Acerca de la prevención de exploits

Soporte

Soporte para empresas

Kaspersky Embedded Systems Security 3.x

Prevención de exploits

Acerca de la prevención de exploits

20 de febrero de 2023

ID 146653

Kaspersky Embedded Systems Security proporciona la capacidad de proteger la memoria del proceso de exploits. Esta función se implementa en el componente Prevención de exploits. Puede cambiar el estado de actividad del componente y configurar las opciones de protección de memoria del proceso.

El componente protege la memoria del proceso contra exploits al insertar un Agente de protección externo ("Agente") en el proceso protegido.

Un Agente de protección de proceso es un módulo de Kaspersky Embedded Systems Security cargado dinámicamente que se introduce en procesos protegidos para supervisar su integridad y reducir el riesgo de ataques de exploit.

La operación del Agente dentro del proceso protegido requiere iniciar y detener el proceso: la carga inicial del Agente en un proceso agregado a la lista de procesos protegidos solo es posible si el proceso se reinicia. Además, después de que un proceso se elimina de la lista de procesos protegidos, el Agente solo se puede descargar después de que el proceso se reinicie.

El Agente se debe detener para descargarlo de los procesos protegidos: si el componente Prevención de exploits no está instalado, la aplicación congela el entorno y fuerza la descarga del Agente de los procesos protegidos. Si durante la desinstalación del componente se inserta el Agente en alguno de los procesos protegidos, usted debe finalizar el proceso afectado. Es posible que se deba reiniciar el dispositivo protegido (por ejemplo, si el proceso del sistema está protegido).

Si se detectan pruebas de un ataque de exploit en un proceso protegido, Kaspersky Embedded Systems Security realiza una de las siguientes acciones:

Finaliza el proceso si se lleva a cabo un intento de ataque de exploit.
Informa que el proceso se ha puesto en peligro.

Puede detener la protección del proceso con uno de los siguientes métodos:

Desinstalación del componente.
Eliminación del proceso de la lista de procesos protegidos y reinicio del proceso.

Servicio de Kaspersky Security Exploit Prevention

Se requiere el servicio de Kaspersky Security Exploit Prevention en el dispositivo protegido para que el componente Prevención de exploits sea más efectivo. Este servicio y el componente Prevención de exploits son parte de la instalación recomendada. Durante la instalación del servicio en el dispositivo protegido, se crea y se inicia el proceso kavfswh. Esto comunica la información sobre procesos protegidos del componente al Agente de seguridad.

Después de que el servicio de Kaspersky Security Exploit Prevention se detiene, Kaspersky Embedded Systems Security continúa protegiendo los procesos agregados a la lista de procesos protegidos, y también se carga en procesos agregados recientemente y se aplican todas las técnicas de prevención de exploits disponibles para proteger la memoria del proceso.

Si su dispositivo ejecuta el sistema operativo Windows 10 o posterior, la aplicación no continuará protegiendo los procesos y la memoria del proceso una vez que se haya detenido el servicio de Kaspersky Security Exploit Prevention.

Si el servicio de Kaspersky Security Exploit Prevention se detiene, la aplicación no recibirá información sobre eventos que ocurren con procesos protegidos (incluida información sobre ataques de exploits y cancelación de procesos). Además, el Agente no podrá recibir la información sobre la configuración de protección nueva y la adición de procesos nuevos a la lista de procesos protegidos.

Modo de Prevención de exploits

Puede seleccionar uno de los modos siguientes para configurar acciones tomadas para reducir los riesgos de que las vulnerabilidades sufran ataques de exploits en procesos protegidos:

Finalizar en caso de exploit: aplique este modo para cancelar un proceso cuando se lleva a cabo un intento de exploit.
Cuando se detecta un intento de realizar un ataque de exploit en una vulnerabilidad de un proceso del sistema operativo crítico protegido, Kaspersky Embedded Systems Security no cancela el proceso, independientemente del modo indicado en la configuración del componente Prevención de exploits.
Solo notificar: aplique este modo para recibir la información sobre casos de exploits en procesos protegidos mediante eventos en el registro de seguridad.
Si selecciona este modo, Kaspersky Embedded Systems Security crea eventos para registrar todos los intentos de realizar un ataque de exploit en vulnerabilidades.

Kaspersky Professional Services

Implementation services. Health check and security system configuration. Contact us if you need expert help.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

¿El artículo le resultó útil?

¿En qué podemos mejorar?

¡Gracias por sus comentarios! Nos está ayudando a mejorar.