Multi-AV؛ دفاع اتوبوسی در برابر تهدیدات!

همانطور که می‌دانید، حتی بهترین آنتی‌ویروس‌های دنیا در شناسایی همه بدافزارها و تهدیدات سایبری ناتوان هستند اما هر کدام از آنتی‌‌ویروس‌ها می‌توانند انواع خاصی از تهدیدات را شناسایی کنند که آنتی‌ویروس‌های دیگر از شناسایی آن‌ها ناتوان هستند. آیا می‌توان با کنار هم قرار دادن چندین آنتی‌ویروس، نقاط ضعف آن‌ها را پوشش داد و نرخ تشخیص بدافزار را به ۱۰۰ درصد رساند؟ بله، می‌توان آنتی ویروس چندموتوره (Multi-AV) ساخت و نرخ تشخیص تهدیدات را تا حد زیادی به ۱۰۰ درصد نزدیک کرد. البته، ترکیب تعداد زیادی آنتی ویروس و اسکن همزمان هر فایل با Multi-AV، چالش‌های خودش را دارد. در این مقاله، به طور کامل برای شما توضیح می‌دهیم که آنتی ویروس چند موتوره (Multi-AV) چیست و چطور کار می‌کند. همچنین، بهترین آنتی ویروس‌های چندموتوره دنیا را به شما معرفی می‌کنیم. با سایبرنو همراه باشید.

عناوینی که در ادامه می‌خوانید:

چرا یک آنتی ویروس به تنهایی کافی نیست؟

چرا به Multi-AV  نیاز داریم؟

آنتی ویروس چندموتوره چطور ساخته می‌شود؟

Multi-AV چطور کار می‌کند؟

مزایای Multi-AV چیست؟

معایب Multi-AV چیست؟

بهترین آنتی ویروس چندموتوره (Multi-AV) برای شما کدام است؟

سوالات پرتکرار

چرا یک آنتی ویروس به تنهایی کافی نیست؟

با اینکه اتکا به تنها یک آنتی ویروس خوب برای محافظت از یک کامپیوتر شخصی، کافی به نظر می‌رسد اما برای تأمین امنیت سایبری سازمان‌ها دولتی و خصوصی که به طور مداوم تحت حملات سایبری قرار دارند و هر گونه نفوذی به آن‌ها می‌تواند تبعات جبران‌ناپذیری به همراه داشته باشد، تکیه کردن به تنها یک آنتی ویروس راهکار درستی نیست و خلاء‌های امنیتی بزرگی در سازمان باقی می‌گذارد. در واقع، هر آنتی ویروس با توجه به روش‌ها و پایگاه‌های داده مورد استفاده، نقاط ضعف و قوت خودش را دارد و هیچ آنتی ویروسی نمي تواند به تنهایی همه تهدیدات سایبری را شناسایی کند زیرا توانایی هر آنتی ویروس برای شناسایی بدافزارها و دیگر تهدیدات سایبری، متأثر از پایگاه داده امضاء‌ها، هیوریستیک و الگوریتم‌های منحصر به فرد آن آنتی ویروس است.

یکی از دلایل اصلی محدودیت استفاده از یک آنتی ویروس برای مقابله با تهدیدات، تعداد بسیار زیادی ویروس‌ها و تهدیدات جدیدی است که هر روزه ساخته و منتشر می‌شوند. شرکت های امنیت سایبری به صورت روزانه، صدها هزار بدافزار جدید شامل ویروس‌ها، باج‌افزارها، جاسوس‌افزارها و ... را شناسایی می‌کنند. پایگاه داده و تکنیک‌های شناسایی هر آنتی ویروس به طور منظم بروزرسانی می‌شوند تا آن آنتی ویروس بتواند در مقابل جدیدترین تهدیدات، ایستادگی کند. با این حال، معمولا، سرعت تولید بدافزارها و تهدیدات جدید از سرعت بروزرسانی آنتی ویروس‌ها برای شناسایی و خنثی‌سازی تهدیدات جدید کافی نیست.

