Multi-AV | راهنمای انتخاب

Multi-AV | راهنمای انتخاب

همانطور که می‌دانید سامانه‌های Multi-AV (Multi AntiVirus) یا MultiScanner سامانه‌ها‌یی هستند که چندین ضدویروس را با هم ترکیب می‌کنند و در قالب یک خدمت به شما ارائه می‌دهند. سامانه‌های چند موتوره امروزه کاربردهای بسیاری دارند که از جمله مهم‌ترین آن‌ها می‌توان به موارد زیر اشاره کرد:

  • شناسایی بدافزار در آزمایشگاه‌های تحلیل بدافزار
  • محافظت از سرورهای ذخیره‌سازی فایل (جهت جلوگیری از انتشار بدافزار در سازمان)
  • محافظت از سرورهای پست الکترونیکی
  • جلوگیری از ورود بدافزار به درون سازمان (از طریق سامانه‌های سخت‌افزاری همانند کیوسک)
  • ابزاری برای تشخیص بدافزار در سامانه‌هایی همچون EDR و Sandbox
  • کارهای تحقیقاتی در حوزه تحلیل بدافزار
  • و...

با توجه به این موضوع که امروزه اکثر سازمان‌ها به استفاده از سامانه‌های Multi-AV نیاز دارند. در حال حاضر بیش از ۲۰ سامانه Multi-AV موجود است که سازمان‌ها می‌توانند یکی از آن‌ها را جهت استفاده در سازمان انتخاب کنند. برخی از سامانه‌های Multi-AV متن‌باز یا رایگان، اما برخی دیگر بسیار گران‌قیمت هستند. به عنوان مثال هزینه خرید مجوز یک ساله تنها یک نسخه On-Premise یکی از برندهای مطرح خارجی به بیش از ۲۰۰۰۰۰ دلار (معادل تقریبا ۱۰ میلیارد تومان در زمان نوشته شدن این مقاله در آبان ۱۴۰۲) می‌رسد.

متاسفانه در حال حاضر مستند کامل و دقیقی درباره تفاوت برندهای مختلف سامانه‌های Multi-AV و مقایسه آن‌ها وجود ندارد و سازمان‌ها در هنگام خرید یا استقرار این سامانه‌ها دچار سردرگمی می‌شوند. همچنین برخی افراد سودجو در کشور نسخه‌های متن‌باز و بی‌کیفیت Multi-AV را با برندهای مختلف می‌فروشند و مشکلات زیادی برای سازمان‌ها ایجاد می‌کنند. با توجه به این موضوع در این مستند می‌خواهیم تفاوت‌های سامانه‌های Multi-AVو مواردی که در هنگام انتخاب یا خرید این سامانه‌ها باید مد نظر داشته باشید را ارائه دهیم. با ما همراه باشید.

 

در این مقاله می‌خوانید:

Multi-Av باید چه ویژگی‌هایی داشته باشد؟

روال بروزرسانی ضد ویروس‌ها

پشتیبانی خوب و ارائه SLA

قابلیت یکپارچه‌سازی با انواع مختلف سامانه‌ها

حفظ محرمانگی داده‌ها

کارایی در پویش فایل‌ها

مدیریت خطا و استثنائات

سایر قابلیت‌ها

پویشگر چندموتوره سایبرنو

جمع‌بندی

 

Multi-Av باید چه ویژگی‌هایی داشته باشد؟

گفتیم که تعدادی Multi-AV وجود دارند که حتی بعضی از آن‌ها، متن‌باز و رایگان هستند اما بعضی دیگر، قیمت خیلی بالایی دارند؛ البته هیچ ارزانی بی‌دلیل نیست! پیش از انتخاب Multi-AV برای شناسایی فایل‌های مشکوک باید ویژگی‌های آن را خوب را بشناسید. در ادامه به شما می‌گوییم که Multi-AV خوب باید چه قابلیت‌ها و ویژگی‌هایی داشته باشد و چرا در حالی که بعضی از Multi-AVها رایگان هستند یا قیمت پایینی دارند، برخی دیگر با قیمت‌های بالایی به فروش می‌رسند.

 

روال بروزرسانی ضدویروس‌ها

بروزرسانی ضد ویروس

 

یکی از اولین نکاتی که باید در انتخاب یک سامانه Multi-AV به آن دقت کنید، روال بروزرسانی ضدویروس‌ها در آن سامانه است. همانطور که می‌دانید یکی از اهداف اصلی سامانه‌های Multi-AV افزایش نرخ شناسایی بدافزار می‌باشد.هنگامی که هیچ کدام از ضدویروس‌های Multi-AV بروز نباشد، بدیهی است که نمی‌تواند بدافزارهای جدید را شناسایی نماید.

