MetaDefender Sandbox™ ובינה מלאכותית: הגדרה מחדש של זיהוי איומים

ככל שפושעי סייבר כיווננו את שיטותיהם, מערכות מסורתיות מבוססות חתימות הפכו פחות יעילות - במיוחד כנגד תוכנות זדוניות ארוזות מחדש עם שינויים קלים.  

כלי חיפוש הדמיון מאפשר לציידי איומים לחפש באופן פעיל קבצים הדומים לקבצים זדוניים ידועים. 

צוותי אבטחה משיגים יתרון מכריע בזיהוי ונטרול התקפות מתוחכמות על ידי חיפוש פעיל אחר קווי דמיון בקבצים זדוניים, מה שעוזר לזהות איומים מתעוררים מוקדם.  

סימון זנים חדשים של תוכנות זדוניות שנוצרו או שונו מחזק את האבטחה הכוללת ומזרז את זמני התגובה 

ה Sandbox מחלץ מאפיינים שונים מקבצים, ובאמצעות חישובי מרחק מתקדמים, משווה אותם מול מסד נתונים עצום של קבצים ידועים.  

אפילו שינויים קלים במבנה או במטא-דאטה מזוהים, מה שחושף איומים פוטנציאליים ומספק לציידי איומים את הכלים לזהות איומים מתפתחים ולשפר את יכולותיהם.

• זיהוי מתקדם
  בניגוד למערכות מבוססות חתימות, המסתמכות על התאמות מדויקות, חיפוש סימולציה יכול לזהות אפילו הבדלים קטנים בין קבצים.
• יישומים בעולם האמיתי
  זה מאפשר זיהוי של איומים שלא היו ידועים קודם לכן ומאפשר זיהוי של יום אפס על ידי זיהוי דפוסים ואנומליות שטרם תועדו רשמית. 

לשוק חסר כלי ציד איומים המסוגל להציע קבצים דומים על סמך המאפיינים הפנימיים שלהם. 

פער זה בכלי האבטחה הזמינים פירושו שאיומים עם שינויים קלים יכלו בקלות להחליק בין הכיסאות. 

עם הצגת חיפוש הדמיון, ציידי איומים יכולים כעת לחפש באופן פעיל איומים פוטנציאליים חדשים על ידי השוואת קבצים עם קבצים זדוניים ידועים.  

היכולת לזהות איומים עדינים ומתפתחים לפני שהם גורמים נזק משפרת את זמני הזיהוי והתגובה כאחד. זה הופך את חיפוש סימולריות לכלי הכרחי להגנות סייבר מודרניות. 

עדכנו את חיפוש הדמיון מספר פעמים מאז השקתו הראשונה.  

בתחילה, תמכנו רק בקבצי PE עם כמה מגבלות. 

מאז, הוספנו תכונות נוספות, התומכות בהשוואות טובות יותר בין קבצי .NET, ושיפרנו את הלוגיקה שלנו לקבלת תוצאות טובות יותר.  

עד הרבעון הראשון של 2025, נתמוך לא רק בקבצי PE, אלא בכל סוגי הקבצים - למידע נוסף, לחצו כאן . 

1. פתח את Sandbox דפדף וסרוק קובץ. 
2. לחץ על "חיפוש דמיון" כדי לגשת ללשונית. 
3. התאם מסננים, כגון ספי חיפוש ופסקי דין, כדי לחדד את החיפוש שלך. 
4. הצג תוצאות חיפוש. 
5. הרחב את גיבובי הקבצים לקבלת פרטים נוספים: לחץ על גיבוב כדי להציג מידע מפורט על קווי הדמיון. 

במרכז תפעול אבטחה (SOC), שני מדדים מרכזיים משפיעים ישירות על יכולתה של החברה להגיב לאיומים: זמן ממוצע לזיהוי (MTTD) וזמן ממוצע לתיקון (MTTR). 

זיהוי ותיקון מהירים יותר מפחיתים את הנזק הפוטנציאלי מאירועי סייבר, ומסייעים במניעת פרצות אבטחה ובמניעת אובדן נתונים.  

עם זאת, צוותי SOC מתמודדים לעתים קרובות עם עייפות כוננות ומגבלות משאבים, אשר עלולים להאט את זמני התגובה. 

כאן האינטגרציה שלנו עם ChatGPT עושה את ההבדל. ChatGPT משתמש בעיבוד שפה טבעית (NLP) כדי לפשט דוחות טכניים ומורכבים של תוכנות זדוניות לסיכומים קלים להבנה.  

סיכומים ברורים יותר עוזרים לצוותי SOC לתעדף איומים בצורה יעילה יותר, לחסוך זמן ובסופו של דבר לשפר הן את MTTD והן את MTTR. 

בנוסף, ניתוח דוחות יעיל עוזר לצוותים להגיב מהר יותר, להפחית שחיקה ולהגן טוב יותר על הנכסים שלהם. 

