ESET использует многоуровневые технологии, которые значительно опережают возможности базового антивируса. На рисунках ниже показано основные технологии ESET и приблизительные способы выявления и блокирования угроз во время попадания в систему.
ESET — первый поставщик решений для Интернет-безопасности, который дополнил свои продукты защитой интерфейса Unified Extensible Firmware Interface (UEFI). Сканер проверяет и обеспечивает защиту среды предварительной загрузки в системах с интерфейсом UEFI. Сканер выявляет вредоносные компоненты во встроенном программном обеспечении и сообщает о их наличии пользователю.
UEFI — инфтерфейс между операционной системой и встроенным программным обеспечением вместо Basic Input/Output System (BIOS), которая используется с середины 1970-х годов. Благодаря удобной разметке и простоте анализа UEFI разработчики могут создавать дополнительные расширения для встроенного программного обеспечения. Но этой возможностью могут воспользоваться также авторы вредоносных программ, которые способны заражать UEFI своими вредоносными модулями.
Типы выявления варьируются от специальных хэшей к Родовым обнаружениям ESET, которые комплексно выявляют поведение и характеристики вредоносных программ.
В то время как вредоносный код может быть изменен или запутан злоумышленниками, поведение объектов изменить нелегко, именно этот принцип заложен в основу Родовых обнаружений ESET.
Глубокий анализ кода и исследование элементов позволяют проследить поведение и создать Родовые обнаружения ESET, которые используются для оценки потенциально подозрительного кода, найденного на диске или в памяти запущенного процесса.
Родовые обнаружения могут определить конкретные известные образцы вредоносных программ, новые варианты известных семейств вредоносных программ или даже ранее невидимые или неизвестные угрозы, которые содержат определенные элементы, указывающие на вредоносное поведение.
В продуктах ESET используются две разные формы расширенного машинного обучения — мощный механизм обнаружения в облаке и облегченная версия на рабочих станциях. Обе используют подобранный вручную набор алгоритмов классификации и глубинное обучение, которые обеспечивают быстрый и точный анализ, необходимый для проверки потенциальных угроз.
Для обеспечения наилучших показателей обнаружения и минимального количества ошибочных срабатываний расширенное машинное обучение использует исходные данные, как статического, так и динамического анализа. Она также взаимодействует с другими технологиями защиты, такими как анализ поведения, родовые обнаружения, анализ в облачной песочнице и расширенный сканер памяти.
Система защиты от вредоносного программного обеспечения на основе облачных технологий является одной из нескольких технологий на базе ESET LiveGrid®. Неизвестные, потенциально вредоносные программы и другие возможные угрозы представлены в облаке ESET с помощью системы обратной связи ESET LiveGrid®.
Собранные образцы подвергаются автоматическому поведенческому анализу, что позволяет осуществлять автоматизированное обнаружение в случае подтверждения вредоносных характеристик. Пользователи узнают об этих автоматизированных обнаружениях через репутационную систему ESET LiveGrid®, не дожидаясь следующего обновления механизма обновления обнаружения.
Перед сканированием файла или URL продукты ESET проверяют локальный кэш на наличие известных угроз или безопасных объектов из списка разрешенных, что повышает производительность сканирования.
После этого подается запрос в репутационную систему ESET LiveGrid® относительно определенного объекта (был ли он определен ранее как вредоносный). Технология позволяет повысить эффективность сканирования и обеспечивает более высокую скорость обмена информацией о вредоносных программах между пользователями.
Применение списков разрешенных URL-адресов и проверки репутации блокирует доступ пользователей к сайтам с вредоносным контентом и фишинговым ресурсам.
Система предотвращения вторжений (HIPS) использует предварительно определенный набор правил для поиска подозрительных действий, а также мониторинга и сканирования поведения, включая запущенные процессы, файлы и ключи реестра. При обнаружении подозрительных действий механизм HIPS сообщает об обнаруженном опасном объекте и при необходимости отправляет его на дополнительную проверку.
