torsdag 6 november 2014

SecureAnywhere ger unik information om okända filer

En ny uppdatering av SecureAnywhere ger administratören unik information om okända filer i verksamhetens nätverk. Med SecureAnywhere's banbrytande teknik som klassificerar filer på ett system som bra eller dåliga ges en unik möjlighet att övervaka, monitorera, och granska de filer som för tillfället är okända. Med den nya uppdateringen ges administratören möjlighet att se exakt vilken tidspunkt filen sågs för första gången på Internet, men också när den sågs första gången i det egna nätverket eller på en specifik dator.

SecureAnyhwere indexerar alla filer på det skyddade systemet och klassificerar dem genom att skicka en s.k. "file hash" till Webroot's molndatabas. Molndatabasen innehåller mer än 150 terrabyte information om filer och filbeteenden. I de fall en fil inte kan klassas vare sig som "bra" eller "dålig" körs filen i "monitor mode" villket innebär att alla ändringar som den okända filen utför loggas i en lokal databas och att den begränsas från access till systemkritiska funktioner. Om en oklassifiserad fil vid ett senare tillfälle klassas som "dålig" kommer filen direkt sättas i karantän och de förändringar filen utfört automatiskt återställas.

Genom att spara och logga informationen om när en fil första gången noteras i ett system kan SecureAnyhwere presentera detaljerad information om hur länge en specifik okänd fil funnits i ett nätverk, på vilka datorer den noterats och när den helt kunde elimineras. I Gartner's Magic Quadrant för Endpoint Protection 2014 beskrevs SercureAnywhere som den enda tillverkaren som kunde presentera en "Dwell time", alltså den tid en okänd fil får existera på ett system. Nu utökas funktionerna för file audits med mer detaljerad information och historik om filers livscykel.















Funktionen är helt unik för SecureAnywhere och ger också information om hur vanligt förekommande filen är globalt, filens utgivare, detaljerad information om hur länge och på villka datorer filen har fått verka innan den kunde klassificeras som "bra" eller "dålig" av Webroot Security Research eller av en lokal administratör.


I det verkliga exemplet på bilden ovan beskrivs hur filen "-VOICEMESS1104.WAV.SCR" för första gången noteras av Webroot Security Research den 4:e november klockan 15:41.

Klockan 16:27 upptäcks filen för första gången på en dator hos en användare. Då filen saknar klassificering sätts filen i monitor mode som loggar dess aktivitet och begränsar tillgången till kritiska systemresurser.

Klockan 16:44 görs en global klassificering av filen som "dålig" och tio minuter senare bekräftas att filen satts i karantän och att eventuella ändringar som filen orsakat i systemen återställts.

Enligt www.virustotal.com saknades signatur för denna fil hos samtliga andra antivirustillverkare fram till den 5:e november, cirka 24 timmar efter det att Webroot klassificerat filen som "dålig". Under hela denna period har användare av andra antivirussystem inte haft tillgång till signatur för filen och än mindre har användare hunnit ladda hem nya signaturuppdateringar. 

www.wecloud.se
info@wecloud.se