nổ phần mềm độc hại trong môi trường ảo được kiểm soát và theo dõi hành vi sau khi thực thi. Bản chất của phần mềm độc hại đặt ra một số thách thức đối với phương pháp này. Phần mềm độc hại đang trở nên đủ thông minh để nhận ra khi nào nó ở trong môi trường hộp cát và học cách tránh chúng trong tương lai nếu hộp cát không vô hình (và chúng thường không vô hình). Một thách thức khác với hộp cát là mất nhiều thời gian để kiểm tra và thường không được triển khai rộng rãi ở tất cả các phần của mạng hoặc thậm chí ở nhiều tổ chức, cho phép phần mềm độc hại vượt qua nó.
Nó hoạt động như thế nào
Được thiết kế bởi hàng chục Tiến sĩ, nhà khoa học, nhà phân tích bảo mật và tin tặc mũ trắng, Engine Zero sẽ sàng lọc toàn bộ tệp bị nghi ngờ, phân loại các phát hiện của nó thành nhiều tính năng. Tất cả đều đồng ý rằng máy học đang thúc đẩy cách chúng ta tự bảo vệ mình và cũng như cách công nghệ sẽ tiếp tục phát triển và Engine Zero sử dụng một số kỹ thuật hiệu quả và gây kinh ngạc này.
Dựa trên nhiều năm nghiên cứu bảo mật cần mẫn về các đặc điểm của phần mềm độc hại, Sangfor đã phát triển một mô hình học có giám sát. Để đào tạo và đảm bảo tính chính xác của mô hình này, sau đó chúng tôi đã áp dụng hàng chục triệu mẫu phần mềm độc hại trong khi sử dụng các khả năng Trí tuệ nhân tạo tiên tiến để cho phép các công cụ của chúng tôi chạy và tự đào tạo, mở rộng khả năng phát hiện phần mềm độc hại chưa biết và các họ của chúng.
Engine Zero không phải là tuyến phòng thủ duy nhất trong danh mục bảo mật của Sangfor, bao gồm cổng mạng, bảo vệ điểm cuối và bảo mật dựa trên đám mây dưới dạng dịch vụ. Các biện pháp phòng thủ khác bao gồm tình báo mối đe dọa, hộp cát và khả năng phát hiện botnet đều hoạt động phối hợp để cung cấp phạm vi bảo vệ toàn diện cho việc phát hiện phần mềm độc hại.
Ưu điểm của Engine Zero
Chính xác: Trong các thử nghiệm gần đây, tỷ lệ phát hiện phần mềm độc hại của chúng tôi đạt điểm cao nhất về độ chính xác, vượt qua các nhà cung cấp khác và các lựa chọn mã nguồn mở.
Nhanh chóng: Động cơ này rất hiệu quả và sử dụng rất ít tài nguyên. Chỉ có sự hiệu quả như vậy mới có thể cung cấp kiểm tra phần mềm độc hại trên cổng mạng với tác động hiệu suất rất nhỏ.
Phạm vi: Bao phủ các cuộc tấn công đã biết và zero-day. Động cơ của chúng tôi được phát hành vào tháng 6 năm 2017 đã chứng minh khả năng phát hiện phần mềm độc hại nổi tiếng như ransomware BadRabbit, lần đầu tiên xuất hiện vào tháng 10 năm 2017, mà không cần bất kỳ chữ ký trước đó nào.
Xác thực Engine Zero: Bảo vệ vô song cho ransomware
Trong khi những kẻ tấn công động cơ tiền đã phát triển và triển khai ngày càng nhiều ransomware tinh vi hơn, khả năng AI tiên tiến của Engine Zero đã chứng minh hiệu quả cao chống lại nó. Tỷ lệ thành công của chúng tôi càng cao, những kẻ hacker cần phải làm việc chăm chỉ hơn để tạo ra các công cụ vũ khí độc hại phổ biến mà là duy nhất hoặc biến thể trên phần mềm độc hại đã biết.
Nhấp vào đây để tìm hiểu thêm về lịch sử & sự phát triển của ransomware.
Engine Zero và Ransomware
Đào tạo có giám sát và trí tuệ nhân tạo của Engine Zero đã chứng minh là phương pháp phòng thủ tốt nhất chống lại ransomware, cung cấp:
Khả năng thích ứng: Đã chứng minh khả năng bao phủ tốt nhất cho ransomware đã biết và chưa biết ngay cả khi không có đào tạo trước (ví dụ: BadRabbit).
Độ chính xác: Trong 60.000 bài kiểm tra mẫu ransomware gần đây, Engine Zero đạt điểm cao nhất trong số các giải pháp tương tự.
Tốc độ: Khách hàng sử dụng tường lửa thế hệ tiếp theo (NGAF) của chúng tôi có thể sử dụng Engine Zero để phát hiện ransomware với tỷ lệ đường truyền.