La OPSWAT, prețuim inovația, creativitatea și îmbunătățirea continuă atunci când dezvoltăm soluții avansate pentru a proteja infrastructura critică și organizațiile de amenințările cibernetice. Aceste valori ne-au inspirat să creăm OPSWAT MetaDefender Threat Intelligence , care ne permite să înțelegem și să detectăm mai bine amenințările cibernetice în evoluție pentru a detecta și identifica fișiere similare.
Pe măsură ce variantele de malware devin din ce în ce mai sofisticate și mai evazive, soluțiile antivirus tradiționale bazate pe semnături sunt insuficiente. Pentru a face față acestei provocări, experții în securitate cibernetică de la OPSWAT au dezvoltat o soluție elegantă care utilizează o tehnologie de ultimă generație de analiză statică și învățare automată pentru a identifica asemănările comune între fișiere. Această abordare oferă un mijloc eficient de atenuare a riscurilor de securitate cibernetică și de prevenire a atacurilor potențiale.
Crearea MetaDefender Threat Intelligence ne-a oferit oportunitatea de a aborda o problemă dificilă și urgentă. Am reușit să dezvoltăm soluții eficiente de securitate cibernetică care oferă organizațiilor informațiile de care au nevoie pentru a anticipa și a se pregăti pentru amenințările emergente. Acest lucru se aliniază culturii noastre de inovare și angajamentului nostru de a oferi cea mai bună protecție posibilă pentru clienții noștri.
Datele
Pentru a efectua căutări de similitudine, fișierele sunt supuse unui proces riguros de scanare folosind MetaDefender Sandbox tehnologii statice și de emulare a fișierelor. Această tehnologie avansată extrage cele mai relevante și utile informații dintr-un anumit fișier.
Analiștii noștri experți în malware au determinat cele mai eficiente caracteristici pentru calcularea asemănărilor dintre două fișiere. Aceste caracteristici sunt selectate cu atenție pe baza capacității lor de a furniza rezultate precise și relevante și sunt actualizate în permanență pentru a rămâne la curent cu cele mai recente tendințe și tehnici malware.
Unele caracteristici sunt:
- Metadate binare (dimensiunea fișierului, entropia, arhitectura, caracteristica fișierului și multe altele)
- Importuri
- Resurse
- Secțiuni
- Semnale
- Și mai mult
Notă: Atunci când căutați similitudini între fișiere, este important să utilizați semnalele generate de Filescan și să nu vă bazați doar pe verdictul final (rău intenționat, informațional etc.) al unui fișier. Această abordare ajută la evitarea oricăror potențiale distorsiuni care pot apărea în timpul procesului de căutare a similitudinilor.
Proces
Procesul de căutare a similitudinii implică extragerea și transformarea acestor caracteristici din fișierele executabile portabile (PE) în inserții vectoriale. Încorporările vectoriale reprezintă datele ca puncte în spațiul n-dimensional, permițând ca punctele de date similare să se grupeze, creând o amprentă a fișierului. Numărul de dimensiuni este decis de fiecare secțiune, reducând în același timp dimensionalitatea.
Soluția utilizează apoi calcule multiple și modificate ale distanței dintre acești vectori pentru a găsi cele mai asemănătoare fișiere, permițându-ne să răspundem la întrebarea "cât de asemănător este acest fișier cu un altul?". Arhitectura și algoritmul utilizează metode de indexare care asigură o procesare rapidă chiar și atunci când se caută printre milioane de fișiere. Analiza algoritmică a acestor câmpuri permite soluției să identifice și să izoleze cu exactitate fișierele și amenințările similare.
În plus față de tehnologia avansată, Similarity Search oferă o interfață personalizabilă care permite utilizatorilor să filtreze parametrii de căutare. Această caracteristică oferă o mai mare flexibilitate și asigură faptul că utilizatorii primesc cele mai exacte și relevante rezultate pentru nevoile lor specifice.
Filtre:
- Etichete
- Verdict
- Prag de similitudine
Conducta
Procesul pipeline implică luarea unui nou fișier PE de intrare, cum ar fi un executabil, și supunerea acestuia unor modele de învățare automată care generează încorporări vectoriale pe baza unor caracteristici preselectate. Acești vectori sunt apoi încorporați într-un spațiu vectorial, care poate avea orice număr de dimensiuni.
Utilizăm diverse măsuri de distanță pentru a calcula similaritatea dintre vectori și caracteristici, ceea ce ne ajută să determinăm cel mai apropiat punct de un anumit fișier PE de intrare.
Punctaj de similaritate
Trebuie remarcat faptul că scorurile de similaritate nu sunt absolute și pot fi oarecum subiective. Nu există o formulă sau un standard universal acceptat pentru determinarea gradului de similitudine între fișiere, deoarece acesta poate varia în funcție de context și de cazul de utilizare specific. Așadar, este important să interpretați scorurile de similaritate cu prudență și să luați în considerare metodologia utilizată pentru a le calcula. Căutarea de similaritate utilizează ponderi pentru a calcula un scor de similaritate precis.