یک Multi-AV چند موتوره خوب علاوه بر اینکه باید دارای امکان بروزرسانی امضای ضدویروس‌ها به طور مداوم باشد، باید دارای امکان بروزرسانی موتور ضدویروس‌ها نیز باشد و همواره امکان استفاده از آخرین موتور یا نسخه آن ضدویروس وجود داشته باشد.

طریقه بروزرسانی ضدویروس‌ها وابستگی زیادی به نوع و روش پیاده‌سازی سامانه Multi-AV است. اگر روش پیاده‌سازی مبتنی بر VMWare یا سایر ابزارهای Virtualization باشد، عموما بروزرسانی امضا ضدویروس‌ها بر عهده کاربر نهایی است. اگر بر اساس SDK ،API یا Docker‌ باشد، عموما بروزرسانی از سمت توسعه‌دهنده ارائه خواهد شد (حال به صورت Online ،Offline یا هردو).

نکته‌ای که باید به آن بسیار اهمیت دهید این است که آیا Multi-AV شما روال دقیقی برای بروزرسانی دارد یا خیر؟ برندهای معتبر Multi-AV عموما به شما به صورت روزانه (هم به صورت Online و هم به صورت Offline) بروزرسانی می‌دهند.

اما نسخه‌های متن‌باز یا برندهای نامعتبر عموما بروزرسانی نمی‌دهند یا اینکه دوره بروزرسانی آن‌ها بسیار طولانی است. چرا که توسعه‌دهنده برای بروزرسانی ضدویروس‌ها نیاز به یک تیم تخصصی دارد که هر ماه به محض انتشار نسخه جدید ضدویروس آن را با سامانه Multi-AV سازگار نمایند. استقرار این تیم نیازمند بودجه بالایی است که معمولا توسط برندهای نامعتبر یا پروژه‌های متن‌باز قابل تامین نیست. همچنین دیده شده است که برخی از برندهای نامعتبر اقدام به جعل تاریخ بروزرسانی می‌کنند. برخی دیگر تنها پایگاه داده ضدویروس‌ها را بروز می‌کنند و موتور آن‌ها بروزرسانی نمی‌گردد.

به عنوان مثال سامانه malice که در حال حاضر پرطرفدارترین سامانه Multi-AV متن‌باز می‌باشد، ضدویروس‌هایش نزدیک به 8 سال است که بروزرسانی نداشته‌اند. (شکل زیر) خود پروژه نیز چند ماه است که به حالت Archive در آمده است.

 

سامانه malice

 

پشتیبانی خوب و ارائه SLA

چنانچه از Multi-AV خود برای محافظت از سامانه‌های حساس استفاده می‌کنید، نیازمند این هستید که این سرویس همواره در دسترس باشد و اختلالی در عملکرد آن ایجاد نشود. عموما برندهای معتبر Multi-AV پشتیبانی کامل دارند، به عنوان نمونه سامانه آنتی ویروس چند موتوره OPSWAT MetaDefender به مشتریان تجاری خودش SLA در دسترس بودن سرویس در 99.9% مواقع را می‌دهد. نسخه‌های متن‌باز فاقد پشتیبانی و برندهای نامعتبر نیز دارای پشتیبانی ضعیف هستند.

دقت داشته باشید که برندهای خارجی Multi-AV به علت تحریم‌ها هیچگونه پشتیبانی به کاربران ایرانی ارائه نمی‌دهند. کاربران ایرانی برای خرید این سامانه‌ها نیز با مشکلاتی رو به رو خواهند بود.

 

قابلیت یکپارچه‌سازی با انواع مختلف سامانه‌ها

سامانه‌های Multi-AV می‌توانند جهت محافظت از هر سامانه یا پروتکلی که قابلیت آپلود فایل دارند مورد استفاده قرار گیرند. به عنوان مثال چنانچه در سازمان خود از NextCloud‌ برای اشتراک‌گذاری فایل استفاده می‌کنید، می‌توانید با اتصال آن به یک سامانه Multi-AV، فایل‌های آپلودی را از نظر وجود بدافزار مورد بررسی قرار دهید. بنابراین یک سامانه Multi-AV خوب باید انواع و اقسام پلاگین برای سامانه‌های آپلود فایل ارائه دهد. همچنین باید دارای یک API و SDK کامل باشد تا امکان اتصال آن به سامانه‌های آپلود فایل و پروتکل‌های مختلف به سادگی فراهم باشد.

