6 най-добри инструмента за откриване на зловреден софтуер и софтуер за анализ за вашата мрежа
Милиони мрежи по света са под постоянна заплаха от безброй видове атаки, които произхождат от също толкова източници и географски местоположения. В интерес на истината точно в този момент има стотици атаки случващи се всяка секунда.
Ефективната защита срещу такъв бараж би изисквала проактивен анализ на минали атаки, както и прогнозиране на бъдещи заплахи. Само проактивен подход, използващ информацията, която мрежата вече е съхранила, ще помогне на администраторите да държат нападателите на разстояние.
Една ефективна защитна тактика би включвала система, която наблюдава вашата система и ви уведомява, когато нещо се обърка, за предпочитане преди да са причинени твърде много щети.
Въпреки че казват, че превенцията е по-добра от лечението; навероятно очакване на атаканай-добротоотбранителна стратегия.
Ето нашия списък с шестте най-добри инструмента за откриване на зловреден софтуер и софтуер за анализ:
- CrowdStrike Falcon ИЗБОР НА РЕДАКТОРА Платформа за защита на крайни точки, която използва AI процеси за откриване на активност на зловреден софтуер. Този иновативен инструмент за киберсигурност съчетава използването на агенти за събиране на данни на място с облачен двигател за анализ. Започнете a15-дневен безплатен пробен период.
- SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)Най-добрата защита за фирми, които търсят стабилна система, която може да обработва голям брой устройства и регистрационните данни, които идват от тях.
- LogRhythm NextGen SIEM платформаПълна защитна система, която се грижи за заплахите от началото до края в единна унифицирана архитектура.
- Splunk Enterprise SecuritySIEM инструмент, който е в крак със сложността на сложните заплахи на днешния ден и има усъвършенствани възможности за наблюдение на сигурността и откриване на заплахи.
- McAfee Enterprise Security ManagerТози интелигентен SIEM съчетава усъвършенствани анализи с богат контекст, за да помогне за откриване и приоритизиране на заплахи, докато превъзходните, динамични изгледи на данни помагат за проследяване на поведението и конфигурациите.
- Micro Focus ArcSight ESMКорелацията в реално време на регистрационните данни със скорост от 100 000 събития в секунда прави това най-бързото SIEM решение, достъпно за предприятията.
Какви опции за инструменти за зловреден софтуер са налични?
Има много начини, по които мрежовите администратори могат да решат тези проблеми със зловреден софтуер, някои от които включват:
- Инсталиранеантивируси и антизловреден софтуеррешения за пряка борба със заплахите
- Създаванетехнологична осведоменостсред мрежовите потребители за предотвратяване на изтичане на данни и кражба – независимо дали е умишлена или не
- Внедряване иприлагане на политики,осигуряване на физическа безопасностна хардуерни устройства
- Редовноактуализиране и корекцияоперационната система и приложния софтуер
Но след като вземете всички тези защитни мерки, това все още няма да означава, че работата ви е свършена. Трябва да продължите да наблюдавате вашата мрежа, както и защитната стратегия, която я защитава. Ще трябва да следите за признаци на външни заплахи и вратички, които могат да се отворят. В случай на непосредствена заплаха, трябва да измислите ефективна стратегия за защита, която да приложите въз основа на анализ в реално време на данни за поведението, събрани от вашата мрежа.
Какво е SEM инструмент?
За да разберем инструмента, първо трябва да сме сигурни, че разбираме какво представлява управлението на събития за сигурност.
Управлението на събития за сигурност е полето за компютърна и мрежова сигурност, което управлява процеса на събиране, наблюдение и докладване на събития за сигурност в софтуера, системата или мрежите.
По този начин SEM инструментът е приложение, което следи данни за системни събития (обикновено съхранявани в регистрационни файлове за събития), извлича информация от тях, съпоставя или превежда в практични съвети и ги представя на когото може да се отнася. Това се прави чрез предпочитан метод за доставяне на известие или предупреждение и с намерението да се предприемат допълнителни действия за отстраняване на докладваните подозрителни или злонамерени проблеми.
