Considerăm că acţiunile de pe un laptop nu sunt aceleaşi cu acţiunile de pe telefon. Avem un algoritm care învaţă acest lucru, iar după aceea generează o soluţie de securitate personalizată, a spus Dragoş Gavriluţ, VP of Threat Research, Bitdefender, în cadrul ZF Cybersecurity Trends 2025.
„Încercăm să înţelegem comportamentul, ce se utilizează, ce fel de acţiuni se ia pe sistemul respectiv. Este un lucru combinat. Considerăm că acţiunile de pe un laptop nu sunt aceleaşi cu acţiunile de pe telefon. Avem un algoritm care învaţă acest lucru, iar după aceea generează o soluţie de securitate personalizată”, a spus Dragoş Gavriluţ.
Ce a mai spus Dragoş Gavriluţ, VP of Threat Research, Bitdefender:
► PHASR nu s-a numit aşa de la început. Totul a pornit de la o cu totul altă abordare. Ne uitam la diverse atacuri şi în marea majoritate a cazurilor am observat lucruri care erau relativ uşor de oprit dacă am fi gândit soluţia de securitate pentru acea entitate. A fost un moment în care am spus că problema fundamentală este că vrem să facem acelaşi lucru pentru toată lumea. Ne-am pus o întrebare interesantă, dacă ar 8 miliarde de soluţii de securitate şi fiecare ar avea soluţia lui. Acela a fost momentul care a stat la baza dezvoltării PHASR.
► În general sunt multe atacuri care folosesc diverse tool-uri care deja există deja în cadrul sistemului de operare (ex. BITSadmin, etc.) pentru a downloada o componentă dintr-un atac. Fiind un tool care aparţine de Microsoft Windows este unul pe care un produs de securitate nu îl scanează. Întrebarea fundamentală este: dacă nu ştii ce este tool-ul acela, dacă nu-l foloseşti deloc, ar deranja dacă cineva decide să blocheze accesul la acel tool? Nu, dar nu putem spune acelaşi lucru despre un administrator. El îl foloseşte, are nevoie de acel tool. Acesta este conceptul de bază al unui concept de securitate personalizată: identific din suprafaţa de atac arii care implică acţiuni care nu ţi se aplică şi pe acelea le închid.
► Noi nu ne uităm la orice acţiune care se întâmplă, ci doar la acţiuni pe care un utilizator le face, dar aceeaşi acţiune ar putea să o facă şi un atacator. De exemplu, cred că toată lumea foloseşte Microsoft Word; unul din suporturile pe care le oferă Microsoft Office este cel de macro-uri, prin care poţi scrie un cod care să ruleze odată cu deschiderea acelui document. Dacă cineva foloseşte macro VBA (n. red. Visual Basic for Application), noi observăm acest lucru şi permitem utilizarea acestui feature. Dacă în schimb cineva nu foloseşte deloc acest feature, noi nu o să blocăm utilizarea aplicaţiei Microsoft Word, dar o să blocăm deschiderea documentelor care folosesc macro VBA-uri.
► Dacă eu sunt un atacator, primul lucru pe care o să-l fac o să fie să înţeleg ce soluţie de securitate ai tu; următorul lucru este să cumpăr acea soluţie şi să testez atacul pe soluţia respectivă. Acest lucru este făcut pentru că un atacator urmăreşte un concept matematic de determinism. Dacă soluţiile funcţionează la fel şi respectă aceeaşi metodologie, atunci ceea ce detectează la mine, detectează şi la tine, dar şi invers - ceea ce nu este detectat la mine, nu va fi detectat nici la tine. Acesta este momentul în care un atac poate începe. Utilizarea acestui concept este ceea ce targetăm noi prin PHASR. Asigurându-mă că funcţionarea soluţiei de securitate este diferită la mine, ca urmare a ceea ce PHASR a învăţat din comportamentul meu, reduc probabilitatea ca un atac care funcţionează într-un fel într-un mediu de testare să funcţioneze la fel şi în lumea reală.
