Wynikiem naszych testów są certyfikaty potwierdzające skuteczność ochrony programów przed złośliwym oprogramowaniem i cyberatakami. W analizie kładziemy nacisk na techniczne aspekty testowania rozwiązań do ochrony stacji roboczych, urządzeń przenośnych, komputerów osobistych i usług cyberbezpieczeństwa. Informacji związanych z testami jest tak dużo, że postanowiliśmy przygotować krótkie wprowadzenie do procedur, narzędzi i technik, którymi się posługujemy.
Cała aplikacja testująca jest jak jeden organizm zbudowany z poszczególnych elementów, w którym każdy działa osobno i jednocześnie współpracuje z pozostałymi. Stworzyliśmy tak naprawdę aplikację, która robi dokładnie to samo co człowiek, lecz nieporównywalnie szybciej i wydajniej, ponieważ w jednym czasie może zarządzać dużą liczbą maszyn wirtualnych — wykonuje setki operacji, gdyż nie jest ograniczona ludzką biomechaniką.
Próbki malware (adresy URL) wykorzystywane w naszych testach pochodzą z ataków na honeypoty. Są to pułapki, których zadaniem jest udawanie celu podatnego na ataki i przechwytywanie złośliwego oprogramowania. Wykorzystujemy honeypoty niskointeraktywne i wysokointeraktywne. Wszystkie z nich symulują usługi takie jak: SSH, HTTP, HTTPS, SMB, FTP, TFTP, rzeczywisty system Windows i serwer poczty. Korzystamy także z publicznych feedów ze złośliwym oprogramowaniem oraz niebezpiecznymi adresami URL.
Podczas uruchamiania procedury testowej i pierwszego importu próbki malware do systemu testowego Windows, dokonywana jest statyczna analiza złośliwego oprogramowania na podstawie reguł Yara, polecenia „file” w powłoce systemowej Linux, a także wstępna, dynamiczna analiza w czasie rzeczywistym z wyłączoną ochroną antywirusową Microsoft Defender w celu weryfikacji poprawnego działania malware w systemie. Dzięki potrójnej weryfikacji odrzucamy próbki, które już istnieją w bazie danych (SHA2), niedziałające albo uszkodzone próbki, jeśli nie wykazywały złośliwej aktywności. Odbiorcy naszych testów mają pewność, że nigdy nie będziemy testować produktów ochronnych na dwóch takich samych próbkach malware.
Aplikacja napisana w języku programowania NodeJS asynchronicznie automatyzuje całą procedurę testów:
Wykorzystujemy interfejs API VMware do pilnowania, aby maszyny były uruchamiane w jednym czasie. Aplikacja reaguje na błędy przy analizie i jeśli jest to konieczne, powtarza operacje. Dzięki temu mamy pewność, że wszystkie rozwiązania ochronne są testowane w tym samym czasie na tej samej próbce malware.
Jest to ważny element systemu testującego, który po pierwsze loguje zdarzenia wykonane przez złośliwe oprogramowanie, po drugie wychwytuje informacje o reakcji produktu ochronnego na złośliwe oprogramowanie. Po trzecie logi z systemu Windows zawierają m.in. informacje o tym, w jaki sposób testowane rozwiązanie wykryło zagrożenie.
Na podstawie wprowadzonych wytycznych, aplikacja testująca decyduje, czy złośliwe oprogramowanie zainfekowało system, a także czy produkt bezpieczeństwa zareagował na wirusa. Przeszukuje logi pod kątem aktywności wirusów i reakcji produktu bezpieczeństwa na złośliwą aktywność. Zdobyte w ten sposób artefakty o ataku i infekcji są przekazywane do bazy danych.
Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
[ninja_tables id=”27481″]