Източникът на записани данни може да са устройства за сигурност като защитни стени, прокси сървъри, системи за откриване на проникване ( IDS софтуер , ГНЕЗДА , КРИЕ и т.н.) и комутатори или рутери.
sim vs. SEM срещу SIEM
На този етап решихме, че има смисъл да хвърлим светлина върху тези три тясно свързани термина:
- SIM (управление на информацията за сигурност):е приложение, което автоматизира събирането на данни от регистъра на събития от различни устройства за сигурност и администриране, открити в мрежата. Това е продукт за сигурност, който се използва главно за дългосрочно съхранение на данните, които след това могат да се използват за ad hoc докладване.
- SEM (управление на събития за сигурност):що се отнася до тези системи за сигурност, всичко е в реално време, тъй като следи събитията, стандартизира въвеждането на данни, актуализира таблата за управление и изпраща предупреждения или известия.
- SIEM (информация за сигурност и управление на събития):тези системи за сигурност предоставят услугите както на SIM, така и на SEM – те правят всичко от събиране на данни до криминалистичен анализ и докладване за тях.
Трябва да се отбележи, че SEM и SEIM се използват взаимозаменяемо и могат да бъдат под формата на софтуерни решения, хардуерни устройства или SaaS услуги.
Предимства от използването на SEM инструмент за откриване и анализ на зловреден софтуер
Едно ключово предимство на използването на SEM инструмент е, че той е оптимално решение на главоблъсканицата „разходи срещу експертиза“. Ето и обяснението:
Малките предприятия не могат да си позволят да харчат много за своята ИТ инфраструктура, камо ли да имат екип от конкурентни технически гурута на ведомостта си. И все пак 43% от малките и средни предприятия [ PDF ] са насочени, когато става въпрос за хакване и пробиви на данни.
Всичко това означава, че анSEM се превръща в оптималното решение, защото той предоставя услугите на екип от експерти по мрежова сигурност на малка част от цената, която би била необходима, за да бъдат те на борда на пълен работен ден. Защото, след като бъде конфигуриран правилно, той се превръща в денонощна защитна система, която проверява внимателно всяко регистрирано задействащо събитие и чака да използва подходящото предупреждение или отговор.
Въоръжени с SEM инструмент, ще можете да се погрижите за:
- Сигурност– проследяване и обработка на зловреден софтуер
- Съответствие– одитът и докладването стават леки
- Отстраняване на неизправности– тестването и тестването на мрежи и устройства е по-лесно с регистрационни файлове
- Съдебномедицински анализ– регистрираните данни могат да дадат важни доказателства и представа за случилото се
- Управление на регистрационни файлове– извличането и съхраняването на регистрационни данни е автоматично
Най-добрите инструменти за откриване на зловреден софтуер
Нашата методология за избор на добър инструмент за управление на събития за сигурност
Когато търсите приличен SEM инструмент, има функции, които може да искате да се уверите, че са включени във вашия избор:
- Регистриране на събития –…очевидно!
- Интелигентност– трябва да е достатъчно интелигентен, за да интерпретира регистрираните събития. Той трябва да може най-малкото да открива основни подозрителни дейности направо от кутията, с шаблони и конфигурации по подразбиране.
- Гъвкавост– възможност за структурирано и неструктурирано търсене в регистрационни файлове и данни.
- Отзивчивост– да можете да давате правилния тип сигнали, в точното време, поради правилните причини или подозрения и на правилния потребител или администратор.
- Безгранични граници– еластична способност за справяне с всички потребителски заявки чрез използване на всякакви и всички налични данни за ясни, кратки, точни и разбираеми отчети.
- Съвместимост– възможност за интегриране с възможно най-много хардуерни и софтуерни решения за лесно, безпроблемно интегриране в широк диапазон от мрежа.
