Delivery
Dostarczenie oznacza, że obcy kod programu został pobrany do komputera.
Może to oznaczać, że stacja robocza została zainfekowana lub np. będzie zainfekowana po następnym uruchomieniu (rootkit).
Jeśli tak się stanie, włamywacz przejmie kontrolę nad stacją roboczą.
Przykład
Nazwa w bazie Hillstone: „Suspicious PE (executable) File Download”
Typ: „Attack – Suspicious File Operation”
Pojawienie się podejrzanego pliku wykonywalnego może nieść za sobą wykonywanie szeregu niepożądanych operacji, w przypadku jego uruchomienia.
Jeśli nie wynika to bezpośrednio z czynności administratora, zdarzenie takie warto sprawdzić.
Weryfikacja zagrożenia
Jak się okazuje, nie wszystkie alarmujące logi odnotowane przez system Hillstone muszą oznaczać realne włamanie do systemu/sieci.
Powyższy przykład pokazuje zdarzenie, co do którego sztuczna inteligencja nauczyła się wskazywać na pewność zagrożenia („Certainty”) wynoszącą 0%.
Po sprawdzeniu szczegółów, okazuje się że pobrano aktualizację dla systemu Windows.
Podgląd zatem, tym razem pokazuje jedynie że system działa, czuwa na bezpieczeństwem i odróżnia zdarzenia groźne od niegroźnych.
W przypadku, gdy zdarzenie odnotowane jako groźne, prawie zawsze oznacza to pobranie złośliwego oprogramowania (ang. MALicious softWARE – MALWARE).
Potencjalna dotkliwość („Severity”) oceniona na średnią („Medium”), wynika z wykorzystania niezalecanych połączeń nieszyfrowanych (HTTP, port 80).