 

حفظ محرمانگی داده‌ها

یک کاربر ممکن است فایل‌های زیادی را جهت پویش به سامانه Multi-AV ارسال نماید. نکته‌ای که در اینجا وجود این است که ممکن است این فایل‌ها حاوی داده‌های محرمانه و حساسی باشند. در هنگام خرید یا انتخاب سامانه Multi-AV بررسی کنید که آیا سامانه Multi-AV محتوای فایل‌ها را ذخیره می‌کند یا خیر؟ اگر می‌کند، دقیقا چه کاری با این فایل انجام می‌دهد؟ به عنوان مثال اگر نگاهی به سیاست‌های حریم شخصی پویشگر چندموتوره VirusTotal بیندازیم، می‌بینیم که VirusTotal صریحا می‌گوید که فایل‌های آپلودشده را جهت بررسی در اختیار شرکت‌های تولیدکننده ضدویروس و آزمایشگاه‌های تحلیل بدافزار می‌گذارد (شکل زیر). در واقع Business Model پویشگر چندموتوره VirusTotal مبتنی بر فروش این داده‌ها به شرکت‌های تولیدکننده ضدویروس شکل گرفته است.

 

حفظ محرمانگی داده

 

بنابراین بدیهی است که نمی‌توانید از VirusTotal برای پویش فایل‌های محرمانه سازمان خود یا حتی فایل‌های مرتبط با برنامه‌های داخلی سازمان خود استفاده کنید.

نکته: دقت داشته باشید که چنانچه ضدویروس‌های مورد استفاده سامانه MultiAV به اینترنت دسترسی داشته باشند، ممکن است قابلیت Cloud آن ضدویروس اقدام به ارسال نمونه فایل به سرور خودش نماید. بنابراین چنانچه نسبت به این موضوع حساس هستید، حتما از تولیدکننده درباره دسترسی اینترنت ضدویروس‌ها و فعال بودن قابلیت Cloud آن‌ها سوال کنید.

 

کارایی بالا در پویش فایل‌ها

یک سامانه Multi-AV خوب باید کارایی بالایی در پویش فایل‌ها داشته باشد و الگوریتمش طوری پیاده‌سازی شده باشد که به غیر از پویش ضدویروس‌ها (که ممکن است زمانبر باشد) خودش سربار زیادی به پویش اضافه نکند.

همچنین توجه داشته باشید که اکثریت سامانه‌های MultiAV دارای امکان نگهداری و جستجوی نتیجه پویش در پایگاه داده هستند. ممکن است در لحظه هزاران هزار فایل به سامانه ارسال گردد و به مرور حجم فایل‌های موجود در پایگاه داده زیاد شود. به عنوان مثال در حال حاضر در سامانه VirusTotal اطلاعات بیش از ۲ میلیارد فایل ذخیره شده است. بنابراین ذخیره و بازیابی اطلاعات در سامانه‌های Multi-AV یک مسئله Big Data می‌باشد. برندهای معتبر MultiAV عموما روش‌های خوبی برای ذخیره این اطلاعات دارند و اطلاعات میلیون‌ها یا حتی میلیاردها فایل را بدون مشکل می‌توانند نگهداری و بازیابی کنند. همچنین امکاناتی برای هندل کردن درخواست‌های بسیار زیاد ارائه می‌دهند. مثلا امکان پویش موازی یا چند نخی توسط یک Instance‌ از یک ضدویروس را ارائه می‌دهند. علاوه بر آن چنانچه در بستر Cloud باشند، اندازه و تعداد Instance‌ ضدویروس‌ها را مبتنی بر حجم درخواست‌ها تنظیم می‌کنند.

در مقابل برندهای نامعتبر چنین امکاناتی ندارند و عموما نسبت به برندهای معتبر کندتر هستند. به مرور نیز به علت عدم بهینگی پایگاه داده کند می‌شوند و کاربر مجبور خواهد بود هر از چند گاه جهت افزایش سرعت سامانه اقدام به حذف داده‌های سامانه نماید.

 

مدیریت خطا و استثنائات

یکی از نکاتی که یک MultiAV خوب باید به خوبی پیاده‌سازی کند مدیریت خطا در MultiAV و ضدویروس‌های درون آن می‌باشد. با توجه به تعدد ضدویروس‌ها احتمال اینکه فایل تحت پویش در یکی از ضدویروس‌ها به خطا بخورد بسیار بالاست. یک سامانه MultiAV خوب باید بتواند این خطاها را به خوبی مدیریت نماید. همچنین Wrapper ضدویروس باید به گونه‌ای طراحی گردد که احتمال حملاتی همانند Command Injection در سامانه‌های Multi-AV مبتنی بر Command Line به حداقل ممکن برسد.