- Облачни възможности– това е ерата на облачните изчисления и технологията продължава да се възприема широко; това прави изключително важно вашето ново SEM решение да е съвместимо.
Като приключим с това, нека да преминем към петте най-добри инструмента за откриване и анализ на зловреден софтуер за вашата мрежа.
1. CrowdStrike Falcon (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
CrowdStrike Falcon е платформа за защита на крайни точки (EPP) . Той не работи с данни за мрежови събития, но събира информация за събития на отделни крайни точки и след това я предава по мрежата към машина за анализ. Като такъв, това е SIEM инструмент . Мониторът на активността е агент, резидентен на всяка защитена крайна точка. Механизмът за анализ се намира в облака на сървъра на CrowdStrike. И така, това е хибридно решение на място/облак .
Основни функции:
- Защитава крайните точки
- Споделя данни за събития в крайна точка
- Създава платформа за отговор
- Облачно базирана координация
- Откриване на аномалия
EPP се състои от модули и се предлага на пазара в издания. Всяко издание включва различен списък от модули, но всички включват Falcon Protect система. Falcon Protect е AV от следващо поколение който наблюдава процесите на крайна точка, вместо да използва традиционния AV метод за сканиране за известни злонамерени програмни файлове.
Агентът на крайната точка съставя регистрационни файлове на събития от дейности на процеса и след това предава тези записи на сървъра на CrowdStrike за анализ. Традиционният SEM работи върху живи данни. Въпреки това, Falcon Protect просто използва процес на регистриране, за да съпостави и предаде събития на машината за анализ, така е почти на живо . Той все още се квалифицира като SEM, тъй като е в състояние незабавно да докладва за злонамерена дейност и не търси в съществуващи исторически записи на събития за своя изходен материал.
Предимство на процесите за разделно събиране и анализ на данни на Falcon Prevent е, че данните за събитието се съхраняват за вторичен анализ . Оперирането с живи данни понякога пропуска подозрителна дейност, която се осъществява чрез манипулиране на оторизирани процеси. Някои злонамерени действия могат да бъдат забелязани само с течение на времето чрез свързване на привидно невинни действия, които могат да достигнат до опит за кражба на данни или саботажно събитие .
Професионалисти:
- Не разчита само на регистрационни файлове за откриване на заплахи, използва сканиране на процеса, за да открие заплахи веднага
- Действа като HIDS и инструмент за защита на крайни точки в едно
- Може да проследява и предупреждава за необичайно поведение с течение на времето, подобрява се колкото по-дълго следи мрежата
- Може да се инсталира или на място, или директно в облачна архитектура
- Леките агенти няма да забавят сървърите или устройствата на крайните потребители
Минуси:
- Ще има полза от по-дълъг пробен период
Пакетите на CrowdStrike включват предотвратяване на заплахи, анализ на заплахи и модули за управление на устройства. Базовият пакет се нарича Falcon Pro и по-високите планове са Falcon Enterprise и Falcon Premium . CrowdStrike предлага и управлявана услуга за киберсигурност, т.нар Falcon Complete . CrowdStrike предлага a15-дневен безплатен пробен периодна Falcon Pro.
ИЗБОР НА РЕДАКТОРИТЕ
CrowdStrike Falconе нашият най-добър избор за откриване и анализ на зловреден софтуер, защото добавя иновация към традиционния антивирусен модел за поддържане на база данни със сигнатури на вируси. Системата CrowdStrike Falcon включва AI методи за откриване на нови вируси и автоматично прилага процедури за блокиране. Всяко ново откритие се споделя между цялата потребителска общност на услугата, бързо внедрявайки защити от вируси по целия свят.
Стартирайте 15-дневен безплатен пробен период:crowdstrike.com/endpoint-security-products/falcon-prevent-endpoint-antivirus/
ВИЕ:Windows, Linux, macOS
2. SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
SolarWinds Security Event Manager (SEM)е един от лидерите в технологичните решения за откриване на прониквания и премахване на заплахи. По-рано беше известен като своя Log & Event Manager (LEM).
