پویشگر بدافزار چند موتوره | راهنمای انتخاب

همانطور که می‌دانید سامانه‌های پویشگر چند موتوره (MultiAV یا MultiScanner) سامانه‌ها‌یی هستند که چندین ضدویروس را با هم ترکیب می‌کنند و در قالب یک خدمت به شما ارائه می‌دهند. سامانه‌های چند موتوره امروزه کاربردهای بسیاری دارند که از جمله مهم‌ترین آن‌ها می‌توان به موارد زیر اشاره کرد:

• شناسایی بدافزار در آزمایشگاه‌های تحلیل بدافزار
• محافظت از سرورهای ذخیره‌سازی فایل (جهت جلوگیری از انتشار بدافزار در سازمان)
• محافظت از سرورهای پست الکترونیکی
• جلوگیری از ورود بدافزار به درون سازمان (از طریق سامانه‌های سخت‌افزاری همانند کیوسک)
• ابزاری برای تشخیص بدافزار در سامانه‌هایی همچون EDR و Sandbox
• کارهای تحقیقاتی در حوزه تحلیل بدافزار
• و...

با توجه به این موضوع که امروزه اکثر سازمان‌ها به استفاده از سامانه‌های پویشگر چندموتوره نیاز دارند. در حال حاضر بیش از ۲۰ سامانه پویشگر چند موتوره موجود است که سازمان‌ها می‌توانند یکی از آن‌ها را جهت استفاده در سازمان انتخاب کنند. برخی از سامانه‌های پویشگر چندموتوره متن‌باز یا رایگان، اما برخی دیگر بسیار گران‌قیمت هستند. به عنوان مثال هزینه خرید مجوز یک ساله تنها یک نسخه On-Premise یکی از برندهای مطرح خارجی به بیش از ۲۰۰۰۰۰ دلار (معادل تقریبا ۱۰ میلیارد تومان در زمان نوشته شدن این مقاله در آبان ۱۴۰۲) می‌رسد.

متاسفانه در حال حاضر مستند کامل و دقیقی درباره تفاوت برندهای مختلف سامانه‌های پویشگر چند موتوره و مقایسه آن‌ها وجود ندارد و سازمان‌ها در هنگام خرید یا استقرار این سامانه‌ها دچار سردرگمی می‌شوند. همچنین برخی افراد سودجو در کشور نسخه‌های متن‌باز و بی‌کیفیت پویشگر چندموتوره را با برندهای مختلف می‌فروشند و مشکلات زیادی برای سازمان‌ها ایجاد می‌کنند. با توجه به این موضوع در این مستند می‌خواهیم تفاوت‌های سامانه‌های پویشگر چندموتوره و مواردی که در هنگام انتخاب یا خرید این سامانه‌ها باید مد نظر داشته باشید را ارائه دهیم. با ما همراه باشید.

 

در این مقاله می‌خوانید:

پویشگر بدافزار چندموتوره باید چه ویژگی‌هایی داشته باشد؟

روال بروزرسانی ضد ویروس‌ها

پشتیبانی خوب و ارائه SLA

قابلیت یکپارچه‌سازی با انواع مختلف سامانه‌ها

حفظ محرمانگی داده‌ها

کارایی در پویش فایل‌ها

مدیریت خطا و استثنائات

سایر قابلیت‌ها

پویشگر چندموتوره سایبرنو

جمع‌بندی

 

پویشگر بدافزار چندموتوره باید چه ویژگی‌هایی داشته باشد؟

گفتیم که تعدادی پویشگر چند موتوره وجود دارند که حتی بعضی از آن‌ها، متن‌باز و رایگان هستند اما بعضی دیگر، قیمت خیلی بالایی دارند؛ البته هیچ ارزانی بی‌دلیل نیست! پیش از انتخاب پویشگر چندموتوره برای شناسایی فایل‌های مشکوک باید ویژگی‌های یک پویشگر چندموتوره خوب را بشناسید. در ادامه به شما می‌گوییم که پویشگر چندموتوره خوب باید چه قابلیت‌ها و ویژگی‌هایی داشته باشد و چرا در حالی که بعضی از پویشگرها رایگان هستند یا قیمت پایینی دارند، برخی دیگر با قیمت‌های بالایی به فروش می‌رسند.

 

روال بروزرسانی ضدویروس‌ها

 

یکی از اولین نکاتی که باید در انتخاب یک سامانه پویشگر چند موتوره به آن دقت کنید، روال بروزرسانی ضدویروس‌ها در آن سامانه است. همانطور که می‌دانید یکی از اهداف اصلی سامانه‌های پویشگر چند موتوره افزایش نرخ شناسایی بدافزار می‌باشد. پویشگر چندموتوره‌ای که هیچ کدام از ضدویروس‌هایش بروز نباشد، بدیهی است که نمی‌تواند بدافزارهای جدید را شناسایی نماید.

