MetaDefender : Detectare unificată zero-day la perimetru

Amenințările de tip „zero-day” nu mai sunt cazuri izolate. Acestea au devenit arma preferată a atacatorilor moderni.

Conform OPSWAT , complexitatea programelor malware a crescut cu 127% în ultimul an, iar unul din fiecare paisprezece fișiere clasificate inițial ca fiind sigure de către sursele de reputație s-a dovedit ulterior a fi rău intenționat. Aceste amenințări sunt concepute pentru a eluda scanarea statică, a amâna execuția, a evita amprentarea digitală în mediile de testare (sandbox) și a se integra în fluxurile de lucru legitime.

În același timp, organizațiile se confruntă cu un compromis imposibil:

• Flux redus de documente pentru o inspecție mai amănunțită
• Sau menține viteza și acceptă unghiurile moarte

Fișierele executabile, fișierele de patch-uri, scripturile, arhivele și documentele reglementate nu pot fi adesea curățate sau modificate. Acest lucru creează o breșă de securitate tot mai mare acolo unde instrumentele tradiționale eșuează.

MetaDefender a fost creat pentru a acoperi această lacună.

Acest articol reprezintă o analiză detaliată aanunțului privind lansareaMetaDefender . Acesta explică de ce este importantă detectarea unificată a vulnerabilităților zero-day la nivelul perimetrului, modul în careMetaDefender abordează întreaga „Piramidă a durerii” și felul în care OPSWAT această capacitate prin intermediul a patru produse strâns integrate, fiecare fiind conceput pentru o realitate operațională specifică, dar toate bazându-se pe același flux de detectare pe patru niveluri.

Urmăriți videoclipul de prezentareMetaDefender de mai jos pentru a vă face rapid o idee mai clară:

Majoritatea instrumentelor de securitate acționează la baza „Piramidei durerii” — hash-uri, adrese IP și domenii. Acestea pot fi modificate cu ușurință de către atacatori și sunt ieftine de înlocuit.

MetaDefender este diferit. Este conceput pentru a exercita o presiune progresivă la fiecare nivel al piramidei, obligând atacatorii să-și adapteze continuu operațiunile.

MetaDefender este soluția unificată de detectare a vulnerabilităților zero-day OPSWAT, care combină patru niveluri de detectare într-un singur flux de lucru cu capacitate de autoînvățare:

Răspuns la întrebare:Se știe dacă fișierul este dăunător? 
 


Funcția „Threat Reputation” verifică fișierele, adresele URL, adresele IP și domeniile în raport cu o bază de date globală actualizată continuu, pentru a identifica instantaneu amenințările cunoscute. Acest nivel de protecție blochează din timp programele malware obișnuite și atacurile de tip phishing, obligând atacatorii să-și schimbe constant infrastructura și să reutilizeze indicatorii într-un mod mai puțin eficient. 

Răspuns la întrebare:Fișierul prezintă un comportament necunoscut sau suspect?

Analiza dinamică execută fișierele suspecte într-un mediu bazat pe emulare, care contracarează tehnicile de eludare a sandbox-urilor și trucurile de sincronizare. Aceasta dezvăluie comportamente ascunse, precum lanțuri de încărcare, sarcini utile exclusiv în memorie și execuții în mai multe etape, pe care analiza statică și sandbox-urile bazate pe mașini virtuale le omit adesea.

Răspuns la întrebare:Care este nivelul real de risc al amenințării de tip zero-day?
 


Sistemul de evaluare a amenințărilor corelează indicatorii comportamentali, contextul reputațional și semnalele de detectare pentru a atribui un scor de risc bazat pe gradul de încredere. Acest lucru permite prioritizarea amenințărilor reale, reduce oboseala provocată de alerte și le permite echipelor SOC să se concentreze asupra aspectelor care necesită o acțiune imediată.

Răspuns la întrebare: Areamenințarea de tip zero-day legătură cu campanii mai ample de malware?
 


Funcția Threat Hunting utilizează căutarea de similitudini bazată pe învățarea automată pentru a corela eșantioanele necunoscute cu familiile, variantele și infrastructura de malware cunoscute. Acest lucru asigură o vizibilitate la nivel de campanie și permite detectarea amenințărilor chiar și atunci când atacatorii își modifică încărcăturile, instrumentele sau indicatorii. 

În loc de multiple instrumente și rezultate contradictorii,MetaDefender oferă un singur rezultat de încredere — la scară largă și la nivelul perimetrului.

MetaDefender este disponibil sub forma a patru soluții perfect integrate. Fiecare dintre acestea rezolvă o provocare operațională specifică, contribuind în același timp cu informații utile la același flux de detectare.

• Află mai multe despreMetaDefender aici.
• Descărcați prezentarea soluțieide aici.

Echipele de securitate se bazează adesea pe medii de testare izolate, care sunt lente, pot fi detectate de mașinile virtuale și nu sunt conectate la informațiile privind amenințările. Ancheta necesită trecerea manuală de la un instrument la altul.

• Analiză dinamică bazată pe emulare care ocolește mecanismele de eludare a sandbox-ului
• Evaluarea gradului de amenințare și căutarea similitudinilor sunt integrate direct în verdict
• Rapoarte comportamentale detaliate și extragerea indicatorilor de compromis (IOC)

Organizațiile beneficiază decele mai bune rezultate în ceea ce privește clasificarea fișierelor, de o triere mai rapidă și de informații detaliate la nivel de campanie, fără a compromite randamentul.

• Află mai multe despreMetaDefender pentru Cloud aici. 
• Descărcați prezentarea soluției de aici.

Sistemele tradiționale de tip „sandbox” nu se adaptează la fluxurile de lucru din cloud și generează costuri operaționale suplimentare. 

• Detonare bazată pe SaaS și pe emulare, la scară cloud 
• Integrare API cu fluxuri de lucru CI/CD, de stocare și SaaS 
• Nu este necesară implementarea sau întreținerea niciunei infrastructuri 

Organizațiile mențin viteza și volumul fluxului de fișiere, asigurând în același timp detectarea vulnerabilităților de tip „zero-day” oriunde sunt transferate fișierele.

• Află mai multe despreMetaDefender for Core aici.  
• Descărcați prezentarea soluției de aici.

Infrastructurile critice și mediile guvernamentale nu pot trimite fișiere în cloud, dar au în continuare nevoie de analize dinamice.

• Sandboxing integrat bazat pe emulare înMetaDefender Core 
• Funcționare completă offline cu fluxuri de lucru bazate pe politici 
• Nu este necesară nicio infrastructură nouă 

Detectarea vulnerabilităților de tip „zero-day” devine conformă cu normele, verificabilă și ușor de implementat din punct de vedere operațional — chiar și în rețelele izolate fizic.

• Află mai multe despreMetaDefender Threat Intelligence aici.  
• Descărcați prezentarea soluțieide aici. 

Informațiile privind amenințările bazate exclusiv pe reputație nu țin pasul cu atacurile moderne, care evoluează rapid.

• Indicatori de performanță (IOC) îmbogățiți cu informații comportamentale, obținuți din datele de telemetrie din mediul de testare
• Căutare de similitudini bazată pe învățarea automată pentru detectarea variantelor și a grupurilor
• Integrare perfectă între SIEM, SOAR, MISP și STIX

Fiecare amenințare necunoscută se transformă în informații utile, îmbunătățind capacitatea de detectare și reducând durata de persistență.