[KB6682] - ESET LiveGuard Advanced – Technologie Sandboxing
Solution
Les menaces persistantes avancées (APT) nécessitent une approche comportementale de la détection. Plutôt que d’identifier un malware en se basant sur ce qu’il est (détection par signature), la détection comportementale repose sur ce que le malware fait.
L’intégration d’une sandbox de sécurité dans le réseau de l’organisation ajoute une couche de protection supplémentaire, permettant d’identifier les menaces avant leur exécution en production. Cette couche est assurée par la sandbox cloud d’ESET : ESET LiveGuard Advanced.
La sandbox est un environnement de test isolé. Le système y exécute un programme suspect, observe son comportement et l’analyse automatiquement. Il bloque les fichiers malveillants en fonction de leur comportement avant leur exécution sur les postes.
La sandbox inclut plusieurs capteurs analysant le trafic contenant du code actif, une analyse statique du code, et un environnement d’exécution virtuel exploitant :
- La détection comportementale,
- L’introspection mémoire,
- Des modèles d’intelligence artificielle (Machine Learning).
Cette méthode va au-delà de l’analyse par signature, car elle observe ce que fait le fichier.
L’analyse utilise les outils internes d’ESET pour :
- Analyse statique et dynamique,
- Vidage mémoire,
- Décompression,
- Détection de similarités.
Le système utilise aussi les données de réputation et des flux d’intelligence sur les menaces pour améliorer la précision des détections.
Processus d’analyse de la menace
Lorsque qu’un fichier est envoyé à ESET LiveGuard Advanced, le processus d’analyse se déroule en plusieurs étapes :
1. Trois modèles d’intelligence artificielle, dont le Deep Learning, comparent l’échantillon à des millions de malwares connus.
2. Le fichier est exécuté dans un environnement virtuel (sandbox) avec simulation de comportement utilisateur pour piéger les malwares. Son comportement est comparé à celui des malwares connus.
3. Le moteur de détection primé d’ESET est utilisé pour décortiquer et analyser le fichier.
4. Un verdict final est établi à partir de toutes les techniques disponibles et communiqué à l’utilisateur.
Figure 1-1 : Processus d'analyse avec ESET LiveGuard Advanced