 

سایر قابلیت‌ها

خدمات سایبرنو

 

از جمله دیگر قابلیت‌ها و نکاتی که در هنگام خرید سامانه MultiAV  باید به آن توجه کنید، عبارت است از:

  • MultiAV چه نوع روش‌های استقراری را پشتیبانی می‌کند و کدام روش Deployment مطابق نیاز سازمان من است؟ روش Deployment‌ انتخابی به چه میزان منابع سخت‌افزاری نیاز دارد؟
  • آیا ضدویروس‌های ارائه شده دارای لایسنس معتبر هستند یا خیر؟ اگر بله، چه نسخه‌ای از ضدویروس مورد استفاده قرار می‌گیرد؟
  • آیا سامانه MultiAV از ضدویروس‌های بومی پشتیبانی می‌کند یا خیر؟ ممکن است پشتیبانی از ضدویروس‌های بومی در سامانه Multi-AV از سوی نهادهای بالادستی الزام گردد.
  • آیا سامانه MultiAV دارای امکاناتی برای ثبت نظر درباره یک فایل توسط کاربر می‌باشد یا خیر؟ آیا خود کاربر می‌تواند درباره بدافزار بودن یا نبودن یک فایل رای (Vote) دهد؟
  • سامانه MultiAV دارای چه امکانات و قابلیت‌های اضافه‌ای است؟ یک سامانه MultiAV ممکن است دارای امکانات زیر باشد:
    • قابلیت شناسایی و تحلیل فرمت فایل‌ها (مثلا تحلیل ساختار فایل‌های PE)
    • پشتیبانی از ابزارهای امنیتی همانند NSRL ،Yara و...
    • پشتیبانی از امکاناتی برای نمایش ارتباط بین فایل‌ها (مثلا از طریق گراف و...)
    • امکان پویش URLها
    • پنل مدیریتی (جهت مدیریت دسترسی‌ها، فعال‌سازی یا غیرفعال‌سازی ضدویروس‌ها و...)
    • ارائه گزارش در قالب‌های مختلف
    • امکان جستجوی پیشرفته فایل برحسب خصوصیات مختلف همچون مقادیر هش (MD5 ،SHA-1 ،SHA-256)، نام فایل، نام بدافزار، کاربر ارسال‌کننده فایل و...
    • امکان سطح‌بندی کاربران و تعریف پروفایل‌های مختلف
    • قابلیت استخراج فایل‌های فشرده (به همراه امکان استخراج فایل‌های فشرده دارای رمز عبور)
    • قابلیت‌های Integration‌ با سرویس‌های مختلف احراز هویت همانند LDAP ،SSO و...
    • امکان انجام پویش محرمانه
    • و...

 

پویشگر چندموتوره سایبرنو

پویشگر چند موتوره سایبرنو در حال حاضر بهترین سامانه MultiAV تولید شده در کشور می‌باشد. اولین نسخه این سامانه در سال ۱۳۹۵ منتشر شده و بیش از ۷ سال است که به طور مداوم توسعه داده می‌شود. این سامانه از لحاظ قابلیت‌ها و کارایی با برترین نمونه‌های خارجی قابل رقابت می‌باشد. در جدول زیر مقایسه‌ای بین پویشگر چندموتوره سایبرنو با دو برند معتبر خارجی (OPSWAT‌ و VirusTotal) و همچنین برندهای نامعتبر و سامانه‌های متن‌باز شده است.

 

 

 

جمع‌بندی

در این مستند به بررسی نکات و مواردی که باید در هنگام انتخاب یک سامانه MultiAV مد نظر قرار دهید، اشاره شده است. در پایان توصیه ما این است که چنانچه قصد استفاده تحقیقاتی (همانند کارهای آزمایشگاهی یا دانشگاهی در حوزه تحلیل بدافزار) دارید و دقت و بروز بودن خروجی ضدویروس‌های سامانه Multi-AV آنچنان اهمیت ندارد، می‌توانید از نمونه‌های متن‌باز همانند malice یا saferwall استفاده کنید. اما چنانچه قصد استفاده تجاری از سامانه‌های Multi-AV دارید، توصیه ما استفاده از پویشگر چند موتوره سایبرنو می‌باشد.

تاریخ انتشار: 1402/08/14
تاریخ بروزرسانی: 1403/08/08
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.