Общая информация
Системы FALCON работают на основе технологий антивирусного мультисканирования и песочницы. Ее основная задача — проверка объектов анализа на наличие вредоносного контента и легитимность поведения. Проверка в системе FALCON включает в себя несколько этапов, каждый из которых имеет свой вердикт, окончательное решение принимается по высшему вердикту. По окончании исследования выдается подробный отчет с обоснованием вердикта.
Антивирусный мультисканер
Песочница
Агенты
Почтовый трафик
Веб-трафик
FTP хранилище
Боты
Машинное обучение
Антивирусный мультисканер
Основное назначение статического блока — быстрая обработка больших объемов трафика и обнаружение известных вредоносных программ. Этот функциональный модуль способен проверять файлы и веб-cсылки. Его инструменты в первую очередь анализируют синтаксическую структуру объекта и эффективно обнаруживают уже известные образцы вирусов.
Песочница
Динамический блок защищает от целевых атак и угроз нулевого дня (новых атак, которые еще не обнаружены и не изучены). Динамическая проверка анализирует поведение файла в имитационной среде (она может быть как виртуальной, так и физической), которая соответствует реальному рабочему месту пользователя или серверу компании. В ней запускается файл, который провоцируется на вредоносные действия, собираются события о его поведении и выносится вердикт на основе аналитического блока и поведенческих сигнатур, используемых в системе FALCON.
Агенты
FALCON Agents — это кроссплатформенное программное обеспечение для рабочих станций и серверов на базе ОС Windows и ОС Linux, которое может контролировать USB-устройства, сетевую активность, использование ресурсов и поведение пользователей.
Почтовый трафик
Система FALCON может проверять следующие типы файлов в почтовом трафике (MSG and EML, PDF, MS Office, Архивы, Многотомные архивы, Защищенные паролем архивы и файлы и т.д.
Почтовые форматы MSG и EML проверяются как письма при отправке на проверку по почтовому трафику, и к ним применяется соответствующая логика обработки.
Веб-трафик
Система FALCON предоставляет возможность внешним сервисам автоматически отправлять файлы на проверку и получать отчеты о результатах исследования. Одним из способов взаимодействия является интеграция по протоколу ICAP.
FTP хранилище
Система FALCON способна проверять файловые хранилища в нескольких режимах по расписанию или появление в них новых файлов. Структура файлов после проверки сохраняется, а файлы сортируются по папкам в зависимости от вердикта: безопасные, подозрительные, вредоносные.
Боты
Боты системы ATHENA принимают на проверку файлы и ссылки на проверку, а также способны проверять данные на диске и файлообменнике.
Машинное обучение
Машинное обучение позволяет автоматически обнаруживать новые вредоносные программы на основе ретроспективного анализа базы данных сигнатур вирусов, накопленной в системе FALCON. Изучив большое количество образцов, модель машинного обучения способна обобщать информацию и обнаруживать новые угрозы. Помимо локального сравнения подозрительного файла с контрольной суммой вредоносного ПО, хранящейся в базе данных, используется поведенческий анализ, способный обнаруживать опасные объекты, признаки которых отсутствуют в базе данных. Для применения алгоритмов машинного обучения из исследуемого файла извлекаются его характеристики (признаки), которые передаются на анализ модели машинного обучения.