ضد بدافزار مرکب چطور کار می‌کند؟ دفاع سایبری چندلایه!

فناوری ضد بدافزار مرکب (Multi-AV) یکی از پیشرفته‌ترین و کارآمدترین فناوری‌ها در حوزه امنیت سایبری است که نقش مهمی در حفاظت از سازمان‌ها در مقابل طیف وسیعی از تهدیدات دارد. ضد بدافزار مرکب از چندین موتور ضد بدافزار برای تحلیل همزمان فایل‌ها استفاده می‌کند تا کارایی شناسایی تهدیدات به طور قابل توجهی افزایش پیدا کند. در این مقاله، به طور کامل توضیح می‌دهیم که ضد بدافزار مرکب چطور کار می‌کند. با مجله امنیت سایبری سایبرنو همراه باشید.

ضد بدافزار مرکب (Multi-AV) چطور کار می‌کند؟

هر ضد بدافزار مرکب یا Multi-AV دارای چندین موتور آنتی ویروس است که می‌توانند هر فایل را به سرعت پویش کنند. استفاده از فناوری ضد ویروس مرکب می‌تواند نرخ شناسایی تهدیدات را به طور قابل توجهی افزایش دهد و نقش پررنگی در امنیت سایبری سازمان‌های حساس ایفا کند. در زیر، نحوه کارکرد این فناوری به طور کامل توضیح داده شده است.

۱- ترکیب چندین موتور آنتی ویروس

در فناوری ضد ویروس مرکب، چندین موتور آنتی ویروس، در قالب یک سیستم واحد ارائه می‌شوند و به صورت یکپارچه کار می‌کنند. از آن‌جایی که هر موتور آنتی ویروس، روش خاصی برای شناسایی تهدیدات و بدافزارها دارد، می‌تواند بعضی از تهدیدات را شناسایی کند اما در شناسایی بعضی از تهدیدات ناموفق است.

در فناوری ضد ویروس مرکب، با کنار هم قرار گرفتن تعدادی آنتی ویروس با روش‌های مختلف شناسایی تهدیدات، این آنتی ویروس‌ها نقاط کور هم دیگر را پوشش می‌دهند و بنابراین، احتمال تشخیص تهدیدات بسیار افزایش پیدا می‌کند. برای مثال، اگر آنتی ویروسی نتواند تهدیدی را شناسایی کند، احتمال شناسایی آن تهدید توسط آنتی ویروس‌های دیگر وجود دارد و بدین ترتیب، نرخ تشخیص ضد بدافزار مرکب، بسیار بالاتر از ضد بدافزار ساده است.

موتورهای آنتی ویروسی از روش‌های مختلفی برای شناسایی بدافزارها استفاده می‌کنند که رایج‌ترین آن‌ها به شرح زیر هستند:

• شناسایی مبتنی بر امضاء: در این روش، موتور آنتی ویروس از امضاءهای بدافزاری شناخته‌شده برای شناسایی بدافزارها استفاده می‌کند. این روش، برای شناسایی تهدیدات روز-صفر (zero-day threats) کارایی ندارند.
• تحلیل هیوریستیک: در این روش، تهدیدات ناشناخته بر اساس رفتار مشکوک شناسایی می‌شوند و می‌تواند برای شناسایی تهدیدات روز صفر ، به ویژه انواع جدید تهدیدات شناخته‌شده، کارآمد باشد. تحلیل هیوریستیک روی رفتار ایستا تمرکز دارد.
• نظارت رفتاری: تحلیل رفتاری نیز مشابه تحلیل هیوریستیک است و تلاش می‌کند تا رفتارهای مشکوک و ناهنجار را شناسایی کند اما برخلاف تحلیل هیوریستیک، روی رفتا پویا تمرکز دارد. در این روش، حتی امکان شناسایی تهدیدات کاملا جدید و ناشناخته نیز وجود دارد و بنابراین، برای شناسایی تهدیدات روز-صفر، بهتر است. از شناخته‌شده‌ترین آنتی ویروس‌های دارای قابلیت نظارت رفتاری می‌توان به کسپراسکی اشاره کرد که به گزارش زومیت، سازمان افتا، نسبت به استفاده از آن به سازمان‌های کشور هشدار داده است.

