A Zero-Day
Zero-day már nem számítanak ritka eseteknek. Ma már a modern támadók kedvenc fegyverei.
OPSWAT szerint a rosszindulatú programok összetettsége az elmúlt évben 127 százalékkal nőtt, és a hírnév-alapú források által eredetileg biztonságosnak minősített fájlok közül minden tizennegyedikről később kiderült, hogy rosszindulatú. Ezeket a fenyegetéseket úgy tervezték, hogy kijátsszák a statikus vizsgálatokat, késleltessék a futtatást, megtévesztsék a sandboxokat, és beolvadjanak a legitim munkafolyamatokba.
Ugyanakkor a szervezetek egy megoldhatatlan dilemmával szembesülnek:
- A fájlok áramlásának lassítása a részletesebb vizsgálat érdekében
- Vagy tartsa a sebességet, és számoljon a holttérrel
A futtatható fájlok, javítófájlok, szkriptek, archívumok és szabályozott dokumentumok gyakran nem tisztíthatók meg vagy módosíthatók. Ez egyre növekvő biztonsági rést eredményez ott, ahol a hagyományos eszközök kudarcot vallanak.
MetaDefender Aether azért jött létre, hogy ezt a hiányosságot pótolja.
Ez a blogbejegyzés aMetaDefender Aether bejelentés részletes kiegészítése. Bemutatja, miért fontos a hálózati peremterületen történő egységes zero-day , hogyanAether MetaDefender Aether a „Pyramid of Pain” teljes spektrumát, és hogyan OPSWAT ezt a képességet négy szorosan integrált termék révén, amelyek mindegyike egy-egy konkrét operatív helyzetre lett kialakítva, de mindegyiket ugyanaz a négyrétegű észlelési folyamat támasztja alá.
Nézze meg az alábbiMetaDefender Aether , hogy gyorsan és alaposabban megismerje a terméket:
Ez a rövid videó bemutatja, hogy MetaDefender Aether milyen alapvető kihívásokatAether , és hogyan állítja meg zero-day az észlelés elkerülő fenyegetéseket még mielőtt azok bejutnának a rendszerbe, anélkül, hogy lassítaná a fájláramlást vagy túlterhelné a SOC-csapatokat.
Miért kell Zero-Day a hálózati peremre helyezni?
A perem az egyetlen hely, ahol minden fájl áthalad.
Az e-mail mellékletek, a szoftverfrissítések, az ellátási láncból származó elemek, a cserélhető adathordozók, a fájlátvitelek, a felhőbe történő feltöltések és a doménközi adatcserék mind összefutnak, mielőtt a fájlok eljutnának a felhasználókhoz vagy a rendszerekhez. Amint egy rosszindulatú fájl belsőleg végrehajtásra kerül, a reagálási költségek megsokszorozódnak.
A hagyományos védelmi rendszereket azonban arra tervezték, hogy az már ismert fenyegetéseket észleljék. Zero-day definíció szerint olyan sebezhetőségeket használnak ki, amelyeket a védelmi rendszerek még nem ismernek fel – új kártevőcsaládokat, módosított betöltőprogramokat, a „living-off-the-land” technikákat, valamint olyan infrastruktúrát, amely gyorsabban változik, mint ahogy a hírnév-adatbázisok frissülni tudnak.
Ugyanakkor a szervezetek azt tapasztalják, hogy:
- A fájlalapú támadási vektorok (dokumentumok, telepítőprogramok, szkriptek, archívumok) robbanásszerű növekedése
- A dinamikus kártevőelemzést előíró szabályozási követelmények
- A túl sok eszköz és az egymásnak ellentmondó döntések okozta SOC-fáradtság
- Cloud, hibrid és air-gapped , amelyek nem támaszkodhatnak egyetlen telepítési modellre sem
Ez képezi az OPSWAT Zero-Day ” megoldásának alapját.
Az egyetlen megoldás a fájdalom teljes spektrumának kezelésére
A legtöbb biztonsági eszköz a „fájdalom piramisának” legalján működik – hash-értékek, IP-címek és domainnevek. Ezeket a támadók könnyen megváltoztathatják, és olcsón pótolhatók.
MetaDefender Aether . Úgy tervezték, hogy a piramis minden szintjén fokozatos nyomást gyakoroljon, így kényszerítve a támadókat arra, hogy folyamatosan átalakítsák működésüket.