یک پویشگر چند موتوره خوب علاوه بر اینکه باید دارای امکان بروزرسانی امضای ضدویروس‌ها به طور مداوم باشد، باید دارای امکان بروزرسانی موتور ضدویروس‌ها نیز باشد و همواره امکان استفاده از آخرین موتور یا نسخه آن ضدویروس وجود داشته باشد.

طریقه بروزرسانی ضدویروس‌ها وابستگی زیادی به نوع و روش پیاده‌سازی سامانه پویشگر چندموتوره است. اگر روش پیاده‌سازی مبتنی بر VMWare یا سایر ابزارهای Virtualization باشد، عموما بروزرسانی امضا ضدویروس‌ها بر عهده کاربر نهایی است. اگر بر اساس SDK ،API یا Docker‌ باشد، عموما بروزرسانی از سمت توسعه‌دهنده ارائه خواهد شد (حال به صورت Online ،Offline یا هردو).

نکته‌ای که باید به آن بسیار اهمیت دهید این است که آیا پویشگر چند موتوره شما روال دقیقی برای بروزرسانی دارد یا خیر؟ برندهای معتبر پویشگر چندموتوره عموما به شما به صورت روزانه (هم به صورت Online و هم به صورت Offline) بروزرسانی می‌دهند.

اما نسخه‌های متن‌باز یا برندهای نامعتبر عموما بروزرسانی نمی‌دهند یا اینکه دوره بروزرسانی آن‌ها بسیار طولانی است. چرا که توسعه‌دهنده برای بروزرسانی ضدویروس‌ها نیاز به یک تیم تخصصی دارد که هر ماه به محض انتشار نسخه جدید ضدویروس آن را با سامانه پویشگر چندموتوره سازگار نمایند. استقرار این تیم نیازمند بودجه بالایی است که معمولا توسط برندهای نامعتبر یا پروژه‌های متن‌باز قابل تامین نیست. همچنین دیده شده است که برخی از برندهای نامعتبر اقدام به جعل تاریخ بروزرسانی می‌کنند. برخی دیگر تنها پایگاه داده ضدویروس‌ها را بروز می‌کنند و موتور آن‌ها بروزرسانی نمی‌گردد.

به عنوان مثال سامانه malice که در حال حاضر پرطرفدارترین سامانه پویشگر چند موتوره متن‌باز می‌باشد، ضدویروس‌هایش نزدیک به 8 سال است که بروزرسانی نداشته‌اند. (شکل زیر) خود پروژه نیز چند ماه است که به حالت Archive در آمده است.

 

 

پشتیبانی خوب و ارائه SLA

چنانچه از پویشگر چند موتوره خود برای محافظت از سامانه‌های حساس استفاده می‌کنید، نیازمند این هستید که این سرویس همواره در دسترس باشد و اختلالی در عملکرد آن ایجاد نشود. عموما برندهای معتبر پویشگر چند موتوره پشتیبانی کامل دارند، به عنوان نمونه سامانه پویشگر چند موتوره OPSWAT MetaDefender به مشتریان تجاری خودش SLA در دسترس بودن سرویس در 99.9% مواقع را می‌دهد. نسخه‌های متن‌باز فاقد پشتیبانی و برندهای نامعتبر نیز دارای پشتیبانی ضعیف هستند.

دقت داشته باشید که برندهای خارجی پویشگر چند موتوره به علت تحریم‌ها هیچگونه پشتیبانی به کاربران ایرانی ارائه نمی‌دهند. کاربران ایرانی برای خرید این سامانه‌ها نیز با مشکلاتی رو به رو خواهند بود.

 

قابلیت یکپارچه‌سازی با انواع مختلف سامانه‌ها

سامانه‌های پویشگر چند موتوره می‌توانند جهت محافظت از هر سامانه یا پروتکلی که قابلیت آپلود فایل دارند مورد استفاده قرار گیرند. به عنوان مثال چنانچه در سازمان خود از NextCloud‌ برای اشتراک‌گذاری فایل استفاده می‌کنید، می‌توانید با اتصال آن به یک سامانه پویشگر چند موتوره، فایل‌های آپلودی را از نظر وجود بدافزار مورد بررسی قرار دهید. بنابراین یک سامانه پویشگر چند موتوره خوب باید انواع و اقسام پلاگین برای سامانه‌های آپلود فایل ارائه دهد. همچنین باید دارای یک API و SDK کامل باشد تا امکان اتصال آن به سامانه‌های آپلود فایل و پروتکل‌های مختلف به سادگی فراهم باشد.

