Bitdefender: mélységi védekezéssel a mezőny élén (x)
Itthon a végpontvédelem piacán viszonylag új belépőnek számít a Bitdefender, ez pedig inkább a cég üzleti stratégiájának köszönhető: ezen a néven 2001 óta fut az IT-biztonsági portfólió fejlesztése – sok évtizedes tudás és fejlesztés áll tehát mögötte. A cég 2007-ben kezdett a vállalati felhasználók felé fordulni, ma pedig már komplett enterprise portfóliót kínál. A vállalat mára 1300 alkalmazottal rendelkezik, harmaduk fejlesztőként. Különlegesség, hogy a cég R&D büdzséjének negyedét fordítja kimondottan következő generációs technológiákra, úgynevezett „moonshot projektekre” – a versenytársakkal szemben a Bitdefender ezeket szereti házon belül fejleszteni, nem felvásárlással megszerezni. A számok pedig a Bitdefender mellett szólnak, a cég technológiája már több, mint 500 millió végpontot véd, a saját fejlesztésű motort pedig mintegy 150 partner licenceli és építi be saját védelmi megoldásába , olyan nagy nevek, mint az IBM, az FireEye, a Cisco és a Check Point is. Nem véletlenül, a Bitdefender sok éve folyamatosan a piac legjobb víruskergetőjével büszkélkedik, amely nem csak a detektálási arányban jó, hanem a fals pozitív jelzéseit is nagyon alacsonyan tartja. Gépi tanulás a védekezésben Szinte nincs is már a piacon olyan informatikai termék vagy szolgáltatás, amelynek gyártója ne állítaná, hogy „mesterséges intelligencia” lakozik benne. Ez persze sokszor túlzás, és sajnos elbagatellizálja az egész terület jelentőségét és hasznát is. A Bitdefender ugyanis tényleg használ egy bizonyos AI-technológiát: gépi tanulást, amit a kártevők felderítésére vet be. A működési elv meglehetősen egyszerű, lássunk egy példát erre. A tanuló algoritmusba betápláljuk a CryptoLocker ransomware minden ismert változatát, ezek jellemzői alapján az készít egy statisztikai modellt. Ezt a modellt futtatva minden mintáról meg tudjuk állapítani, hogy az milyen eséllyel tartozik a CryptoLocker-családba. Az igazi kihívás a részletekben rejlik: ha a pozitív azonosítás lécét túl alacsonyra helyezzük, akkor olyan mintákat is veszélyesnek ítél a modell, amelyek ártalmatlanok, ha pedig túl magasra, akkor a tényleg veszélyes kártevőket is futni hagyja. A Bitdefender hozzáadott értéke, hogy rengeteg változó figyelembevételével nagyon pontos statisztikai modelleket tud építeni, amelyek a független tesztek szerint is nulla (vagy közel nulla) fals pozitív jelzést adnak és nulla kártevőt engednek át. Mélységi védelem: Bitdefender a gyakorlatban A fenyegetések kis részét teljesen új, korábban sosem látott malware képezi. Ezek ellen nem véd a hagyományos szignatúra-alapú detektálás és a fejlettebb, heurisztikával és kezdetleges gépi tanulásos technológiával ellátott rendszer sem. A Bitdefender HyperDetect fejlett gépi tanulásos megoldás, amely rengeteg különböző változót figyel egyszerre és ennek alapján becsüli meg az adott bináris veszélyességét. A vizsgált szignálok között megtalálható a PowerShell- és Mimikatz-hívás, port scan, DLL injection, keylogging, szokatlan alkalmazások (például IIS) hívása, illetve a rejtőzködésre utaló jelek. Ezt olyan elemek egészítik ki, mint az obfuszkáció felismerése, a mellékelt szöveges részletek (stringek) elemzése, a szokatlan fordítók jelenléte és még rengeteg más jel - tehát gyakorlatilag minden olyan tartalom vagy viselkedési forma, ami kártevő jelenlétére utal. A legjobb, hogy a HyperDetect statikus elemzés, így rögtön lefut, ahogy egy állomány a Bitdefender radarjára kerül – jóval azelőtt, hogy a felhasználó megnyitná. A vállalati felhasználásra célzott megoldás természetesen teljesen testreszabható, három fokozatban állítható a rendszer érzékenyége a különböző kategóriák mentén. Így ha a célzott támadásoktól félünk leginkább (és nem zavar néhány fals pozitív), akkor állíthatjuk e kategória szűrését agresszívre, míg az inkább bosszantó grayware esetében lehetünk sokkal megengedőbbek, ilyenkor a rendszer csak az egészen biztos találatokat jelzi ki. Az üzemeltetők dolgát megkönnyítendő rögtön az eseménynaplóból adhatunk hozzá kivételeket, így rögtön feloldhatjuk egy fals pozitív blokkolását. Az IT biztonságban egy dolog már kőbe vésett igazságnak számít: csak a mélységi, több rétegű védelem nyújt valódi biztonságot. Ezt követi a Bitdefender megközelítése is, amely több különböző, átfedésben lévő szinten vizsgálja a potenciális kártevőket. Ezért a fent említett HyperDetect is csak egyetlen védelmi vonalat jelent, amit kiegészít a sandbox-alapú elemző, klasszikus antivírus, memóriavédelem és process-elemző is. A fentiek a Bitdefender GravityZone Endpoint Security platform részei. Ha felkeltette érdeklődésed a technológia, keresd a Bitdefender hazai disztribútorát, a biztributort. (A bitdefender forgalmazója, a biztributor megbízásából készített anyag.)