Глубинный анализ поведения (DBI) — это один из встроенных модулей HIPS, обеспечивающий более глубокий и детальный мониторинг неизвестных и подозрительных процессов в пользовательском режиме. Модуль DBI, представленный в 2019 году, обеспечивает эффективное предотвращение методов обхода защиты, которые часто используются злоумышленниками в реальной среде.
Вредоносное программное обеспечение часто использует методы запутывания и пытается избежать выявления. Для выявления угрозы и определения ее настоящего поведения ESET использует внутреннюю песочницу. С помощью этой технологии решения ESET эмулируют разные компоненты компьютерного оборудования и программного обеспечения, исполняя подозрительный образец в изолированной виртуальной среде.
Использование перевода бинарных файлов позволяет минимизировать влияние встроенной песочницы на продуктивность системы. Эта технология применяется в продуктах ESET с 1995 года и постоянно усовершенствуется.
Уникальная технология ESET эффективно решает проблему интенсивного использования киберпреступниками запутывания и шифрования. Расширенный сканер памяти отслеживает поведение подозрительного процесса и сканирует его, как только он проявляет активность в памяти.
Когда процесс делает системный вызов от новой исполняемой страницы, Расширенный сканер памяти осуществляет поведенческий анализ кода с использованием Родового обнаружения ESET. Благодаря реализации интеллектуального кэширования, технология не замедляет работу системы.
Кроме того, новым трендом среди вредоносных программ является нахождение вредоносных кодов только «в памяти» без постоянных компонентов в файловой системе, которые могут быть обнаружены условно. Только сканирование памяти благодаря Расширенному сканеру памяти ESET может успешно выявить такие вредоносные атаки.
Технология Защиты от эксплойтов, как правило, проверяет приложения (браузеры, программы для работы с документами, почтовые клиенты, Flash, Java и другие) и вместо направленности на конкретные идентификаторы CVE фокусируется на методах использования уязвимостей. При запуске анализируется поведение процесса и, если он считается подозрительным, угроза может быть сразу заблокирована на рабочей станции.
В то время как механизм сканирования ESET охватывает эксплойты, которые появляются вvмодифицированных файлах, а Защита уязвимостей сетевого протокола направлена на уровень связи, технология Защиты от эксплойтов блокирует сам процесс использования уязвимостей.
Технология проверяет и оценивает все выполненные программы на основе их поведения и репутации, а также выявляет и блокирует процессы, которые напоминают поведение программ-вымогателей.
Технология активирована по умолчанию. В случае выявления подозрительных действий пользователю необходимо подтвердить или отклонить действие блокировки. Настройки разрешают обеспечить наивысший уровень защиты от программ-вымогателей в комплексе с другими технологиями ESET, среди которых система защиты от угроз на основе облачных технологий, защита от сетевых атак и родовые выявления.
ESET также использует множество технологий обнаружения угроз, которые пытаются проникнуть в среду жертвы на сетевом уровне. В частности, технология предусматривает выявление вредоносных сетевых связей, использующих еще не исправленные уязвимости и атаки методом подбора пароля на различные протоколы, например протокол удаленного рабочего стола, SMB и SQL.
Для повышения уровня защиты сети специалисты ESET разработали технологию защиты от ботнетов. Она была создана для выявления вредоносных связей и процессов, связанных с ботнетами — огромными сетями инфицированных устройств, контролируемых злоумышленниками и используемых для DDoS-атак, распространения вредоносного программного обеспечения и отправки нежелательных электронных писем.
Технология Защита Интернет-вещей была разработана для обнаружения процессов, происходящих в Wi-Fi-сетях пользователей, а также оптимальной настройки подключенных устройств умного дома. Данная технология также помогает пользователям выявлять уязвимости в домашних сетях, в частности, не исправленные недостатки во встроенном программном обеспечении роутера, открытые порты и слабые пароли.
Технология также обеспечивает удобный обзор подключенных устройств, в частности, принтеров, роутеров, мобильных устройств, игровых консолей, устройств умного дома и других гаджетов, подключенных к Wi-Fi-сетям. Кроме этого, пользователь может просмотреть IP-адрес, MAC-адрес, название, модель и поставщика каждого просканированного устройства.