Основни функции:
- Локален пакет
- Събира и консолидира регистрационни файлове
- Централизирано търсене на заплахи
- Оркестрация за отговори
Честно казано, това е инструмент, който има всичко необходимо, за да поддържа мрежата безопасна. Това е SEM, който помага на мрежовата администрация и персонала по сигурността да открива по-добре, да реагира и да докладва за откриването на зловреден софтуер или подозрителни дейности и много хора съгласни с нас.
Други функции, които трябва да имате предвид:
- Ценатаняма да разбие банката – SolarWinds доказва, че качеството не трябва да идва с висока цена.
- SolarWinds Security Event Manager има aПотребителски интерфейс, който е лесен за научаване, навигиране и овладяване.
- TheМонитор за цялост на файла SEM (FIM)следи файловете, папките, критичните системни файлове и ключовете на системния регистър на Windows, за да се увери, че не са манипулирани.
- SEM може да се използва и за наблюдение на Active Directoryсъбития, включително създаване или изтриване на потребителски акаунти и групи, или всякакви други подозрителни дейности като влизане
- Един отнай-добрите възможности за откриване на заплахи и автоматизирани докладинаправете работата с този SEM удоволствие.
- SolarWinds Security Event Manager е известен с това, че е стабилна системакойто може да обработва огромни количества регистрирани данни, произхождащи от голям брой възли.
- И накрая, Security Event Managerсъщо така помага да се предопределят всички слаби места, които могат да бъдат използваниили се използва срещу мрежа и след това автоматизира лекарството, така че да бъдат коригирани възможно най-скоро.
Професионалисти:
- Създаден с мисъл за предприятието, може да наблюдава операционни системи Windows, Linux, Unix и Mac
- Поддържа инструменти като Snort, което позволява на SEM да бъде част от по-голяма NIDS стратегия
- Над 700 предварително конфигурирани предупреждения, правила за корелация и шаблони за откриване осигуряват незабавна информация при инсталиране
- Правилата за реакция при заплахи са лесни за изграждане и използват интелигентно отчитане за намаляване на фалшивите положителни резултати
- Вградените функции за отчитане и табло за управление помагат за намаляване на броя на спомагателните инструменти, от които се нуждаете за вашия IDS
Минуси:
- Гъстота на функциите – изисква време за пълно изследване на всички функции
Момент, който би накарал всеки да е пристрастен към SolarWinds SEM, е фактът, че компанията не просто ви показва вратата, след като сте направили покупка. Напротив, техните услуги за поддръжка са спечелили награди и продължават да помагат на своите клиенти да ускорят бизнес резултатите. Можете да изтеглите SolarWinds Security Event Manager на a30-дневен безплатен пробен период.
SolarWinds Security Event Manager Изтеглете 30-дневна БЕЗПЛАТНА пробна версия
3. LogRhythm NextGen SIEM платформа
LogRhythm NextGenносиуправление на регистрационни файлове, анализи на сигурността и наблюдение на крайни точкизаедно, което го прави мощен инструмент за идентифициране на заплахи и предотвратяване на нарушения.
Основни функции:
- Облачно базирана услуга
- Анализ на поведението на потребителите и субектите
- Откриване на нулев ден
LogRhythm SIEM има уникална функция, която го отличава от тълпата: неговатаПроцес на управление на жизнения цикъл на заплахите. За да бъде ефективна при откриването и спирането на заплахи, тази компания измисли уникален подход за справяне със задачата свъзможности за обработка на заплахи от край до край.
С други думи, с това SIEM решения ,всички заплахи се управляват на едно място– от откриването до реакцията и възстановяването от него.