ChatGPT היה חידוש שראינו כהזדמנות לפשט את ניתוח האיומים ולשפר את יעילות ה-SOC לצורך תגובות מהירות ומדויקות יותר לאירועי סייבר. 

ניתוח טכני בן 20 עמודים של מתקפת כופר מרוכז לסיכום מנהלים בן פסקה אחת, המדגיש את וקטור ההתקפה, המערכות המושפעות והפעולות המומלצות.

מקבלי החלטות יכולים להעריך טוב יותר ומהירה יותר את רמות האיום, מבלי להידרש להתעמק בפרטים טכניים. מהירות זו מתורגמת גם לתגובות מהירות ומושכלות יותר.

1. פתח את דף הסקירה הכללית  
2. לחץ על כפתור "קבל סיכום" כדי ליצור סיכום של ChatGPT. 
3. ChatGPT יאסוף מידע רלוונטי אודות הקובץ, ויספק סיכום מנהלים של יכולותיו כתוכנות זדוניות. 

שאלנו את עצמנו: האם נוכל ליצור מודל לא מקוון שמנתח כתובת URL וקובע האם היא חשודה? 

מודל ה-URL שלנו מאומן על מערך נתונים נרחב של 1.6 מיליון כתובות URL, ומחלץ מגוון רחב של תכונות ממחרוזות URL. 

היא מנבאת את החשדנות של כתובת URL בסולם מ-0 עד 1, ומעניקה לצוותי אבטחה את היכולת להימנע מסיכונים שמקורם בכתובות URL לפני שיש להם הזדמנות להסלים. 

המודל מהיר להפליא והשיג דיוק של מעל 93% בסף של 0.5.  

בהתאם למצב, ניתן להתאים את הסף והזיהוי ישוכלל עוד יותר כדי להפחית תוצאות שליליות שגויות. 

המודל מחלץ תכונות רבות ממחרוזת ה-URL, ולאחר מכן משתמש בערך בין 0 ל-1 כדי לחזות חשדנות של כתובת URL. 

המודל עובד על מערכות בעלות מרווח אוויר והוא מהיר להפליא.  

זה מספק שכבה ראשונה חיונית של זיהוי פישינג או כתובות URL זדוניות. ניתן לקבל מידע נוסף בנושא כאן . 

מודל כתובת ה-URL הוא גישה מצוינת, אך ניתוח כתובת ה-URL לבדה אינו מספיק כדי לקבוע אם אתר אינטרנט הוא פישינג או זדוני. 

מאחר שפישינג נותר אחת מצורות התקפות הסייבר הנפוצות ביותר, מודל זיהוי הפישינג שלנו משלב השוואת לוגו עם אימות דומיין , ויוצר מערכת הגנה דו-שלבית. 

באמצעות אלגוריתמים מתקדמים של ראייה ממוחשבת, המודל מזהה הבדלים עדינים בין לוגואים אמיתיים להונאה.  

לדוגמה, עיוותים קלים בפיקסלים או שינויים בפרופורציות שעשויים לחמוק מתשומת לב אנושית מסומנים כחשודים. 

המודל מצליב כתובות URL עם מסד נתונים של דומיינים לגיטימיים ידועים. אם מתגלה אי התאמה או חריגה, המערכת מעלה התראה.

דמיינו הודעת דיוג שטוענת שהיא מגיעה מבנק בעל מוניטין טוב, יחד עם לוגו מציאותי.  

ייתכן שהמשתמש יטועה ויגרום לו ללחוץ עליו, מתוך אמונה שהאימייל אמיתי. 

המודל שלנו יכול לאמת באופן מיידי את האותנטיות של הלוגו תוך כדי אימות הדומיין של האימייל, ובכך לעצור את ההתקפה מיד. 

פישינג הוא סוג איום הסייבר הנפוץ ביותר, שלעתים קרובות מוביל לדליפות נתונים, הפסדים כספיים ונזק חמור למוניטין של חברה. 

מה שמדאיג הוא ששיטות זיהוי פישינג מסורתיות המבוססות על כתובות URL לרוב אינן מספיקות, כאשר תוקפים משתמשים לעתים קרובות בכתובות URL ובלוגואים שנראים לגיטימיים כדי להונות משתמשים. 

כדי לטפל בכך, שילבנו השוואת לוגואים ואימות דומיינים במודל ה-URL שלנו, מה ששיפר את יכולתו לתפוס ניסיונות פישינג שבדרך כלל היו עוקפים הגנות מסורתיות. 

מודל URL משופר זה מוביל להגנה חזקה ורב-שכבתית מפני פישינג, המסייעת לצוותי אבטחה להגיב מהר יותר ומדויק יותר, ובסופו של דבר מונעת מהתקפות לגרום נזק כלשהו. 

1. סרוק אתר פישינג. 
2. פתח את הכרטיסייה 'פרטי כתובת URL' כדי להציג את התוצאות. 
3. בכרטיסייה 'פרטי כתובת URL', תראו את הדף המעובד ואת הלוגו שזוהה. 
4. ניתן למצוא הגדרות מפורטות יותר כאן .