گذشته از این‌ها، هر آنتی ویروسی در شناسایی نوع خاصی از تهدیدات تخصص دارد و شاید در شناسایی تهدیدات دیگر، آن‌چنان خوب نباشد. برای مثال، ممکن است که آنتی ویروسی بتواند جاسوس‌افزارها را خیلی خوب شناسایی کند و آنتی ویروسی دیگر در شناسایی باج‌افزارها مؤثرتر باشد. بر اساس آزمایش‌های انجام شده توسط سازمان‌های مستقل مثل AV-Comparatives و AV-Test، هیچ آنتی ویروسی در شناسایی تمامی انواع تهدیدات، رتبه اول را به خودش اختصاص نمي دهد. برای مثال، در جدیدترین تست‌ها، اگرچه آنتی ویروس‌هایی مثل بیت دیفندر و کسپرسکی نرخ‌های تشخص بالایی (حتی بالای ۹۹ درصد) نیز از خودشان به جای گذشته‌اند اما حتی این آنتی ویروس‌ها نیز نمی‌توانند بعضی از انواع تهدیدات را که دیگر آنتی ویروس‌ها قادر به شناسایی آن‌ها هستند یا بسیاری از تهدیدات جدید و پیشر‌فته را شناسایی کنند.

چرا به Multi-AV نیاز داریم؟

به دلیل محدودیت‌های هر آنتی ویروس به تنهایی، مفهوم Multi-AV به عنوان راهکاری برای دور زدن این محدودیت‌ها، توسعه پیدا کرده است. سازمان‌ها می‌توانند با استفاده از یک Multi-AV که با چندین موتور آنتی ویروس کار می‌کند، نرخ تشخیص و خنثی‌سازی بدافزارها و دیگر تهدیدات سایبری را به طور قابل ملاحظه‌ای افزایش دهند و امنیت شبکه را بسیار بالاتر ببرند.

در این رویکرد، نقاط قوت هر موتور آنتی ویروس، نقاط ضعف موتورهای آنتی ویروسی دیگر را پوشش می‌دهد و راهکاری چند-لایه در مقابل تهدیدات سایبری ایجاد می‌شود تا اگر یک آنتی ویروس نتواند تهدیدی را شناسایی کند، آنتی ویروس دیگر کار شناسایی را انجام دهد. بدین ترتیب، احتمال شناسایی و خنثی‌سازی تهدیدات، بسیار بیشتر خواهد شد.

گذشته از این، استفاده از چند موتور آنتی ویروس در راهکارهای Multi-AV، شانس تشخیص و خنثی‌سازی حملات روز-صفر را نیز به طور قابل توجهی افزایش می‌دهد. حملات روز صفر بسیار خطرناک هستند زیرا می توانند آنتی ویروس‌های مبتنی بر امضاء را به راحتی دور بزنند. با این حال، استفاده از توانایی تشخیص چندین موتور آنتی ویروس در راهکارهای Multi-AV احتمال تشخیص حملات روز صفر را به طور قابل توجهی بالا می‌برد.

آنتی ویروس چندموتوره چطور ساخته می‌شود؟

توسعه و کارکرد راهکارهای Multi-AV شامل چندین فرایند و فناوری کلیدی است که حفاظتی جامع علیه طیف وسیعی از تهدیدات را فراهم می‌آورد.

معمولا، فرایند توسعه آنتی ویروس‌های چندموتوره با انتخاب و یکپارچه‌سازی چندین موتور آنتی ویروسی توسعه‌یافته توسط شرکت‌های مختلف، آغاز می‌شود. هر موتور آنتی ویروس، پایگاه داده امضاء، هیوریستیک و الگوریتم‌های منحصر به فرد خودش را دارد. هدف توسعه‌دهندگان راهکارهای Multi-AV این است که با ترکیب کردن این مؤلفه‌های چندین آنتی ویروس مختلف،‌ راهکار امنیتی قوی‌تری در مقابل تهدیدات ایجاد کنند. این توسعه‌دهندگان، موتورهای آنتی ویروسی را به گونه‌ای انتخاب می‌کنند که مکمل همدیگر باشند و نقطه‌ضعف‌های همدیگر را پوشش دهند. مرحله انتخاب موتورهای آنتی ویروسی، بسیار اهمیت دارد زیرا روی کارایی کلی Multi-AV اثرگذار است.