Освен това LogRhythm използваанализ на данни за откриване на заплахи, преди те да причинят големи щети, ако изобщо. SIEM предоставя на администраторитеподробни дейности на всички свързани устройстватака че след това да могат да прогнозират бъдещи заплахи - въз основа напредишенпреживявания. След като забележат такова подозрително поведение, те могат да го изключат, преди да се случи или веднага щом бъдат открити.
Други функции на LogRhythm:
- LogRhythm Enterprise[ PDF ] е за по-големи мрежови среди и идва с арсенал от инструменти.
- Междувременно,LogRhythm XM[ PDF ] е за малки и средни предприятия с по-малък обхват и по-ниска мощност на обработка.
- Фирмата предлага ихардуерен варианткакто и LogRhythm Cloud – облачно решение за клиенти, които предпочитат да не се занимават с режийни разходи или поддръжка на хардуер.
Всичко това идва със SIEM решение, което съвсем неочаквано беше обявено за най-добър софтуер за информация за сигурност и управление на събития за 2019 г. от Gartner .
Професионалисти:
- Използва прости съветници за настройка на събирането на регистрационни файлове и други задачи по сигурността, което го прави по-удобен за начинаещи инструмент
- Елегантен интерфейс, много персонализиран и визуално привлекателен
- Използва изкуствения интелект и машинното обучение за анализ на поведението
Минуси:
- Бих искал да видя пробна опция
- Поддръжката на различни платформи би била добре дошла функция
4. Splunk Enterprise Security
Това също е друго SIEM решение с най-висока оценка. Безплатната версия позволява на потребителите да видят точно колко страхотно решение е тя. Въпреки че можете да индексирате само 500 MB на ден, това служи достатъчно, за да покаже защо Splunk ES е заслужил похвали.
Основни функции:
- Успешен аналитичен инструмент
- Добавка за SIEM
- Добър за хибридни среди
Разглеждайки още няколко подробности, имаме:
- Библиотеката за случаи на използване в Splunk Enterprise Security укрепва присъствието на сигурността на бизнеса; с налични над 50 калъфа,има няма недостиг на планове и шаблони, които могат да се използват направо от кутиятаи са категоризирани в злоупотреба, противникови тактики, най-добри практики, сигурност в облака, злонамерен софтуер и уязвимост.
- Междувременно,събитията за сигурност могат да бъдат групиранипо отделни сегменти, типове хостове, източници, активи и географски местоположения.
- Splunk ES има капацитета да анализира почти всички формати на данни от множество източници– регистрационни файлове, бази данни, изгледи и други – и след това ги обединете чрез нормализиране.
- Този SIEM инструмент има директно картографиране към уебсайтове с база знания за зловреден софтуер като Митър Ат&цк и прилага стратегии като кибер верига за убийства , CIS 20 контроли , и Рамка за киберсигурност на NIST ; Следователно Splunk ES е в състояние да бъде актуален и да изпревари дори най-новите методи за атака.
- Способен наработа с широк набор от машинни данни, независимо дали са от локални източници или от облака.
- Доста уникална функция, която прави Splunk страхотен, е неговатавъзможност за изпращане на предупреждения и известия с помощта на уеб кукички за приложения на трети страни като Slack (в множество канали, не по-малко).
- Splunk Enterprise Security също е друго SIEM решение, което беше дадено страхотно прегледи на Gartner .
Честно казано, единственото оплакване, което може да бъде направено срещу този SIEM, е неговата цена – лицензирането може да е извън обсега на много малки и средни предприятия.
Професионалисти:
- Може да използва анализ на поведението за откриване на заплахи, които не са открити чрез регистрационни файлове
- Отличен потребителски интерфейс – изключително визуален с лесни опции за персонализиране
- Лесно приоритизиране на събития
- Предприятие фокусирано
- Предлага се за Linux и Windows
Минуси:
- Ценообразуването не е прозрачно, изисква се оферта от продавача
- По-подходящ за големи предприятия
- Използва език за обработка на търсене (SPL) за заявки, което ускорява кривата на обучение
5. McAfee Enterprise Security Manager
McAfee Enterprise Security Manager(КОЙТО) идва от дигитална марка, която е добре установена в областта на антивирусите и злонамерения софтуер и е в челните редици от години. За всички скептици има един факт, който трябва да вземат под внимание: огромният набор от инструменти на McAfee сам по себе си може да служи като източник на данни, по този начиноблекчаване на проблемите с интеграцията и проблемите с нормализирането на даннитеот системи, мрежи, бази данни и приложения.
