همانطور که میدانید سامانههای پویشگر چند موتوره (MultiAV یا MultiScanner) سامانههایی هستند که چندین ضدویروس را با هم ترکیب میکنند و در قالب یک خدمت به شما ارائه میدهند. سامانههای چند موتوره امروزه کاربردهای بسیاری دارند که از جمله مهمترین آنها میتوان به موارد زیر اشاره کرد:
با توجه به این موضوع که امروزه اکثر سازمانها به استفاده از سامانههای پویشگر چندموتوره نیاز دارند. در حال حاضر بیش از ۲۰ سامانه پویشگر چند موتوره موجود است که سازمانها میتوانند یکی از آنها را جهت استفاده در سازمان انتخاب کنند. برخی از سامانههای پویشگر چندموتوره متنباز یا رایگان، اما برخی دیگر بسیار گرانقیمت هستند. به عنوان مثال هزینه خرید مجوز یک ساله تنها یک نسخه On-Premise یکی از برندهای مطرح خارجی به بیش از ۲۰۰۰۰۰ دلار (معادل تقریبا ۱۰ میلیارد تومان در زمان نوشته شدن این مقاله در آبان ۱۴۰۲) میرسد.
متاسفانه در حال حاضر مستند کامل و دقیقی درباره تفاوت برندهای مختلف سامانههای پویشگر چند موتوره و مقایسه آنها وجود ندارد و سازمانها در هنگام خرید یا استقرار این سامانهها دچار سردرگمی میشوند. همچنین برخی افراد سودجو در کشور نسخههای متنباز و بیکیفیت پویشگر چندموتوره را با برندهای مختلف میفروشند و مشکلات زیادی برای سازمانها ایجاد میکنند. با توجه به این موضوع در این مستند میخواهیم تفاوتهای سامانههای پویشگر چندموتوره و مواردی که در هنگام انتخاب یا خرید این سامانهها باید مد نظر داشته باشید را ارائه دهیم. با ما همراه باشید.
در این مقاله میخوانید:
پویشگر بدافزار چندموتوره باید چه ویژگیهایی داشته باشد؟
قابلیت یکپارچهسازی با انواع مختلف سامانهها
گفتیم که تعدادی پویشگر چند موتوره وجود دارند که حتی بعضی از آنها، متنباز و رایگان هستند اما بعضی دیگر، قیمت خیلی بالایی دارند؛ البته هیچ ارزانی بیدلیل نیست! پیش از انتخاب پویشگر چندموتوره برای شناسایی فایلهای مشکوک باید ویژگیهای یک پویشگر چندموتوره خوب را بشناسید. در ادامه به شما میگوییم که پویشگر چندموتوره خوب باید چه قابلیتها و ویژگیهایی داشته باشد و چرا در حالی که بعضی از پویشگرها رایگان هستند یا قیمت پایینی دارند، برخی دیگر با قیمتهای بالایی به فروش میرسند.
یکی از اولین نکاتی که باید در انتخاب یک سامانه پویشگر چند موتوره به آن دقت کنید، روال بروزرسانی ضدویروسها در آن سامانه است. همانطور که میدانید یکی از اهداف اصلی سامانههای پویشگر چند موتوره افزایش نرخ شناسایی بدافزار میباشد. پویشگر چندموتورهای که هیچ کدام از ضدویروسهایش بروز نباشد، بدیهی است که نمیتواند بدافزارهای جدید را شناسایی نماید.
یک پویشگر چند موتوره خوب علاوه بر اینکه باید دارای امکان بروزرسانی امضای ضدویروسها به طور مداوم باشد، باید دارای امکان بروزرسانی موتور ضدویروسها نیز باشد و همواره امکان استفاده از آخرین موتور یا نسخه آن ضدویروس وجود داشته باشد.
طریقه بروزرسانی ضدویروسها وابستگی زیادی به نوع و روش پیادهسازی سامانه پویشگر چندموتوره است. اگر روش پیادهسازی مبتنی بر VMWare یا سایر ابزارهای Virtualization باشد، عموما بروزرسانی امضا ضدویروسها بر عهده کاربر نهایی است. اگر بر اساس SDK ،API یا Docker باشد، عموما بروزرسانی از سمت توسعهدهنده ارائه خواهد شد (حال به صورت Online ،Offline یا هردو).
نکتهای که باید به آن بسیار اهمیت دهید این است که آیا پویشگر چند موتوره شما روال دقیقی برای بروزرسانی دارد یا خیر؟ برندهای معتبر پویشگر چندموتوره عموما به شما به صورت روزانه (هم به صورت Online و هم به صورت Offline) بروزرسانی میدهند.