مرحله بعدی پس از انتخاب موتورهای آنتی ویروسی، یکپارچه‌سازی آن‌ها در قالب یک پلتفرم واحد است. این یکپارچه‌سازی سبب می‌شود تا یک رابط کاربری واحد ایجاد شود تا موتورهای آنتی ویروسی بتوانند با همدیگر تعامل داشته باشند. این پلتفرم یکپارچه، ارتباط بین موتورها را مدیریت می‌کند و به آن‌ها امکان مي‌دهد تا بدون هیچ مشکل و تعارضی، کار خودشان را انجام دهند. همچنین، رابط کاربری یکپارچه راهکار Multi-AV، کارهایی مثل بروزرسانی پایگاه‌های داده امضاء آنتی ویروس‌ها، اسکن کردن فایل‌ها و پاسخ به تهدیدات شناسایی شده را بسیار ساده می‌کند. توسعه‌دهندگان باید توجه ویژه‌ای به سرعت بالای Multi-AV داشته باشند؛ اگر اجرای همزمان چندین موتور آنتی ویروس، منابع پردازشی بسیار زیادی نیاز داشته باشد، هر سیستمی نمی‌تواند به صورت بهینه آن را اجرا کند و نیاز به سخت‌افزارهای قدرتمند، هزینه کلی راهکار Multi-AV را بالا می‌برد. همچنین، در صورتی که محصول نهایی نتواند با سرعتی منطقی کار اسکن کردن فایل‌ها را انجام دهید، کارایی عملی نخواهد داشت.

Multi-AV چطور کار می‌کند؟

راهکارهای Multi-AV بر اساس اسکن کردن موازی و شناسایی متعاون کار می‌کنند. در هنگام اسکن کردن یک فایل یا شبکه با استفاده از Multi-AV، تمامی موتورهای آنتی ویروسی به طور همزمان، کار اسکن کردن فایل یا شبکه را انجام می‌دهند؛ هر موتور، از روش‌های خاص خودش مثل تشخیص مبتنی بر امضاء، تحلیل رفتاری و یا تحلیل هیوریستیک برای شناسایی تهدیدات استفاده می‌کند. در صورتی که یکی از موتورهای Multi-AV تهدیدی را شناسایی کند، پروتکل‌های پاسخ به تهدیدات، فعال می‌شوند. رویکرد متعاون چندین موتور آنتی ویروسی در سامانه Multi-AV، احتمال شناسایی و خنثی‌سازی تهدیدات را بسیار افزایش می‌دهد زیرا هر موتور آنتی ویروسی می‌تواند نوع خاصی از تهدیدات را شناسایی کند.

گذشته از این‌، راهکارهای Multi-AV دارای الگوریتم‌های پیچیده‌ای برای مدیریت و اولویت‌بندی نتایج به دست آمده از اسکن کردن فایل یا شبکه با چندین موتوری آنتی ویروسی هستند. در صورتی که یکی از موتورها، فایلی را به عنوان بدافزار شناسایی کند ولی دیگر موتورها آن را سالم بشناسند، سامانه Multi-AV می‌تواند بررسی‌های بیشتری انجام دهد یا با تکیه بر یک سیستم نمره‌دهی وزنی، تصمیم بگیرد که آیا آن فایل، تهدید محسوب می‌شود یا خیر. بدین ترتیب، نرخ مثبت‌های کاذب (مواردی که یک فایل سالم به عنوان تهدید شناسایی می‌شود) به طور قابل توجهی کاهش پیدا می‌کند.

