טכנולוגיה מצטיינת ועטורת פרסים המבוססת על מנגנון יוריסטי לזיהוי מוקדם של מזיקים (Early Warning System) שבזכותה נחשבת כיום ESET למובילה בעולם בהגנה פרו-אקטיבית.
המנגון ההיוריסטי (Heuristica)
מהי היוריסטיקה ?היוריסטיקה (Heuristics) פירושה שיטה שמשתמשת בחוקים מוגדרים על מנת לפתור בעיות.
עבור תוכנות אנטי וירוס, המנגנון היוריסטי הוא סדרה של חוקים שנועדו לאתר התנהגות חשודה של קובץ ולעצור אותו במידה והוא מזיק (Malware), מבלי להזדקק קודם לכן לחתימה דיגיטאלית שלו, כפי שמרבית האנטי-וירוסים פועלים. חוקים יוריסטיים של אנטי-וירוסים עשויים לחפש את הדברים הבאים:
· קובץ שמנסה להעתיק את עצמו לתוך תוכנות אחרות.
· תוכנה שמוציאה את עצמה ממצב מוצפן ברגע שהיא מופעלת.
· קוד שקושר את עצמו לפורט TCP/IP ומחכה להוראות דרך חיבור הרשת.
· תהליך שמנסה לשנות (העתק,מחק,שנה,שנה שם, וכו') קבצים הנחוצים לפעולה של תוכנות או של מערכת ההפעלה.
היתרון של המנגנון היוריסטי, הוא שלא רק שהוא מזהה ווריאציות והרחבות של מזיקים (Malware) קיימים, אלא גם מזיקים חדשים לחלוטין (כמו במקרה של התפרצות וירוס חדש)
המנגנון היוריסטי של ESET נקרא ThreatSense והוא למעשה טכנולוגיה ייחודית פרי פיתוחה של ESET.
למנגנון שלושה שלבי זיהוי:
1. חתימות גנריות
חתימה גנרית היא דפוס סריקה שתואם ליותר מסוג אחד ספציפי של מזיק – קיים סיכוי שמזיק מסוים שייך למשפחה שלמה של וירוסים שיש להם קוד בינארי זהה או זהה-חלקית. חתימות גנריות עוזרות למערכת אנטי-וירוס למדוד כמה דומה קובץ או תהליך מסוים למזיק ידוע כלשהו. האם זה נראה כמו משהו שכבר ראינו בעבר?
באמצעות חיפוש אחר דפוסים מוכרים, האנטי-וירוס יכול לגלות מזיקים שהוא לא ראה לפני כן, מבלי להזדקק לחתימה ספציפית לאותו איום. עדיין, שלב זה ראשוני ומוגבל יחסית, מאחר והוא תופס רק איומים שכתובים באופן מוכר-חלקית.
2. מנגנון היוריסטי פאסיבי (Passive Heuristic)
המנגנון היוריסטי-פאסיבי סורק את הקוד של תוכנות/קבצים לפני שהוא מפעיל אותם, כאשר הרעיון הוא לנתח את הקוד החשוד ולנסות להבין מה הוא מיועד לעשות.
החוקים של המנגנון היוריסטי-פסיבי מחפשים תבניות, רוטינות או הפניות לתוכנות נוספות, שיכולות לרמז על התנהגות של מזיק (Malware). גישה זו נקראת לעתים "ניתוח קוד" (Code Analysis).
למרות שהמנגנון היוריסטי-פסיבי הוא כלי שימושי ביותר, קשה להגדיר את החוקים שלו בצורה יעילה. זאת משום שאין פעולה יחידה שתוכנת מזיקה מבצעת, שלא ניתן למצוא גם בתוכנות "לגיטימיות".
3. המנגנון היוריסטי-אקטיבי
בשימוש במנגנון היוריסטי-אקטיבי, מערכת האנטי-וירוס יכולה להפעיל את הקוד החשוד כדי לבדוק מה הוא באמת עושה. ההפעלה (שנקראת אמולציה) מתבצעת בסביבה וירטואלית מוגנת ונשלטת כדי למנוע נזק אמיתי למערכת. המנוע נותן לקוד לרוץ בסביבה הוירטואלית, ובוחן את ההתנהגות של הקוד והשינויים שהוא עורך בסביבה הוירטואלית.
המנגנון היוריסטי-אקטיבי הוא שימושי ביותר כנגד איומים מקודדים, מכווצים ופולימורפיים (אשר מסוגלים לשנות את הקוד של עצמם). המנגנון מכריח את הקוד "להראות" מה הוא מיועד לעשות. הדבר מספק הגנה מיידית, ללא צורך להסתמך על החתימות של מזיקים ידועים לצורך זיהוי. משום שהקוד ממש מופעל, הוא אינו יכול להסתיר את התוכן הזדוני שלו.
ריכוז כל ההגנות - ThreatSense®- מנגנון ההגנה בזמן אמת
הפתרון הטוב ביותר נגד מזיקים משתמש בחוכמה בשילוב של כל שיטות הזיהוי הזמינות. זהו הרעיון המרכזי מאחורי מנגנון ההגנה בזמן אמת - ThreatSense.
וירוסים, תולעים ורוגלות מתפתחים כל הזמן, על אף הנסיון המתמיד של מפתחי המזיקים למצוא פרצות ודרכים לעקוף תוכנות אנטי-וירוס ואנטי-רוגלה, המוצרים של ESET נמצאים כמה צעדים קדימה אודות למנגנון ה-ThreatSense .
מנגנון ההגנה בזמן אמת הוא שילוב מתוחכם ומאוזן בין המנגנון ההיוריסטי המתקדם למאגר החתימות הדיגיטליות, דבר שמספק איתור מזיקים ללא פגיעה במהירות הסריקה.
על מנת להתמודד עם רוב האיומים הקיימים, ה-ThreatSense כולל זיהוי מסורתי עפ"י מאגר חתימות.
כמו כן, הוא משתמש בחתימות גנריות מהדור הבא כדי לאתר במהירות "משפחות" של מזיקים ואת הווריאציות העתידיות שלהן.