Эта статья предоставляет общий обзор политики (защиты от вредоносных программ) Cato для движков Антивирус и NG Антивирус. Чтобы узнать больше о настройке политики развертывания, см. Настроить антивирусную политику развертывания.
Политика безопасности защиты от вредоносных программ Cato предоставляет два уровня защиты, чтобы предотвратить проникновение вредоносных файлов в вашу сеть: Антивирус и NG Антивирус. Оба уровня одновременно сканируют файлы, которые поступают из сетевого трафика WAN и Интернета.
- Уровень антивируса защищает от угроз вредоносных программ на основе известных сигнатур файлов и с помощью эвристического анализа.
- NG Антивирус — это второй уровень, основанный на технологии обнаружения вредоносных программ с использованием машинного обучения и использующий предсказательные модели для классификации файлов как безвредные, подозрительные или вредоносные. Этот уровень сканирует файл и ищет характеристики, которые указывают на то, является ли файл вредоносным. Эти модели способны обнаруживать неизвестные и нулевые день вредоносные программы.
Движки Антивирус и NG Антивирус последовательно проверяют соединения, проверяя, соответствует ли трафик правилу. Последнее правило в базе правил - это имплицитное правило Блокировать Любой - Любое, поэтому если трафик не соответствует правилам, то файл автоматически сканируется. Последние правила в базе правил - это правила по умолчанию Блокировать Любой - Любое для Вредоносных и Подозрительных файлов; поэтому для трафика, который не соответствует правилу, файл автоматически сканируется, и файлы с этими вердиктами блокируются.
Вы можете просмотреть настройки правил по умолчанию в разделе По умолчанию в конце базы правил. Эти настройки правил нельзя редактировать.
Правила, находящиеся в верхней части базы правил, имеют более высокий приоритет, потому что они применяются к соединениям перед правилами, расположенными ниже в базе правил. Например, если соединение соответствует правилу №2, действие применяется к соединению, и движки Anti-Malware или NG Anti-Malware игнорируют правило №3 и ниже.
Антивирусный движок сканирует каждый загруженный файл на уникальную сигнатуру и сравнивает эту сигнатуру с базой известных вредоносных файлов. База данных обновляется каждые 30 минут новыми сигнатурами файлов. Этот движок также использует эвристический анализ для изучения исходного кода и сравнения его с известными вирусами. Если код совпадает с кодом других вирусов, то файл определяется как вредоносный. Этот уровень является основной защитой от угроз вредоносных программ.
Cato реализует движок NG Антивируса SentinelOne, чтобы предоставить второй уровень защиты от угроз. Этот движок использует модель ИИ, которая обнаруживает угрозы в переносимых исполняемых файлах, PDF и документах Microsoft Office. Модель ИИ разрабатывается путем извлечения характеристик из миллионов образцов вредоносных программ в репозитории вредоносных программ. Затем используется Управляемое Машинное Обучение (SML) для выявления и соотношения различных характеристик безопасных и вредоносных файлов. Движок затем использует эту модель для идентификации аналогичных характеристик в неизвестных файлах, которые классифицируются как:
- Вредоносный файл - Почти наверняка вредоносное ПО
- Подозрительный файл - Файл или его поведение демонстрирует признаки, ассоциируемые с вредоносным ПО, но не имеет достаточной уверенности или данных для окончательной классификации как безопасный или вредоносный.
- Безопасный файл - Содержит характеристики безопасных файлов и, скорее всего, не является вредоносным.
Примечание
Примечание: Модель ИИ для движка NG Антивируса позволяет обнаруживать неизвестное вредоносное ПО. Однако возможно, что в редких случаях эта модель может привести к ложноположительным результатам и заблокировать легитимный файл. Вы можете создать исключение и разрешить пользователям доступ и загрузку файла, см. Настроить антивирусную политику развертывания.
Поскольку движок NG Anti-Malware основан на алгоритме и не использует обнаружение на основе сигнатур, ему не требуются частые обновления. Алгоритм движка обновляется каждые несколько месяцев.
В этом разделе объясняется, как файлы одновременно сканируются обоими уровнями защиты Anti-Malware и NG Anti-Malware при использовании политики по умолчанию.
При использовании политики по умолчанию, движки Anti-Malware и NG Anti-Malware сканируют все загруженные файлы одновременно и блокируют любой файл, классифицированный как вредоносный или подозрительный. Если запрос на загрузку файла блокируется, файл отбрасывается, и создаётся событие. Если файл блокируется обоими движками, возможно создание двух событий.
Движки Антивируса и NG Антивируса сканируют трафик HTTP, HTTPS и FTP.
На основе политики по умолчанию, когда конечный пользователь начинает процесс загрузки файла из Интернета или WAN, вот поведение каждого движка при одновременном сканировании файлов:
-
Движок Anti-Malware сканирует файл и использует сигнатуры файлов и эвристический анализ, чтобы определить, является ли файл Вредоносным или Безопасным.
- Если вердикт Вредоносный, файл блокируется, удаляется и создаётся событие. На странице блокировки отображается браузер пользователя.
- Если вердикт Безопасный, файл потенциально доступен для загрузки.
-
Уровень NG Anti-Malware сканирует файл и использует модель AI, чтобы классифицировать файл как Вредоносный, Подозрительный или Безопасный.
- Если файл вредоносный или подозрительный, он блокируется, удаляется и генерирует событие. На странице блокировки отображается браузер пользователя.
- Если вердикт Безопасный, файл потенциально доступен для загрузки.
Примечание
Примечание: Сканированные файлы удалены и не сохраняются Cato для всех вердиктов.
Файл разрешён для пользователя, когда оба движка выдают вердикт Безвредный, затем создаются события с вердиктом "чистый".
Объединённое антивирусное сканирование не создаёт заметной задержки для качества работы. Пользователи сразу загружают чистые файлы.
Антивирусные и NG антивирусные движки поддерживают определённые форматы файлов. Для получения дополнительной информации см. Поддерживаемые форматы файлов для антивирусной защиты. (Для просмотра этой статьи необходимо войти в систему)
0 комментариев
Войдите в службу, чтобы оставить комментарий.