 

حفظ محرمانگی داده‌ها

یک کاربر ممکن است فایل‌های زیادی را جهت پویش به سامانه پویشگر چند موتوره ارسال نماید. نکته‌ای که در اینجا وجود این است که ممکن است این فایل‌های حاوی داده‌های محرمانه و حساسی باشند. در هنگام خرید یا انتخاب سامانه پویشگر چند موتوره بررسی کنید که آیا سامانه پویشگر چند موتوره محتوای فایل‌ها را ذخیره می‌کند یا خیر؟ اگر می‌کند، دقیقا چه کاری با این فایل انجام می‌دهد؟ به عنوان مثال اگر نگاهی به سیاست‌های حریم شخصی پویشگر چندموتوره VirusTotal بیندازیم، می‌بینیم که VirusTotal صریحا می‌گوید که فایل‌های آپلودشده را جهت بررسی در اختیار شرکت‌های تولیدکننده ضدویروس و آزمایشگاه‌های تحلیل بدافزار می‌گذارد (شکل زیر). در واقع Business Model پویشگر چندموتوره VirusTotal مبتنی بر فروش این داده‌ها به شرکت‌های تولیدکننده ضدویروس شکل گرفته است.

 

 

بنابراین بدیهی است که نمی‌توانید از VirusTotal برای پویش فایل‌های محرمانه سازمان خود یا حتی فایل‌های مرتبط با برنامه‌های داخلی سازمان خود استفاده کنید.

نکته: دقت داشته باشید که چنانچه ضدویروس‌های مورد استفاده سامانه پویشگر چندموتوره به اینترنت دسترسی داشته باشند، ممکن است قابلیت Cloud آن ضدویروس اقدام به ارسال نمونه فایل به سرور خودش نماید. بنابراین چنانچه نسبت به این موضوع حساس هستید، حتما از تولیدکننده درباره دسترسی اینترنت ضدویروس‌ها و فعال بودن قابلیت Cloud آن‌ها سوال کنید.

 

کارایی بالا در پویش فایل‌ها

یک سامانه پویشگر چندموتوره خوب باید کارایی بالایی در پویش فایل‌ها داشته باشد و الگوریتمش طوری پیاده‌سازی شده باشد که به غیر از پویش ضدویروس‌ها (که ممکن است زمانبر باشد) خودش سربار زیادی به پویش اضافه نکند.

همچنین توجه داشته باشید که اکثریت سامانه‌های پویشگر چند موتوره دارای امکان نگهداری و جستجوی نتیجه پویش در پایگاه داده هستند. ممکن است در لحظه هزاران هزار فایل به سامانه ارسال گردد و به مرور حجم فایل‌های موجود در پایگاه داده زیاد شود. به عنوان مثال در حال حاضر در سامانه VirusTotal اطلاعات بیش از ۲ میلیارد فایل ذخیره شده است. بنابراین ذخیره و بازیابی اطلاعات در سامانه‌های پویشگر چند موتوره یک مسئله Big Data می‌باشد. برندهای معتبر پویشگر چند موتوره عموما روش‌های خوبی برای ذخیره این اطلاعات دارند و اطلاعات میلیون‌ها یا حتی میلیاردها فایل را بدون مشکل می‌توانند نگهداری و بازیابی کنند. همچنین امکاناتی برای هندل کردن درخواست‌های بسیار زیاد ارائه می‌دهند. مثلا امکان پویش موازی یا چند نخی توسط یک Instance‌ از یک ضدویروس را ارائه می‌دهند. علاوه بر آن چنانچه در بستر Cloud باشند، اندازه و تعداد Instance‌ ضدویروس‌ها را مبتنی بر حجم درخواست‌ها تنظیم می‌کنند.

در مقابل برندهای نامعتبر چنین امکاناتی ندارند و عموما نسبت به برندهای معتبر کندتر هستند. به مرور نیز به علت عدم بهینگی پایگاه داده کند می‌شوند و کاربر مجبور خواهد بود هر از چند گاه جهت افزایش سرعت سامانه اقدام به حذف داده‌های سامانه نماید.

 

مدیریت خطا و استثنائات

یکی از نکاتی که یک پویشگر چند موتوره خوب باید به خوبی پیاده‌سازی کند مدیریت خطا در پویشگر چند موتوره و ضدویروس‌های درون آن می‌باشد. با توجه به تعدد ضدویروس‌ها احتمال اینکه فایل تحت پویش در یکی از ضدویروس‌ها به خطا بخورد بسیار بالاست. یک سامانه پویشگر چند موتوره خوب باید بتواند این خطاها را به خوبی مدیریت نماید. همچنین Wrapper ضدویروس باید به گونه‌ای طراحی گردد که احتمال حملاتی همانند Command Injection در سامانه‌های پویشگر چندموتوره مبتنی بر Command Line به حداقل ممکن برسد.