MetaDefender Aether leképezéseAether „Pyramid of Pain”Aether
| Célok | Eredmény | |
|---|---|---|
1. réteg Fenyegetés hírneve | Hash-értékek, IP-címek, domainnevek Aether MetaDefender Aether valós idejű és offline fenyegetés-reputációs ellenőrzésekkelAether . Ez a réteg azonnal blokkolja az ismert kártevő programokat, az adathalász-infrastruktúrákat és az újrahasznosított indikátorokat. |
|
2. réteg Dinamikus elemzés [Emuláció] | Eszközök és segédprogramok Az ismeretlen és gyanús fájlokat egy emulációalapú környezetben futtatjuk, amely képes kijátszani a virtuális gépek elleni védelmet és az időzítésen alapuló elkerülési technikákat. Ezzel feltárhatók a betöltő láncok, a kizárólag memóriában tárolt hasznos adatok, a letöltött fájlok, a rendszerleíró adatbázisban végzett módosítások, valamint a hálózati visszahívások. |
|
3. réteg Fenyegetés pontozás | Eszközök és technikák A viselkedési mutatókat a MITRE ATT&CK-hez igazított több száz rosszindulatú jel alapján korrelálják és pontozzák. Ezáltal a valódi kockázatok kerülnek előtérbe, és csökken az elemzői zaj. |
|
4. réteg Fenyegetéskeresés [Hasonlósági keresés] | TTP-k A gépi tanuláson alapuló hasonlóságkeresés összefüggéseket tár fel a változatok, a családok és az infrastruktúra között a különböző mintákban. Még akkor is, ha a műtermékek változnak, a kampányok lelepleződnek. |
|
Ezek a rétegek együttesen teszikAether MetaDefender Aether egyetlen olyan egységes zero-day Aether , amelyet a „Pyramid of Pain” teljes spektrumának kezelésére terveztek.
Az összesített eredmény: Aether a „Fájdalom piramisának” minden szintjét figyelembe vévemaximalizálja a támadók költségeit.
Mi tesziMetaDefender Aether ?
MetaDefender Aether az OPSWATegységes zero-day megoldása, amely négy észlelési réteget egyesít egyetlen, öntanuló folyamatba:

1. réteg: Fenyegetés-hírnév
Válasz a kérdésre:Ismert, hogy a fájl rosszindulatú?
A Threat Reputation a fájlokat, URL-eket, IP-címeket és domainneveket folyamatosan frissülő globális adatbázisokkal vet össze, hogy azonnal azonosítsa az ismert fenyegetéseket. Ez a védelmi réteg már a korai szakaszban megakadályozza a széles körben elterjedt kártevők és adathalász támadások áttörését, arra kényszerítve a támadókat, hogy folyamatosan változtassák az infrastruktúrájukat, és így kevésbé hatékonyan tudják újrahasznosítani a támadási jelzőket.
2. rétegű dinamikus elemzés emulációval
Válasz a kérdésre:Ismeretlen vagy gyanús viselkedést mutat a fájl?
A dinamikus elemzés a gyanús fájlokat egy emulációalapú környezetben futtatja, amely képes kijátszani a sandbox-kerülő és időzítésen alapuló trükköket. Felfedi azokat a rejtett viselkedésmódokat, mint például a betöltő láncok, a kizárólag memóriában futó hasznos terhelések és a többfázisú végrehajtás, amelyeket a statikus elemzés és a virtuális gépen alapuló sandboxok gyakran nem vesznek észre.
3. rétegű fenyegetésértékelés
Megválaszolt kérdés:Milyen a zero-day tényleges kockázati szintje?
A fenyegetésértékelés összehangolja a viselkedési mutatókat, a hírnévvel kapcsolatos információkat és az észlelési jeleket, hogy megbízhatósági alapú kockázati pontszámot állapítson meg. Ezáltal a valódi fenyegetések kerülnek előtérbe, csökken a riasztásfáradtság, és a biztonsági operációs központok (SOC) csapatai azokra a feladatokra koncentrálhatnak, amelyek azonnali intézkedést igényelnek.
4. rétegű fenyegetéskeresés gépi tanuláson alapuló hasonlósági kereséssel
Megválaszolt kérdés:Kapcsolatban áll-ea zero-day szélesebb körű kártevő-kampányokkal?
A Threat Hunting gépi tanuláson alapuló hasonlóságkeresést alkalmaz, hogy összehasonlítsa az ismeretlen mintákat az ismert kártevőcsaládokkal, változatokkal és infrastruktúrákkal. Ez kampányszintű átláthatóságot biztosít, és akkor is felismeri a fenyegetéseket, ha a támadók megváltoztatják a hasznos adatokat, az eszközöket vagy a mutatókat.
Ahelyett, hogy több eszközzel és egymásnak ellentmondó eredményekkel kellene számolni,MetaDefender Aether egyetlen megbízható eredménytAether – nagy léptékben és a hálózati peremterületen.