معمولا، راهکارهای Multi-AV برای کارایی بیشتر، از منابع تهدید ابری استفاده می‌کنند و بروزرسانی‌های لحظه به لحظه (real-time update) انجام می‌دهند. سیستم‌های ابری، امکان به اشتراک‌گذاری سریع اطلاعات تهدیدات بین موتورهای آنتی ویروسی مختلف و سیستم مدیریت مرکزی را فراهم می‌آورند. وقتی که هر کدام از موتورهای آنتی ویروسی، تهدید جدیدی را شناسایی می‌کند، اطلاعات آن تهدید به سرعت با دیگر موتورها به اشتراک گذاشته می‌شوند تا همه آن‌ها بتواند آن تهدید را شناسایی کنند. تعامل لحظه به لحظه موتورهای آنتی ویروسی، توانایی پاسخ به تهدیدات جدید را بسیار بالا می‌برد.

مزایای Multi-AV چیست؟

تا اینجا گفتیم که Multi-AV چیست، چطور ساخته می‌شود و چطور کار می‌کند. در ادامه می‌خواهیم مزایا و معایب استقرار یک سامانه Multi-AV را در سازمان‌ها توضیح دهیم. در زیر، مهم‌ترین مزایای Multi-AV را آورده‌ایم:

• افزایش نرخ تشخیص تهدیدات: مشخص‌ترین مزیت استفاده از یک راهکار Multi-AV برای محافظت از یک سازمان در مقابل بدافزارها، نشت اطلاعات و دیگر تهدیدات سایبری، افزایش نرخ تشخیص تهدیدات است. در حالی که راهکارهای امنیتی مبتنی بر تنها یک موتور آنتی ویروسی می‌توانند انواع خاصی از تهدیدات را با نرخ تشخیص بالایی شناسایی کنند، هیچ آنتی ویروسی نمی‌تواند به تنهایی عملکرد خوبی در شناسایی همه انواع تهدیدات سایبری داشته باشد. در مقابل، راهکارهای Multi-AV با استفاده همزمان از چندین موتور آنتی ویروسی، نرخ تشخیص همه انواع تهدیدات را به طور قابل توجهی افزایش می‌دهند.
• امنیت چند-لایه: در صورتی که یکی از موتورهای Multi-AV نتواند تهدیدی را شناسایی کند، احتمال شناسایی آن توسط موتورهای دیگر وجود دارد. در واقع، با استقرار Multi-AV در سازمان، هر تهدیدی برای نفوذ به سازمان شما باید هفت خان رستم را رد کند! در نتیجه، شانس حملات سایبری موفق، به طور چشمگیری کاهش پیدا می‌کند.
• افزایش شانس شناسایی تهدیدات روز صفر: آزمایش‌ها نشان داده‌اند که راهکارهای Multi-AV در مقایسه با راهکارهای امنیتی مبتنی بر تنها یک آنتی ویروس، کارایی بالاتری در مقابله با تهدیدات روز صفر دارند. از آن‌جایی که آنتی ویروس‌های چندموتوره مجهز به چندین موتور آنتی ویروسی هستند و هر آنتی ویروس از رویکرد خاصی برای شناسایی تهدیدات روز صفر استفاده می‌کند، نرخ تشخیص این نوع خطرناک از تهدیدات سایبری در راهکارهای Multi-AV بسیار بالا است.
• مقیاس‌پذیری و انعطاف‌پذیری: یکی از ویژگی‌های بسیار خوب سامانه‌های Multi-AV برای سازمان‌ها، انعطاف‌پذیری و مقیاس‌پذیری بسیار بالای آن‌ها است. در واقع، هر سازمانی می‌تواند بر اساس نیازمندی‌ها و بودجه خودش، محصول مورد نظر خودش را به توسعه‌دهنده سفارش دهد.

