az OPSWAT oldalon nagyra értékeljük az innovációt, a kreativitást és a folyamatos fejlesztést a kritikus infrastruktúrák és szervezetek kiberfenyegetésekkel szembeni védelmét szolgáló fejlett megoldások fejlesztése során. Ezek az értékek inspiráltak minket az OPSWAT MetaDefender Threat Intelligence létrehozására, amely lehetővé teszi számunkra, hogy jobban megértsük és felismerjük a fejlődő kiberfenyegetéseket a hasonló fájlok felismerése és azonosítása érdekében.
Mivel a rosszindulatú szoftverek változatai egyre kifinomultabbá és kijátszhatóbbá válnak, a hagyományos, aláírás-alapú vírusirtó megoldások nem elegendőek. E kihívás megoldására az OPSWAT kiberbiztonsági szakértői olyan elegáns megoldást fejlesztettek ki, amely a legmodernebb statikus elemzési technológiát és a gépi tanulást használja ki a fájlok közötti hasonlóságok azonosítására. Ez a megközelítés hatékony eszközt biztosít a kiberbiztonsági kockázatok mérséklésére és a potenciális támadások megelőzésére.
A MetaDefender Threat Intelligence létrehozásával lehetőséget kaptunk egy nehéz, sürgős probléma megoldására. Olyan hatékony kiberbiztonsági megoldásokat tudtunk kidolgozni, amelyek a szervezeteket olyan információkkal látják el, amelyekre szükségük van a felmerülő fenyegetések előrejelzéséhez és az azokra való felkészüléshez. Ez összhangban van az innovációs kultúránkkal és azzal az elkötelezettségünkkel, hogy a lehető legjobb védelmet nyújtsuk ügyfeleink számára.
Az adatok
A hasonlósági keresések elvégzéséhez a fájlok a MetaDefender Sandbox statikus és fájlemulációs technológiák segítségével szigorú szkennelési folyamaton mennek keresztül. Ez a fejlett technológia kivonja a legrelevánsabb és leghasznosabb információkat egy adott fájlból.
Szakértő kártevőelemzőink meghatározták a két fájl közötti hasonlóságok kiszámításához szükséges leghatékonyabb jellemzőket. Ezeket a funkciókat gondosan kiválasztjuk az alapján, hogy képesek-e pontos és releváns eredményeket szolgáltatni, és folyamatosan frissítjük őket, hogy naprakészek maradjanak a legújabb rosszindulatú szoftverekkel kapcsolatos trendek és technikák tekintetében.
Néhány jellemző:
- Bináris metaadatok (fájlméret, entrópia, architektúra, fájljellemzők és sok más)
- Import
- Tartalom
- Szakaszok
- Jelzések
- És még több
Megjegyzés: A fájlok közötti hasonlóságok keresésekor fontos, hogy a Filescan által generált jeleket használja, és ne hagyatkozzon kizárólag a fájl végső ítéletére (Rosszindulatú, Információs stb.). Ez a megközelítés segít elkerülni a hasonlóságkeresés során esetlegesen felmerülő torzításokat.
Folyamat
A hasonlósági keresési folyamat magában foglalja ezeknek a jellemzőknek a kivonását és vektoros beágyazásokká történő átalakítását a hordozható végrehajtható (PE) fájlokból. A vektoros beágyazások az adatokat pontokként ábrázolják az n-dimenziós térben, lehetővé téve a hasonló adatpontok csoportosítását, létrehozva egy fájl-ujjlenyomatot. A dimenziók számát az egyes szakaszok határozzák meg a dimenzionalitás csökkentése során.
A megoldás ezután többszörös, módosított távolságszámításokat használ e vektorok között, hogy megtalálja a leghasonlóbb fájlokat, lehetővé téve számunkra, hogy megválaszoljuk a kérdést: "mennyire hasonlít ez a fájl egy másikhoz?". Az architektúra és az algoritmus olyan indexelési módszereket használ, amelyek gyors feldolgozást biztosítanak még akkor is, ha több millió fájlban keresünk. Ezeknek a mezőknek az algoritmikus elemzése lehetővé teszi a megoldás számára, hogy pontosan azonosítsa és elkülönítse a hasonló fájlokat és fenyegetéseket.
A fejlett technológia mellett a Similarity Search testreszabható felületet biztosít, amely lehetővé teszi a felhasználók számára a keresési paraméterek szűrését. Ez a funkció nagyobb rugalmasságot kínál, és biztosítja, hogy a felhasználók a legpontosabb és legmegfelelőbb eredményeket kapják az egyedi igényeiknek megfelelően.
Szűrők:
- Címkék
- Ítélet
- Hasonlósági küszöbérték
A csővezeték
A csővezeték-folyamat során egy új PE bemeneti fájlt, például egy futtatható fájlt veszünk, és olyan gépi tanulási modelleknek vetjük alá, amelyek előre kiválasztott jellemzők alapján vektorbeágyazásokat generálnak. Ezek a vektorok ezután egy vektorterébe ágyazódnak be, amely tetszőleges számú dimenzióval rendelkezhet.
A vektorok és a jellemzők közötti hasonlóság kiszámításához különböző távolsági metrikákat használunk, amelyek segítségével meghatározhatjuk az adott PE bemeneti fájlhoz legközelebbi pontot.
