Как работает защита от целевых атак в современных антивирусах

Защита от целевых атак в современных антивирусах работает на основе нескольких технологий. 1 Например, в платформе Kaspersky Anti Targeted Attack (KATA) используются следующие механизмы: 15

• Анализ сетевого трафика. 1 Модуль поведенческого анализа исследует трафик и объекты с помощью технологии IDS (система обнаружения вторжений) и проверки репутации URL-адресов. 1
• Репутационный анализ URL-адресов. 1 Подозрительные и нежелательные URL-адреса выявляются на основе данных о репутации из баз глобальной облачной инфраструктуры Kaspersky Security Network (KSN), в которых также содержится информация о URL-адресах и доменах, связанных с целевыми атаками. 1
• Песочница. 1 Для обнаружения активности вредоносных программ песочница запускает подозрительные объекты на собственных виртуальных машинах. 1
• Расширенный антивирусный модуль. 1 Модуль работает на центральном узле и имеет более чувствительные настройки, чем конфигурации на рабочих местах. 1 Он проверяет объекты на наличие вредоносного или потенциально опасного кода, при необходимости отправляя их в песочницу для дальнейшей проверки. 1
• Сканирование индикаторов компрометации (IoC). 15 Механизм позволяет выявлять вредоносную активность на ранних стадиях. 5

Антивирусные решения используют метод сигнатурного анализа — изучают базы, в которых содержатся характерные признаки уже известных вредоносных программ. 3 Поэтому антивирусы далеко не всегда срабатывают на новое ПО с уникальными сигнатурами и старые вредоносы с изменёнными кодами. 3