معایب Multi-AV چیست؟

با اینکه Multi-AV از کامل‌ترین و بهترین راهکارهای امنیتی برای مقابله با تهدیدات سایبری هستند اما چالش‌ها و نقطه ضعف‌هایی نیز دارند که از مهم‌ترین آن‌ها می‌توان به موارد زیر اشاره کرد:

• نیاز به منابع پردازشی بالا: اجرای چندین موتور آنتی ویروسی به صورت همزمان، می‌تواند نیازمند منابع پردازشی بالایی باشد. معمولا، پکیج‌های سخت‌افزاری-نرم‌افزاری Multi-AV مجهز به پردازنده‌های قوی و رم و حافظه بالایی هستند که روی قیمت نهایی آن‌ها اثر قابل توجهی دارد. از سوی دیگر، اگر سازمانی بخواهد صرفا یک آنتی ویروس چند موتوره نرم‌افزاری خریداری کند، نیازمند سیستم/سیستم‌هایی قدرتمند برای نصب آن است که تأمین آن می‌تواند هزینه‌بر باشد. دقت داشته باشید که الگوریتم‌های مورد استفاده در توسعه Multi-AV می‌توانند روی نیازمندی‌های پردازشی آن اثر قابل توجهی داشته باشند.
• قیمت بالا: برای توسعه Multi-AV باید لایسنس تعداد زیادی آنتی ویروس خریداری شود. گذشته از این، یکپارچه‌سازی این آنتی ویروس‌ها در قالب یک آنتی ویروس چندموتوره (Multi-AV) نیاز به یک تیم فنی بسیار قوی و صرف زمان و منابع زیادی دارد. در نتیجه، معمولا راهکارهای Multi-AV قیمت بالایی دارند.
• مثبت‌های کاذب: یکی از چالش‌های سامانه‌های Multi-AV، مشکل مثبت‌های کاذب است. از آن‌جایی که آنتی ویروس‌های چندموتوره از چندین موتور آنتی ویروسی برای اسکن کردن فایل‌ها استفاده می‌کنند، ممکن است حتی بعضی از فایل‌های سالم را نیز به عنوان بدافزار بشناسند و هشدارهای مثبت کاذب ایجاد کنند. این مسئله می‌تواند ورود و خروج فایل در سازمان را با مشکل مواجه کند.
• نیاز به پشتیبانی دائمی: معمولا، راهکارهای Multi-AV نیازمند پشتیبانی دائمی از طرف تیم توسعه‌دهنده هستند. با اینکه در بسیاری از این راهکارها، مدیر سامانه می‌تواند خیلی از کارها را انجام دهد اما مدیریت درست تمامی جنبه‌های یک آنتی ویروس چندموتوره، کار پیچیده‌ای است و نیاز به تخصص بالایی دارد. بنابراین، پشتیبانی پیوسته از طرف توسعه‌دهنده، ضروری به نظر می‌رسد. این پشتیبانی، روی قیمت نهایی اثرگذار است.

بهترین Multi-AV برای شما کدام است؟

شرکت‌های محدودی در دنیا، آنتی ویروس چندموتوره Multi-AV مناسب برای سازمان‌های حساس تولید می‌کنند. با اینکه حتی آنتی ویروس‌های چندموتوره رایگان و متن-باز نیز موجود هستند، اما یک سامانه Multi-AV برای اینکه بتواند جوابگوی نیازمندی‌های سازمان شما باشد، باید ویژگی‌هایی داشته باشد که هرگز در آنتی ویروس‌های رایگان یافت نمی‌شوند. برای مثال، هیچ کدام از آنتی ویروس‌های چندموتوره و متن-باز دارای قابلیت بروزرسانی مداوم پایگاه امضاء ضد ویروس‌ها و هیچ‌گونه پشتیبانی نیستند، کارایی مناسبی ندارند، نسخه On-Premise ندارند، دارای قابلیت یکپارچه‌سازی با دیگر ابزارهای امنیتی مثل سامانه‌های EDR/XDR نیستند و مشکلات متعدد دیگری دارند که آن‌ها را برای کاربردهای سازمانی نامناسب می‌سازند.