Hasonlósági pontszám
Érdemes megjegyezni, hogy a hasonlósági pontszámok nem abszolút értékek, és némileg szubjektívek lehetnek. Nincs általánosan elfogadott képlet vagy szabvány a fájlok közötti hasonlóság mértékének meghatározására, mivel ez a kontextustól és a konkrét felhasználási esettől függően változhat. Ezért fontos, hogy a hasonlósági pontszámokat óvatosan értelmezze, és vegye figyelembe a kiszámításukhoz használt módszertant. A hasonlósági keresés súlyokat használ a pontos hasonlósági pontszám kiszámításához.
MetaDefender Sandbox's eredmények
A Filescan eredmény átfogó információt nyújt a hasonlósági kereséshez használt fájlról. Fontos azonban, hogy alaposan elemezze ezeket az információkat, hogy teljes mértékben megértse a fájl jellemzőit és tulajdonságait. A felhasználói felület megjeleníti a fájlvizsgálat különböző tulajdonságait, és részletes jelentést készít a jellemzőkről.
A hasonlóságkereső funkció eléréséhez navigáljon a felhasználói felület bal oldalára. Alapértelmezés szerint a hasonlósági keresés funkció automatikusan elindul az előre beállított, alapértelmezett paraméterekkel. Ezenkívül a felhasználóknak több szűrési lehetőség áll rendelkezésére, hogy a felhasználók testre szabhassák a keresést, és a megadott követelmények alapján optimális eredményekhez jussanak.
Szűrők:
- Címkék: Ezek dinamikus címkék, amelyeket a fájlokhoz rendelnek az attribútumaik alapján. A hasonlósági keresési funkció használatakor a címkékkel olyan fájlok jelölhetők meg, amelyeknek különleges jellemzői vannak, például peexe vagy shell32.dll. A címkék segítik a célzott és hatékony keresést, lehetővé téve a felhasználók számára, hogy gyorsan megtalálják a speciális igényeiknek megfelelő fájlokat.
- Verdict: A Filescan verdict a fájlon végzett vizsgálat eredményét adja meg, jelezve, hogy a fájl tiszta, rosszindulatú vagy valamilyen módon potenciálisan káros. A Filescan ítéletet szűrőként használva a felhasználók finomíthatják keresési eredményeiket, hogy kizárják a rosszindulatúnak vagy gyanúsnak jelölt fájlokat.
- Hasonlósági küszöbérték: Ez egy konfigurálható paraméter, amely meghatározza a keresési eredményekben való megjelenéshez szükséges minimális hasonlósági szintet. A küszöbérték beállításával a felhasználók a keresési eredményeket saját igényeikhez igazíthatják. Így például megtalálhatják a szoros kapcsolatban álló fájlokat, vagy azokat, amelyek között gyengébb a kapcsolat. Ez a szűrő hasznos azoknak a felhasználóknak, akiknek a pontosság és a széleskörű, átfogó keresés között kell egyensúlyt tartaniuk.
Lapok
A hasonlósági keresési funkcióban a felhasználóknak alapértelmezett szűrési lehetőségeket kínálunk lapok formájában. Ezek a lapok lehetővé teszik a felhasználók számára, hogy a leghasonlóbb fájlok, a legfrissebb fájlok és a rosszindulatú ítéletet kapott fájlok alapján szűrjék az eredményeket. Ezek az előszűrési lehetőségek a felhasználók számára a keresési élmény hatékonyságát és pontosságát hivatottak növelni.
Threat Intelligence Aloldal
A Threat Intelligence aloldal számos funkciót kínál a felhasználóknak, például a legszorosabban kapcsolódó fájlok megtekintését és a szűrhető felhasználói felület használatát. Egy adott SHA256 azonosító kiválasztásával a felhasználók részletes információkat kaphatnak a kapcsolódó fájl hasonlóságáról, valamint annak magas szintű részleteiről.
Főbb felhasználási esetek
Mint minden gépi tanulási alkalmazás esetében, a hasonlósági keresés eredményeinek validálása elengedhetetlen. Ez a funkció azonban számos lehetőséget kínál a felhasználók számára a releváns fájlok hatékony feltárására és azonosítására. Az indexelő keresés kivételesen gyors hash-keresést biztosít minden fájltípusra, a termék sarokkövét képezve. A hasonlósági keresési funkciót a következő entitások használhatják ki.
- Cyber threat intelligence elemzők, akik ezt a képességet felhasználhatják az új és fejlődő fenyegetések kivizsgálására és észlelésére, javítva ezzel szervezetük biztonsági helyzetét.
- Fenyegetésvadászok, akik proaktívan kereshetik a kompromittálódásra utaló jeleket (IOC) és a potenciális sebezhetőségeket, ezáltal megelőzve a rosszindulatú tevékenységeket.
- Bárki, akit érdekel a fájlok közötti kapcsolatok feltárása és a hasonlóságok azonosítása, beleértve a kutatókat, nyomozókat és elemzőket.
Hozzáférés a hasonlósági kereséshez
Fedezze fel, hogyan integrálhatja a hasonlósági keresést a folyamataiba a https://www.opswat.com/docs oldalon található dokumentációnk segítségével. Felhívjuk figyelmét, hogy a hasonlósági keresés funkció kizárólag a Filescan vagy a Threat Intel csomag fizetős felhasználói számára elérhető bővítmény. Ha szeretné felfedezni ezt a funkciót, regisztráljon még ma!