اما نسخههای متنباز یا برندهای نامعتبر عموما بروزرسانی نمیدهند یا اینکه دوره بروزرسانی آنها بسیار طولانی است. چرا که توسعهدهنده برای بروزرسانی ضدویروسها نیاز به یک تیم تخصصی دارد که هر ماه به محض انتشار نسخه جدید ضدویروس آن را با سامانه پویشگر چندموتوره سازگار نمایند. استقرار این تیم نیازمند بودجه بالایی است که معمولا توسط برندهای نامعتبر یا پروژههای متنباز قابل تامین نیست. همچنین دیده شده است که برخی از برندهای نامعتبر اقدام به جعل تاریخ بروزرسانی میکنند. برخی دیگر تنها پایگاه داده ضدویروسها را بروز میکنند و موتور آنها بروزرسانی نمیگردد.
به عنوان مثال سامانه malice که در حال حاضر پرطرفدارترین سامانه پویشگر چند موتوره متنباز میباشد، ضدویروسهایش نزدیک به 8 سال است که بروزرسانی نداشتهاند. (شکل زیر) خود پروژه نیز چند ماه است که به حالت Archive در آمده است.
چنانچه از پویشگر چند موتوره خود برای محافظت از سامانههای حساس استفاده میکنید، نیازمند این هستید که این سرویس همواره در دسترس باشد و اختلالی در عملکرد آن ایجاد نشود. عموما برندهای معتبر پویشگر چند موتوره پشتیبانی کامل دارند، به عنوان نمونه سامانه پویشگر چند موتوره OPSWAT MetaDefender به مشتریان تجاری خودش SLA در دسترس بودن سرویس در 99.9% مواقع را میدهد. نسخههای متنباز فاقد پشتیبانی و برندهای نامعتبر نیز دارای پشتیبانی ضعیف هستند.
دقت داشته باشید که برندهای خارجی پویشگر چند موتوره به علت تحریمها هیچگونه پشتیبانی به کاربران ایرانی ارائه نمیدهند. کاربران ایرانی برای خرید این سامانهها نیز با مشکلاتی رو به رو خواهند بود.
سامانههای پویشگر چند موتوره میتوانند جهت محافظت از هر سامانه یا پروتکلی که قابلیت آپلود فایل دارند مورد استفاده قرار گیرند. به عنوان مثال چنانچه در سازمان خود از NextCloud برای اشتراکگذاری فایل استفاده میکنید، میتوانید با اتصال آن به یک سامانه پویشگر چند موتوره، فایلهای آپلودی را از نظر وجود بدافزار مورد بررسی قرار دهید. بنابراین یک سامانه پویشگر چند موتوره خوب باید انواع و اقسام پلاگین برای سامانههای آپلود فایل ارائه دهد. همچنین باید دارای یک API و SDK کامل باشد تا امکان اتصال آن به سامانههای آپلود فایل و پروتکلهای مختلف به سادگی فراهم باشد.
یک کاربر ممکن است فایلهای زیادی را جهت پویش به سامانه پویشگر چند موتوره ارسال نماید. نکتهای که در اینجا وجود این است که ممکن است این فایلهای حاوی دادههای محرمانه و حساسی باشند. در هنگام خرید یا انتخاب سامانه پویشگر چند موتوره بررسی کنید که آیا سامانه پویشگر چند موتوره محتوای فایلها را ذخیره میکند یا خیر؟ اگر میکند، دقیقا چه کاری با این فایل انجام میدهد؟ به عنوان مثال اگر نگاهی به سیاستهای حریم شخصی پویشگر چندموتوره VirusTotal بیندازیم، میبینیم که VirusTotal صریحا میگوید که فایلهای آپلودشده را جهت بررسی در اختیار شرکتهای تولیدکننده ضدویروس و آزمایشگاههای تحلیل بدافزار میگذارد (شکل زیر). در واقع Business Model پویشگر چندموتوره VirusTotal مبتنی بر فروش این دادهها به شرکتهای تولیدکننده ضدویروس شکل گرفته است.
بنابراین بدیهی است که نمیتوانید از VirusTotal برای پویش فایلهای محرمانه سازمان خود یا حتی فایلهای مرتبط با برنامههای داخلی سازمان خود استفاده کنید.