هر کدام از این سه روش، نقاط ضعف و قوت خود را دارند و بنابراین، ممکن است بعضی تهدیدات را به تنهایی شناسایی نکنند. در فناوری ضد بدافزار مرکب از موتورهای آنتی ویروس با روش‌های شناسایی مختلف استفاده می‌شود تا نقاط قوت یک آنتی ویروس، نقاط ضعف دیگری را پوشش دهد.

۲- پویش موازی

ضد بدافزار مرکب باید بتواند هر فایل را به صورت همزمان با چندین موتور آنتی ویروس اسکن کند تا سرعت اسکن، قابل قبول و منطقی باشد. تصور کنید که از یک ضد بدافزار مرکب با ۲۰ موتور آنتی ویروس استفاده شود. اگر اسکن کردن یک درایو قابل حمل (مثل یک فلش USB) با هر موتور آنتی ویروس، حدود ۵ دقیقه طول بکشد، در صورتی که اسکن به صورت موازی و همزمان نباشد، پویش کامل درایو، ۱۰۰ دقیقه زمان نیاز دارد که زمانی طولانی و غیر منطقی است که کارایی سیستم را به ویژه در سازمان‌ها، زیر سوال می‌برد.

بنابراین، در فناوری ضد ویروس مرکب، از روش‌های مختلفی استفاده می‌شود تا موتورهای ضد ویروس، هر فایل را به صورت همزمان اسکن کنند تا زمان اسکن، منطقی و قابل قبول باشد.

۳- خنثی‌سازی تهدید

زمانی که ضد ویروس مرکب، تهدیدی را شناسایی می‌کند، باید بتواند اقدامات لازم را برای خنثی‌سازی آن تهدید انجام دهد. معمولا، این کار شامل قرنطینه‌کردن تهدید، حذف خودکار فایل مشکوک یا اطلاع‌رسانی به یک کاربر انسانی برای بررسی بیشتر فایل مشکوک است.

۴- کاهش مثبت‌های کاذب

یکی از ویژگی‌های مهمی که هر ضد بدافزار مرکب باید داشته باشد، نرخ پایین مثبت‌های کاذب است. از آن‌جایی که این نوع راهکار آنتی ویروس سازمانی، هر فایل را با تعداد زیادی موتور آنتی ویروس پویش می‌کند، احتمال رخداد مثبت‌های کاذب، یعنی فایل‌های سالمی که به عنوان بدافزار شناسایی می‌شوند، افزایش پیدا می‌کند.

بنابراین، سیستم باید بتواند نرخ مثبت‌های کاذب را تا جای ممکن، پایین بیاورد. هر راهکار ضد بدافزار مرکب، استراتژی خاصی برای این کار دارد. برای مثال، اگر یکی از موتورهای آنتی ویروس، فایلی را تحت عنوان بدافزار شناسایی کند اما دیگر موتورهای آنتی ویروس، آن را سالم تشخیص دهند، ممکن است که سیستم فایل را قرنطینه کند و از کاربر انسانی بخواهد تا فایل را مورد بازبینی قرار دهد.

۵- شناسایی ابری

بعضی از راهکارهای ضد بدافزار مرکب، دارای موتورهای مبتنی بر ابر هستند که بروزرسانی بهینه‌تر و سریع‌تری دارند و می‌توانند هر فایل را با بروزترین موتورهای آنتی ویروس مورد بررسی قرار دهند. در این راهکارها، موتورهای آنتی ویروس به صورت لحظه به لحظه (real-time) با پایگاه‌های داده‌ای از امضاءهای ویروسی که مرتبا در حال بروزرسانی هستند، ارتباط برقرار می‌کند. بدین ترتیب، سامانه نیازی به بروزرسانی دستی نخواهد داشت و ضد بدافزار مرکب، همیشه بروز است و می‌تواند جدیدترین تهدیدات را شناسایی کند.