 

سایر قابلیت‌ها

 

از جمله دیگر قابلیت‌ها و نکاتی که در هنگام خرید سامانه پویشگر چند موتوره باید به آن توجه کنید، عبارت است از:

• پویشگر چند موتوره چه نوع روش‌های استقراری را پشتیبانی می‌کند و کدام روش Deployment مطابق نیاز سازمان من است؟ روش Deployment‌ انتخابی به چه میزان منابع سخت‌افزاری نیاز دارد؟
• آیا ضدویروس‌های ارائه شده دارای لایسنس معتبر هستند یا خیر؟ اگر بله، چه نسخه‌ای از ضدویروس مورد استفاده قرار می‌گیرد؟
• آیا سامانه پویشگر چندموتوره از ضدویروس‌های بومی پشتیبانی می‌کند یا خیر؟ ممکن است پشتیبانی از ضدویروس‌های بومی در سامانه پویشگر چند موتوره از سوی نهادهای بالادستی الزام گردد.
• آیا سامانه پویشگر چند موتوره دارای امکاناتی برای ثبت نظر درباره یک فایل توسط کاربر می‌باشد یا خیر؟ آیا خود کاربر می‌تواند درباره بدافزار بودن یا نبودن یک فایل رای (Vote) دهد؟
• سامانه پویشگر چند موتوره دارای چه امکانات و قابلیت‌های اضافه‌ای است؟ یک سامانه پویشگر چند موتوره ممکن است دارای امکانات زیر باشد:
  • قابلیت شناسایی و تحلیل فرمت فایل‌ها (مثلا تحلیل ساختار فایل‌های PE)
  • پشتیبانی از ابزارهای امنیتی همانند NSRL ،Yara و...
  • پشتیبانی از امکاناتی برای نمایش ارتباط بین فایل‌ها (مثلا از طریق گراف و...)
  • امکان پویش URLها
  • پنل مدیریتی (جهت مدیریت دسترسی‌ها، فعال‌سازی یا غیرفعال‌سازی ضدویروس‌ها و...)
  • ارائه گزارش در قالب‌های مختلف
  • امکان جستجوی پیشرفته فایل برحسب خصوصیات مختلف همچون مقادیر هش (MD5 ،SHA-1 ،SHA-256)، نام فایل، نام بدافزار، کاربر ارسال‌کننده فایل و...
  • امکان سطح‌بندی کاربران و تعریف پروفایل‌های مختلف
  • قابلیت استخراج فایل‌های فشرده (به همراه امکان استخراج فایل‌های فشرده دارای رمز عبور)
  • قابلیت‌های Integration‌ با سرویس‌های مختلف احراز هویت همانند LDAP ،SSO و...
  • امکان انجام پویش محرمانه
  • و...

 

پویشگر چندموتوره سایبرنو

پویشگر چند موتوره سایبرنو در حال حاضر بهترین سامانه پویشگر چند موتوره تولید شده در کشور می‌باشد. اولین نسخه این سامانه در سال ۱۳۹۵ منتشر شده و بیش از ۷ سال است که به طور مداوم توسعه داده می‌شود. این سامانه از لحاظ قابلیت‌ها و کارایی با برترین نمونه‌های خارجی قابل رقابت می‌باشد. در جدول زیر مقایسه‌ای بین پویشگر چندموتوره سایبرنو با دو برند معتبر خارجی (OPSWAT‌ و VirusTotal) و همچنین برندهای نامعتبر و سامانه‌های متن‌باز شده است.

 

 

 

جمع‌بندی

در این مستند به بررسی نکات و مواردی که باید در هنگام انتخاب یک سامانه پویشگر چندموتوره مد نظر قرار دهید، اشاره شده است. در پایان توصیه ما این است که چنانچه قصد استفاده تحقیقاتی (همانند کارهای آزمایشگاهی یا دانشگاهی در حوزه تحلیل بدافزار) دارید و دقت و بروز بودن خروجی ضدویروس‌های سامانه پویشگر چند موتوره آنچنان اهمیت ندارد، می‌توانید از نمونه‌های متن‌باز همانند malice یا saferwall استفاده کنید. اما چنانچه قصد استفاده تجاری از سامانه‌های پویشگر چند موتوره دارید، توصیه ما استفاده از پویشگر چند موتوره سایبرنو می‌باشد.