خوشبختانه، چندین شرکت امنیت سایبری در دنیا، راهکارهای Multi-AV قابل اتکاء برای سازمان‌ها تولید می‌کنند. از جمله این آنتی ویروس‌های چندموتوره می‌توان به VirusTotal، OPSWAT MetaDefender و پویشگر چند موتوره سایبرنو اشاره کرد. برای آشنایی بیشتر با بهترین آنتی ویروس‌های چندموتوره دنیا، مقاله «راهنمای خرید پویشگر چندموتوره (Multi-AV)» را بخوانید.

جمع‌بندی

با اینکه یک آنتی ویروس خوب می‌تواند به تنهایی برای حفاظت از یک کامپیوتر معمولی کافی باشد اما سازمان‌ها برای حفاظت از شبکه‌های خود نیازمند سامانه امنیتی کامل‌تری هستند که نرخ تشخیص بالاتری داشته باشد و بتواند انواع مختلف تهدیدات امنیتی را به خوبی شناسایی و خنثی‌سازی کند.

شرکت‌های خارجی مثل VirusTotal و OPSWAT در سال‌های گذشته، سامانه‌های Multi-AV را با ترکیب چندین آنتی ویروس مختلف تولید کرده‌اند که تقریبا تمامی تهدیدات امنیتی و حتی تهدیدات روز صفر را نیز با نرخ بسیار بالایی شناسایی می‌کنند. با توجه به تحریم‌هایی که علیه جمهوری اسلامی وضع شده است و محدودیت‌های متعدد در سر راه خرید و استفاده از سامانه‌های آنتی ویروس چندموتوره خارجی، اخیرا، متخصصان داخلی نیز تلاش‌هایی برای توسعه آنتی ویروس چندموتوره بومی داشته‌اند. پویشگر چندموتوره سایبرنو که با بیش از ۳۰ آنتی ویروس مختلف می‌تواند فایل‌ها و شبکه‌های سازمان شما را اسکن کند و قابلیت‌هایی حتی فراتر از نمونه‌های مشابه خارجی دارد، یکی از بهترین و کامل‌ترین راهکارهای امنیتی است که می‌توانید برای سازمان خود در نظر بگیرید.   

سوالات پرتکرار

۱- Multi-AV چیست؟

 Multi-AV نوعی سامانه امنیتی متشکل از چندین آنتی ویروس مختلف است که به طور همزمان از چندین موتور آنتی ویروسی برای اسکن کردن فایل‌ها و شبکه‌ها استفاده می‌کند.

۲- چرا Multi-AV بخریم؟

 Multi-AV نرخ تشخیص بسیار بالاتری در مقایسه با یک آنتی ویروس به تنهایی دارد و می‌تواند انواع مختلف تهدیدات را شناسایی و خنثی‌سازی کند.

۳- چرا از Multi-AV رایگان استفاده نکنیم؟

چندین Multi-AV رایگان و متن-باز موجود هستند که اصلا آپدیت نمی‌شوند، هیچ گونه پشتیبانی ندارند و از نظر قابلیت‌های امنیتی به هیچ عنوان قابل مقایسه با سامانه‌های Multi-AV حرفه‌ای طراحی شده برای محافظت از سازمان‌ها نیستند.

۴- چرا پویشگر جندموتوره سایبرنو را بخریم؟

آنتی ویروس چندموتوره شرکت دانش‌بنیان سایبرنو که پویشگر چندموتوره نام دارد، یکی از کامل‌ترین سامانه‌های Multi-AV در دنیا محسوب می‌شود که مجهز به بیش از ۳۰ موتور آنتی ویروس است و قابلیت‌های امنیتی منحصر به فردی دارد که حتی سامانه‌هایی مثل VirusTotal و OPSWAT MetaDefender نیز از آن‌ها بی‌بهره هستند. گذشته از این، پویشگر چندموتوره سایبرنو مجهز به موتور آنتی ویروس بومی پادویش است.