Основни функции:
- Събира данни за събития от McAfee Endpoint Protection
- Прогнозиране
- Интеграция на сервизно бюро
Освен собствените си инструменти и продукти, McAfee позволява и нормализиране на данни от продукти, направени от многобройните му партньорство компании.
Още страхотни функции, които идват с McAfee ESM, включват:
- Готов набор от табло за управление, правила, корелация и пакети за отчетикоито помагат за автоматизирано наблюдение на съответствието.
- Видимост в реално време, извличане на журнали, анализ исъхранение на данни от широк спектър от източници.
- Лесна интеграцияв почти всяка сложна мрежова и системна конфигурация.
- Създаване наподробни седящи повторения чрез комбиниране на събраните данни с контекстуална информацияотносно потребителите, активите, уязвимостите и разбира се заплахите.
- Високосистемна интеграция, когато става въпрос за други поддържащи ИТ системикато системи за създаване и управление на билети, които със сигурност ще изискват SIEM вход от McAfee, за да помогнат при отстраняване на неизправности и разрешаване на проблеми.
- Прогнозиране на потенциални заплахичрез съпоставяне на събраната информация и приоритизиране на тяхната спешност.
Отново, най-голямото предимство на този SIEM пред други подобни решения е, че самият McAfee разполага със собствен набор от пакети, които могат да действат като източници на регистрационни данни – повече от 430 от тях, за да бъдем малко по-точни. Това познаваненамалява времето за престой, изразходвано за нормализиране, по този начиннамаляване на времето за реакция; нещо, което се оценява в по-големите мрежи.
Професионалисти:
- Използва мощен корелационен механизъм, за да помогне за по-бързото намиране и премахване на заплахи
- Интегрира се добре в среди на Active Directory
- Създаден с мисъл за големи мрежи
Минуси:
- Претрупан и често непосилен
- Трябва да се свържете с отдела за продажби за оферта
- Могат да се използват повече опции за интеграция
- Това е доста ресурсоемко
6. Micro Focus ArcSight ESM
Micro Focus ArcSight ESMе мениджър по корпоративна сигурност, който съществува от почти две десетилетия. През тези години той продължи да расте и да се развие в наистина невероятния инструмент за анализ и откриване на зловреден софтуер в мрежата, какъвто е днес.
Основни функции:
- Добре тестван чрез дългогодишна употреба
- Бърза обработка
- Добър за MSSP
Този инструмент може да претендира, че е един от най-добрите SIEM инструментиспособността му да отговаря на всички изисквания за мащабируемост, тъй като вече може да анализира 100 000 събития в секунда!
Имате ли нов доставчик, който се присъединява към вашата мрежа? Няма проблем; структурираните данни на този SIEM могат лесно да се използват от приложения на трети страни. Също така, техните придобиване на Interset – софтуерна компания за анализ на сигурността по-рано тази година означавате имат за цел да подобрят поведенческия анализ и възможностите за машинно обучение на ArcSight.
Зареден с тези функции, става съвсем ясно, че ArcSight еидеалният SIEM инструмент за по-големи и сложни среди на система върху чип (SOC).и управлявани доставчици на услуги за сигурност (MSSP). То е същонаистина независим от инфраструктурата SIEM инструментчиито услуги могат да се доставят чрез софтуер, хардуер, както и облачни услуги като Amazon Web Services (AWS) и Microsoft Azure.
Междувременно разпределената корелация позволява мащабируемост и по този начин,SIEM на ArcSight могат да растат толкова бързо и толкова големи, колкото може да се изисква, и намаляват времето между средното време за откриване (MTTD) и средното време за отговор (MTTR).