۶- سفارشی‌سازی و انعطاف‌پذیری

بعضی از راهکارهای ضد بدافزار مثل کیوسک امن سایبرنو دارای قابلیت‌های سفارشی‌سازی متعددی هستند که به کاربر این امکان را می‌دهند تا بر اساس نیازمندی‌های خودش، سیستم را تغییر دهد. برای مثال، مشتری می‌تواند بر اساس منابع مالی و میزان حساسیت سازمان، سامانه ارزان‌تری با تعداد کمتری موتور آنتی ویروس سفارش دهد. در مقابل، مشتریان دارای سازمان‌های بسیار حساس و منابع مالی کافی می‌توانند بهترین سامانه‌ها را که دارای بیشترین تعداد موتور آنتی ویروس، بالاترین نرخ تشخیص، شناسایی مبتنی بر ابر و دیگر قابلیت‌های تکمیلی هستند را سفارش دهند.

مزیت‌های ضد بدافزار مرکب

سه مزیت اصلی سامانه‌های ضد بدافزار مرکب عبارتند از:

• نرخ تشخیص بالا: مهم‌ترین مزیت سامانه‌های آنتی ویروس مرکب، نرخ تشخیص بسیار بالای آن‌ها است. از آن جایی که این سامانه‌ها هر فایل را با چندین موتور آنتی ویروس پویش می‌کنند، احتمال تشخیص تهدیدات بسیار بالا می‌رود.
• انعطاف‌پذیری بالا: این سامانه‌ها انعطاف‌پذیری بسیار بالایی دارند و می‌توان به شکل‌های مختلف از آن‌ها استفاده کرد. سامانه‌های ضد بدافزار مرکب امروزه به شکل انواع مختلف کیوسک امن، درایو امن، راهکار امنیت ایمیل و ... ارائه می‌شوند. همچنین، امکان سفارشی‌سازی تعداد موتورهای آنتی ویروس و دیگر قابلیت‌ها، بر اساس نیازمندی مشتری وجود دارد.
• سرعت بالای پویش: راهکارهای ضدبدافزار مرکب با استفاده از فناوری پویش موازی، می‌توانند هر فایل را به صورت همزمان با چندین موتور آنتی ویروس پویش کنند که این کار، زمان پویش را به طور قابل توجهی کاهش می‌دهد.

معایب ضد بدافزار مرکب

راهکارهای ضد بدافزار مرکب، به رغم مزیت‌های مهمی که دارند، خالی از ایراد نیستند. از مهم‌ترین معایب این راهکارهای امنیت شبکه می‌توان به موارد زیر اشاره کرد:

• قیمت بالا: توسعه آنتی ویروس‌های مرکب، کاری زمان‌بر و پیچیده است که به تیمی مجرب از متخصصان امنیت سایبری نیاز دارد. بنابراین، قیمت تمام شده این راهکارها، خیلی بالا است. همچنین، چنین راهکارهایی نیازمند بروزرسانی پیوسته و خدمات پس از فروش هستند که روی قیمت نهایی آن‌ها اثر می‌گذارد. بنابراین، معمولا تنها سازمان‌های متوسط تا بزرگ از توان مالی لازم برای استفاده از این راهکارها برخوردار هستند.
• مثبت‌های کاذب: یکی از مهم‌ترین مشکلات ضد بدافزارهای مرکب، نرخ نسبتا بالای مثبت‌های کاذب است که می‌تواند انتقال فایل‌های سالم به درون سازمان‌ها را با اختلال مواجه کند و منجر به کند شدن فرایندها در سازمان‌ها شود. البته، هر راهکار ضد بدافزار مرکب حرفه‌ای، روش خودش را برای کاهش نرخ مثبت‌های کاذب دارد.