Sophos komt met DNA-achtige virusdetectie
Anti-virusproducent Sophos heeft nieuwe uitbreidingen voor haar zakelijke produkten aangekondigd, waaronder een nieuwe methode die tegen virussen beschermt voordat de dreiging zelfs bestaat. De nieuwe technologie, genaamd "Genotype" detectie, gebruikt forensische analyse om verdachte patronen en eigenschappen te ontdekken, die uniek zijn voor virusfamilies of spamcampagnes. "Het is net alsof we het DNA van elk virus bekijken. De zwakte van sommige virussen is dat ze bijna allemaal dezelfde code gebruiken. zo liet Greg Mastoras van Sophos tijdens de RSA conferentie weten. Alle updates en uitbreidingen zullen eind februari beschikbaar zijn.
en eigenschap voldoet glipt er dus nog steeds tussen door.
Nieuwe virussen zullen dus eerst een "DNA" af moeten geven
en aan de lijst worden toegevoegd. Lijkt me dat we dan weer
terug zijn bij de "standaard" virusscanner?
Waarom maken ze geen scanner die een programma/virus eerst
in carantaine uitvoerd om te kijken wat het doet, naar welke
resources het zoekt en welke extra bestanden het
bijvoorbeeld aanmaakt. Gaat het op zoek naar het register?
enz. enz.
Dan kan je kijken of het programma kwaardaardig is zonder
dat je afhankelijk bent van lijsten of "DNA" prints.
Waarom maken ze geen scanner die een programma/virus eerst
in carantaine uitvoerd om te kijken wat het doet, naar welke
resources het zoekt en welke extra bestanden het
bijvoorbeeld aanmaakt. Gaat het op zoek naar het register?
enz. enz.
Dat is er al: Norman Anti Virus heeft een sandbox constructie met een
emulator. Het probleem is dat een trojan die illegaal connecties maakt
bijna niet te onderscheiden is van een tool die vrijwel hetzelfde doet.
Zichzelf in de run key zetten is geen bewijs dat het een virus betreft.
Wanneer een e-mail virus executables naar een P2P directory kopieer is
wel een bewijs van kwaadaardig gedrag.
Virussen die executables infecteren zijn ook herkenbaar, want dat is
abnormaal. Veel heb je er niet aan want de meeste e-mail virussen
infecteren bestanden niet meer, dat is namelijk niet nodig voor de
verspreiding.
scanner op bijvoorbeeld een mailserver met veel mails/sec. niet heeft, en
moeite die een gemiddeld av bedrijf niet heeft; je zou haast het complete
OS na moeten maken omdat aanvallers anders altijd zwakheden in je
emulator vinden, of je kunt alle functies in het OS hooken en monitoren om
zo een soort van emulatie te krijgen, maar dat klinkt vrij riskant, wanneer
daar een fout in zit zodat het geemuleerde kan ontsnappen zou het
resulteren in een virusscanner die automatisch executables voor je
uitvoert. blablabla.
lucht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
