Monitoraggio del comportamento

Sophos Endpoint Security and Control

Monitoraggio del comportamento

In quanto parte della scansione in accesso, Sophos Behavior Monitoring protegge i computer con sistema operativo Windows dalle minacce non identificate o del giorno zero, oltre che da comportamento sospetto.

Il rilevamento in fase di esecuzione può rilevare minacce che non possono essere identificate prima dell'esecuzione. Il monitoraggio del comportamento utilizza i seguenti metodi di rilevamento in fase di esecuzione per identificare eventuali minacce:
  • Rilevamento di comportamento malevolo e sospetto
  • Rilevamento di buffer overflow

Rilevamento di comportamento malevolo e sospetto

Il rilevamento di comportamento sospetto utilizza l'Host Intrusion Prevention System (HIPS) di Sophos per analizzare dinamicamente il comportamento di tutti i programmi in esecuzione sul computer, per rilevare e bloccare qualsiasi attività dall'aspetto malevolo. Per comportamento sospetto si intendono ad esempio le modifiche al registro che potrebbero consentire l'esecuzione automatica di un virus al riavvio del computer.

Il rilevamento di comportamento sospetto controlla tutti i processi di sistema alla ricerca di segni che indichino la presenza di malware attivo, quali scritture sospette nel registro o azioni di copiatura file. Può essere impostato in modo tale da avvertire l'amministratore e/o bloccare il processo.

Il rilevamento di comportamento malevolo coincide con l'analisi dinamica di tutti i programmi in esecuzione nel computer e ha lo scopo di rilevare e bloccare attività apparentemente malevoli.

Rilevamento di buffer overflow

Il rilevamento di buffer overflow è fondamentale nel trattamento delle minacce del giorno zero.

Analizza dinamicamente il comportamento dei programmi in esecuzione nel sistema per poter rilevare eventuali tentativi di sfruttare un processo in esecuzione tramite tecniche di buffer overflow. Intercetta attacchi che puntano a vulnerabilità della sicurezza nei software e applicazioni del sistema operativo.