Антивирус нового поколения (NGAV)
Что такое Антивирус нового поколения (NGAV)?
Антивирус нового поколения (NGAV)Защита конечных точек, которая дополняет сигнатурное сканирование моделями машинного обучения, поведенческой аналитикой и предотвращением эксплойтов для остановки неизвестных и fileless-угроз.
NGAV (Next-Generation Antivirus) появился в середине 2010-х в ответ на ограничения сигнатурного AV. CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, VMware Carbon Black и Cybereason сочетают облачные ML-классификаторы, поведенческие мониторы телеметрии процессов и API, модули защиты от эксплойтов и детекторы Indicators of Attack (IOA). NGAV блокирует fileless-техники вроде LOLBins и reflective DLL loading, недоступные классическим сигнатурам, и обычно поставляется как уровень предотвращения вместе с EDR/XDR-сенсором. NIST SP 800-83 и MITRE Engenuity ATT&CK Evaluations описывают и сравнивают категорию. Эффективный NGAV сокращает dwell time, но требует тюнинга для контроля ложных срабатываний.
● Примеры
- 01
CrowdStrike Falcon Prevent блокирует ранее неизвестный шифровальщик по поведенческой модели, а не по сигнатуре.
- 02
Правило ASR Microsoft Defender запрещает Office-макросам запускать дочерние процессы.
● Частые вопросы
Что такое Антивирус нового поколения (NGAV)?
Защита конечных точек, которая дополняет сигнатурное сканирование моделями машинного обучения, поведенческой аналитикой и предотвращением эксплойтов для остановки неизвестных и fileless-угроз. Относится к категории Защита и операции в кибербезопасности.
Что означает Антивирус нового поколения (NGAV)?
Защита конечных точек, которая дополняет сигнатурное сканирование моделями машинного обучения, поведенческой аналитикой и предотвращением эксплойтов для остановки неизвестных и fileless-угроз.
Как работает Антивирус нового поколения (NGAV)?
NGAV (Next-Generation Antivirus) появился в середине 2010-х в ответ на ограничения сигнатурного AV. CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, VMware Carbon Black и Cybereason сочетают облачные ML-классификаторы, поведенческие мониторы телеметрии процессов и API, модули защиты от эксплойтов и детекторы Indicators of Attack (IOA). NGAV блокирует fileless-техники вроде LOLBins и reflective DLL loading, недоступные классическим сигнатурам, и обычно поставляется как уровень предотвращения вместе с EDR/XDR-сенсором. NIST SP 800-83 и MITRE Engenuity ATT&CK Evaluations описывают и сравнивают категорию. Эффективный NGAV сокращает dwell time, но требует тюнинга для контроля ложных срабатываний.
Как защититься от Антивирус нового поколения (NGAV)?
Защита от Антивирус нового поколения (NGAV) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Антивирус нового поколения (NGAV)?
Распространённые альтернативные названия: NGAV, AV нового поколения.
● Связанные термины
- defense-ops№ 050
Антивирус (AV)
ПО для конечных точек, которое обнаруживает и удаляет вредоносные файлы с помощью баз сигнатур, сканирования файлов и базовой эвристики — историческая основа endpoint-безопасности.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 1254
XDR (расширенное обнаружение и реагирование)
Платформа безопасности, объединяющая телеметрию с конечных точек, сети, систем идентификации, почты и облака, чтобы давать коррелированные обнаружения и единые действия по реагированию.
- defense-ops№ 091
Поведенческое детектирование
Подход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов.
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
- network-security№ 1043
Сигнатурное обнаружение
Метод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.