MetaDefender Sandbox's Rezultate
Rezultatul Filescan oferă informații complete despre fișierul utilizat pentru căutarea de similarități. Cu toate acestea, este important să analizați în detaliu aceste informații pentru a înțelege pe deplin caracteristicile și proprietățile fișierului. Interfața de utilizare afișează diverse proprietăți ale unui fișier scanat și generează un raport detaliat al caracteristicilor acestuia.
Pentru a accesa funcția de căutare a similitudinilor, navigați în partea stângă a interfeței utilizatorului. În mod implicit, caracteristica de căutare a similitudinilor este inițiată automat cu parametrii prestabiliți, impliciți. În plus, utilizatorii au la dispoziție mai multe opțiuni de filtrare pentru a-i ajuta să își personalizeze căutarea și să obțină rezultate optime în funcție de cerințele specificate.
Filtre:
- Tags: Acestea sunt etichete dinamice atribuite fișierelor pe baza atributelor acestora. Atunci când se utilizează funcția de căutare prin similitudine, etichetele pot fi folosite pentru a eticheta fișiere cu caracteristici specifice, cum ar fi peexe sau shell32.dll. Etichetele ajută la căutări orientate și eficiente, permițând utilizatorilor să găsească rapid fișiere care corespund nevoilor lor specifice.
- Verdict : Verdictul Filescan oferă rezultatul unei scanări efectuate asupra fișierului, indicând dacă fișierul este curat, malițios sau potențial dăunător într-un anumit fel. Utilizând verdictul Filescan ca filtru, utilizatorii își pot rafina rezultatele căutării pentru a exclude fișierele marcate ca fiind rău intenționate sau suspecte.
- Pragul de similitudine: Acesta este un parametru configurabil care determină nivelul minim de similaritate necesar pentru ca fișierele să fie incluse în rezultatele căutării. Prin ajustarea acestui prag, utilizatorii își pot personaliza rezultatele căutării pentru a răspunde nevoilor lor specifice. De exemplu, ei pot găsi fișiere care sunt strâns legate între ele sau cele care au o legătură mai slabă. Acest filtru este util pentru utilizatorii care trebuie să echilibreze precizia cu o căutare amplă și cuprinzătoare.
File
În cadrul funcției de căutare a similitudinilor, utilizatorilor li se prezintă opțiuni de filtrare implicite sub formă de file. Aceste file le permit utilizatorilor să filtreze rezultatele pe baza celor mai asemănătoare fișiere, a celor mai recente fișiere și a fișierelor care au fost marcate cu un verdict rău intenționat. Aceste opțiuni de prefiltrare sunt concepute pentru a spori eficiența și precizia experienței de căutare pentru utilizatori.
Threat Intelligence Subpagină
Subpagina Threat Intelligence oferă utilizatorilor o varietate de caracteristici, cum ar fi posibilitatea de a vizualiza cele mai apropiate fișiere înrudite și de a utiliza interfața de utilizator filtrabilă. Prin selectarea unui anumit identificator SHA256, utilizatorii pot obține informații detaliate cu privire la similitudinea fișierului asociat, împreună cu detalii de nivel înalt ale acestuia.
Cazuri cheie de utilizare
Ca în cazul oricărei aplicații de învățare automată, este esențial să validați rezultatele unei căutări de similaritate. Cu toate acestea, această funcție oferă o gamă largă de posibilități pentru ca utilizatorii să exploreze și să identifice în mod eficient fișierele relevante. Căutarea prin indexare oferă o căutare hash extrem de rapidă pentru toate tipurile de fișiere, constituind piatra de temelie a produsului. Următoarele entități pot beneficia de funcționalitatea de căutare prin similaritate.
- Analiștii threat intelligence , care pot folosi această capacitate pentru a investiga și detecta amenințări noi și în evoluție, îmbunătățind poziția de securitate a organizației.
- Vânătorii de amenințări, care pot căuta în mod proactiv indicatorii de compromitere (IOC) și vulnerabilitățile potențiale, prevenind astfel activitățile rău intenționate.
- Orice persoană interesată de explorarea relațiilor dintre fișiere și de identificarea similitudinilor, inclusiv cercetători, investigatori și analiști.
Obțineți acces la Căutarea de similaritate
Descoperiți cum puteți integra căutarea prin similitudine în procesele dvs. citind documentația noastră la https://www.opswat.com/docs. Vă rugăm să rețineți că funcția de căutare a similitudinilor este un add-on disponibil exclusiv utilizatorilor pachetului nostru plătit Filescan sau Threat Intel. Dacă sunteți interesat să explorați această funcție, creați-vă un cont astăzi!