A négy termék, amely Zero-Day egységes Zero-Day biztosítja
MetaDefender Aether négy szorosan összehangolt szolgáltatásbólAether . Mindegyik egy-egy sajátos üzemeltetési kihívásra nyújt megoldást, miközben információkat juttat vissza ugyanabba az észlelési folyamatba.
MetaDefender Aether önálló változat)

Azok számára, akiknek mélyreható áttekintésre és ellenőrzésre van szükségük a biztonsági operációs központokban és a fenyegetésvadászok körében
A kihívás
A biztonsági csapatok gyakran olyan elszigetelt sandboxokra támaszkodnak, amelyek lassúak, virtuális gépként felismerhetők, és nincsenek összekapcsolva a fenyegetési információkkal. A vizsgálatokhoz kézzel kell váltani az egyes eszközök között.
Mit Aether ?
- Emulációalapú dinamikus elemzés, amely megkerüli a sandbox-kerülő mechanizmusokat
- A fenyegetésértékelés és a hasonlósági keresés közvetlenül beépítve a döntésbe
- Részletes viselkedési jelentések és IOC-kivonás
Az átalakulás
A szervezeteka legjobb kategóriájú fájlminősítéseket, gyorsabb osztályozást és kampányszintű betekintést kapnak – anélkül, hogy ez a feldolgozási teljesítmény rovására menne.
Kinek kedvez
SOC-elemzők, kártevőprogram-elemzők, fenyegetésvadászok és DFIR-csapatok.
MetaDefender Aether CloudAether

Felhőalapú, DevSecOps és nagy forgalmú környezetekhez
- Itt tudhat meg többetMetaDefender Aether Cloud termékről.
- Töltse le itt a megoldási összefoglalót.
A kihívás
A hagyományos sandboxok nem skálázhatók a felhőalapú munkafolyamatokhoz, és többletmunkát jelentenek.
Milyen problémát old meg
- SaaS-alapú, emulációval vezérelt robbantás felhőalapú méretekben
- API integráció CI/CD-, tárolási és SaaS-folyamatokkal
- Nincs szükség infrastruktúra telepítésére vagy karbantartására
Az átalakulás
A szervezetek fenntartják a fájlok átviteli sebességét és mennyiségét, miközben a fájlok mozgásának minden pontján biztosítják zero-day .
Kinek kedvez
Cloud tervezők, DevSecOps-csapatok, MSSP-k, elosztott SOC-k.
MetaDefender Aether Core

Helyi, szabályozott és air-gapped
- További információk aMetaDefender Aether Core termékrőlitt találhatók.
- Töltse le itt a megoldási összefoglalót.
A kihívás
A kritikus infrastruktúrák és a kormányzati környezetek nem küldhetnek fájlokat a felhőbe – ugyanakkor továbbra is szükségük van a dinamikus elemzésre.
Milyen problémát old meg
- CoreMetaDefender Core-ba beépített, emulációalapú homokozó
- Teljes körű offline működés szabályalapú munkafolyamatokkal
- Nincs szükség új infrastruktúrára
Az átalakulás
Zero-day szabályoknak megfelelő, ellenőrizhető és üzemeltetési szempontból egyszerűvé válik – még air-gapped ban is.
Kinek kedvez
Biztonsági tervezők, OT/ICS-üzemeltetők, kormányzati és védelmi szervezetek.
MetaDefender Threat Intelligence

Korreláció, adatgazdagítás és proaktív védelem
A kihívás
A kizárólag hírnévre épülő fenyegetési információk nem tudnak lépést tartani a modern, gyorsan változó támadásokkal.
Milyen problémát old meg
- A homokozó-telemetriából származó, viselkedéssel kiegészített IOC-k
- Gépi tanuláson alapuló hasonlóságkeresés variánsok és klaszterek felismerésére
- Zökkenőmentes SIEM, SOAR, MISP és STIX integráció
Az átalakulás
Minden ismeretlen fenyegetés hasznosítható információvá válik, ami javítja a jövőbeli észlelést és csökkenti a támadók rendszerben való tartózkodási idejét.
Kinek kedvez
Fenyegetés-elemző csapatok, biztonsági operációs központok (SOC-ok), informatikai biztonsági vezetők (CISO-k), platformmérnökök.
Új szabvány a Zero-Day elleni Zero-Day terén
MetaDefender Aether a reaktív észlelésről a proaktív ellenálló képességre való átállástAether .
Aether bevezető szervezetek a következő előnyöket Aether :
- Kategóriájában a legjobb fájl-elemzési eredmények (akár 99,9%-os zero-day hatékonyság)
- Gyors fájlfeldolgozás(akár 20-szor gyorsabb, mint a hagyományos sandboxok)
- Hatalmas fájlmennyiség kezelése ahálózati peremterületen
- A SOC-terhelés csökkentéseegyetlen, megbízható döntés révén
- A modern szabályozásoknak való megfelelés bizonyítható készenléte
A legfontosabb, hogy MetaDefender Aether a támadások gazdasági feltételeit azzal, hogy a támadókat arra kényszeríti, hogy folyamatosan újragondolják a módszereiket.
Zero-day nem csökkennek. A védelmi rendszerének sem szabad lanyhulnia.