نکته: دقت داشته باشید که چنانچه ضدویروسهای مورد استفاده سامانه پویشگر چندموتوره به اینترنت دسترسی داشته باشند، ممکن است قابلیت Cloud آن ضدویروس اقدام به ارسال نمونه فایل به سرور خودش نماید. بنابراین چنانچه نسبت به این موضوع حساس هستید، حتما از تولیدکننده درباره دسترسی اینترنت ضدویروسها و فعال بودن قابلیت Cloud آنها سوال کنید.
یک سامانه پویشگر چندموتوره خوب باید کارایی بالایی در پویش فایلها داشته باشد و الگوریتمش طوری پیادهسازی شده باشد که به غیر از پویش ضدویروسها (که ممکن است زمانبر باشد) خودش سربار زیادی به پویش اضافه نکند.
همچنین توجه داشته باشید که اکثریت سامانههای پویشگر چند موتوره دارای امکان نگهداری و جستجوی نتیجه پویش در پایگاه داده هستند. ممکن است در لحظه هزاران هزار فایل به سامانه ارسال گردد و به مرور حجم فایلهای موجود در پایگاه داده زیاد شود. به عنوان مثال در حال حاضر در سامانه VirusTotal اطلاعات بیش از ۲ میلیارد فایل ذخیره شده است. بنابراین ذخیره و بازیابی اطلاعات در سامانههای پویشگر چند موتوره یک مسئله Big Data میباشد. برندهای معتبر پویشگر چند موتوره عموما روشهای خوبی برای ذخیره این اطلاعات دارند و اطلاعات میلیونها یا حتی میلیاردها فایل را بدون مشکل میتوانند نگهداری و بازیابی کنند. همچنین امکاناتی برای هندل کردن درخواستهای بسیار زیاد ارائه میدهند. مثلا امکان پویش موازی یا چند نخی توسط یک Instance از یک ضدویروس را ارائه میدهند. علاوه بر آن چنانچه در بستر Cloud باشند، اندازه و تعداد Instance ضدویروسها را مبتنی بر حجم درخواستها تنظیم میکنند.
در مقابل برندهای نامعتبر چنین امکاناتی ندارند و عموما نسبت به برندهای معتبر کندتر هستند. به مرور نیز به علت عدم بهینگی پایگاه داده کند میشوند و کاربر مجبور خواهد بود هر از چند گاه جهت افزایش سرعت سامانه اقدام به حذف دادههای سامانه نماید.
یکی از نکاتی که یک پویشگر چند موتوره خوب باید به خوبی پیادهسازی کند مدیریت خطا در پویشگر چند موتوره و ضدویروسهای درون آن میباشد. با توجه به تعدد ضدویروسها احتمال اینکه فایل تحت پویش در یکی از ضدویروسها به خطا بخورد بسیار بالاست. یک سامانه پویشگر چند موتوره خوب باید بتواند این خطاها را به خوبی مدیریت نماید. همچنین Wrapper ضدویروس باید به گونهای طراحی گردد که احتمال حملاتی همانند Command Injection در سامانههای پویشگر چندموتوره مبتنی بر Command Line به حداقل ممکن برسد.
از جمله دیگر قابلیتها و نکاتی که در هنگام خرید سامانه پویشگر چند موتوره باید به آن توجه کنید، عبارت است از:
پویشگر چند موتوره سایبرنو در حال حاضر بهترین سامانه پویشگر چند موتوره تولید شده در کشور میباشد. اولین نسخه این سامانه در سال ۱۳۹۵ منتشر شده و بیش از ۷ سال است که به طور مداوم توسعه داده میشود. این سامانه از لحاظ قابلیتها و کارایی با برترین نمونههای خارجی قابل رقابت میباشد. در جدول زیر مقایسهای بین پویشگر چندموتوره سایبرنو با دو برند معتبر خارجی (OPSWAT و VirusTotal) و همچنین برندهای نامعتبر و سامانههای متنباز شده است.
در این مستند به بررسی نکات و مواردی که باید در هنگام انتخاب یک سامانه پویشگر چندموتوره مد نظر قرار دهید، اشاره شده است. در پایان توصیه ما این است که چنانچه قصد استفاده تحقیقاتی (همانند کارهای آزمایشگاهی یا دانشگاهی در حوزه تحلیل بدافزار) دارید و دقت و بروز بودن خروجی ضدویروسهای سامانه پویشگر چند موتوره آنچنان اهمیت ندارد، میتوانید از نمونههای متنباز همانند malice یا saferwall استفاده کنید. اما چنانچه قصد استفاده تجاری از سامانههای پویشگر چند موتوره دارید، توصیه ما استفاده از پویشگر چند موتوره سایبرنو میباشد.