A DeepRay kijátszásához a hackereknek folyamatosan változtatniuk kell kártevőiket, ez pedig egy komplex és költséges folyamat. Közel egy éves működés után itt az idő megnézni, hogyan bizonyított a DeepRay technológia a mindennapokban.
A G DATA 2018 vége felé mutatta be a DeepRay technológiát, és kezdte el használni biztonsági megoldásaiban. A technológia azért született, hogy a kiberbűnözők által használt álcázási módszereket megsemmisítsék – és ez sikerült is.
Rövid visszatekintés
Ma a támadók jellemzően ugyanazokat a kártevőmagokat használják, melyeket különböző külső burkokba csomagolnak, így álcázva a vírust. Ezalatt a tényleges, változatlan kártevőt csak a fő memóriában csomagolják ki. A DeepRay mesterséges intelligencia – egy neurális hálózat – segítségével észleli a külső burkot, majd ezután azonosítja a kártevőt.
A kártevő csomagolásának a cseréje relatíve könnyű és olcsó a kiberbűnöző szemszögéből. Azonban a hagyományos szignatúraalapú antivírus megoldások számára költséges és nehézkes a sok ezer álcázott variáns észlelése – így a támadók nyilvánvalóan előnyben voltak. A DeepRay technológia bevetésével fordult a helyzet: a sikeres támadáshoz a hackereknek gyökeresen meg változtatniuk változtatniuk a kártevőt, ami költséges és hosszú folyamat.
Nagyon sok, a kártevők elemzésével foglalkozó kiadvány szerint a vírusok száma exponenciálisan növekszik. Azonban a G DATA kutatói már régóta gyanították (és most az adatok ezt alá is támasztják), hogy az egy időben aktív kártevőcsaládok száma viszonylag állandó, és az észlelt kártevők mennyisége a különböző variánsok miatt növekszik rohamosan (lásd az alábbi képet).
Eredmények
A G DATA termékeibe beépített DeepRay technológia 2019 első felében közel 2000 új támadástípust előzött meg.
A proaktív technológiai komponens több rétegű védelmet biztosít. A végponton, ahol a proaktív komponens működik, megvédi a számítástechnikai környezetet és megelőzi a további kárt. Ezután a kártevő jellemzőit a G DATA a felhőbe küldi, majd átlagosan nyolc perc múlva a kártevő más kliensen már nem indulhat el, mivel egy felhőalapú frissítés meggátolja működését. Emiatt a DeepRay védelem jellemzően egyetlen ügyfél végpontján aktivizálódik csupán, a többi ügyfélnél a kártevő további működését a felhőalapú frissítés gátolja meg. Emiatt a DeepRay komponens relatív ritkán dolgozik, hozzá viszonyítja a többi védelmi összetevők átlagosan 75-ször gyakrabban aktivizálódnak.
Egy átlagos napon a G DATA Security Cloud-ban történő lekérdezések öt százaléka alapszik DeepRay felismerésen. Az újonnan felfedezett kártevőket a Security Cloud és a szignatúra alapú motorok egyaránt megkapják. A gyorsan terjedő támadási kampányok esetében a felhőalapú megelőzés sokkal gyorsabb, mint a gyártó és az ügyfél részéről egyaránt frissítésre váró szignatúraalapú védelem.