И накрая, целият пакет има изобилие от нови опции за потребителски интерфейс, което означава, че ArcSight вече идва с негосвежи графики, табла, конзоли, и т.н., които правят борбата с злонамерен софтуер лесна, но и удоволствие. Също,голям брой решения и пакети за случаи на употреба помагат за изграждането на солидна защитатова може да бъдесподелени (използвайки набори от правила и логика) между клиенти или фирмиизправени пред подобни проблеми.
Всичко на всичко,това е страхотен инструмент за SEM!
Професионалисти:
- Създаден в мащаб, може да обработва 100 000 събития в секунда
- Идеален за MSP и препродажба на много наематели
- Търсенето и филтрирането работят добре, като ви позволяват да сортирате по приложения, клиент или източник на трафик
Минуси:
- Бих искал да бъде по-лесно да персонализирате външния вид и усещането на главното табло
Вземане на решение за инструмент за откриване и анализ на зловреден софтуер
Нашият избор (да, има два, не можахме да изберем между тях) за най-добрите инструменти за откриване и анализ на зловреден софтуер за вашата мрежа трябва да бъде SolarWinds SEM за превъзходния, но достъпен SEM инструмент, както и LogRhythm NextGen SIEM платформа за пълна отбранителна система, която има уникални отбранителни стратегии.
Кажете ни какво мислите или споделете личния си опит с нас. Оставете коментар по-долу.
Често задавани въпроси за инструмента за откриване на зловреден софтуер
Какви са различните видове зловреден софтуер?
Има 10 вида зловреден софтуер:
- Вирус – Злонамерени изпълними програми.
- троянски – Вирус, който е маскиран като желан файл, но пропуска друг зловреден софтуер.
- Троянски кон за отдалечен достъп (RAT) – Програма, която позволява на хакерите да влязат, като вероятно получават контрол върху работния плот или уеб камерата.
- Червей – Зловреден софтуер, който може да се възпроизвежда в мрежа.
- Руткит – Зловреден софтуер, който прониква в операционната система, затруднявайки откриването или премахването му.
- Безфайлов зловреден софтуер – Зловреден софтуер, който се зарежда директно в паметта често от заразена уеб страница.
- Шпионски софтуер – Регистрира активността на потребителя.
- Keylogger – Тайно записва потребителските натискания на клавиши.
- Рекламен софтуер – Инжектира реклами в софтуер и уеб страници.
- Бот – Извършва действие срещу други компютри без знанието на собственика.
Какво е статичен анализ на зловреден софтуер?
Статичният анализ на зловреден софтуер включва сканиране на зловреден код и оценка на характеристиките му, без да се изпълнява.
Какво е динамичен анализ на зловреден софтуер?
Динамичният анализ на зловреден софтуер е метод за оценка, който изисква стартирането на зловреден софтуер, за да могат да се записват действията му. Този тип анализ трябва да се извършва в изолирана среда, наречена пясъчна кутия, за да се предотврати причиняването на действителна повреда на хост системата.
В какъв ред трябва да извършвате техники за анализ на зловреден софтуер?
Следвайте тези стъпки, за да извършите пълен анализ на зловреден софтуер:
- Идентифицирайте всички файлове, които допринасят за злонамерена софтуерна система.
- Извършете статичен анализ, изследвайки идентификатори, като метаданни и възможни следи за това как този софтуер се е появил във вашата система. Извършете проучване на данните, които записвате.
- Извършвайте разширен статичен анализ, четене на кода и картографиране на това как различните модули на пакета работят заедно и какви системни ресурси или резидентен софтуер използва.
- Извършете динамичен анализ, изпълнявайки кода в среда на пясъчник, която напълно изолирате от останалата част от вашия бизнес. Регистрирайте промените, които зловредният софтуер е направил в системата, за да изработи целта си.