آنتی ویروس ابری چیست؟ راهکاری امنیتی برای سازمانها
آموزش
برخلاف آنتی ویروس معمولی و on-premise که روی سیستم کاربر نصب میشود، آنتی ویروس ابری (cloud antivirus) از فناوری ابری بهره میبرد و امکان اسکن کردن از راه دور سیستمهای متصل به اینترنت را فرآهم میآورد.
سادهترین ابزار در امنیت سایبری که حتی کاربران عمومی برای حفاظت از کامپیوترهای شخصی خود از آن استفاده میکنند، آنتی ویروس است. سازمانهایی مثل شرکتهای تجاری و سازمانهای دولتی نیز که هم داراییهای IT ارزشمندتر و حساستری دارند، هم بیشتر هدف حملات سایبری قرار میگیرند و هم به منابع مالی بیشتری دسترسی دارند، از راهکارهای آنتی ویروس سازمانی استفاده میکنند.
آنتی ویروسهای سازمانی on-premise که روی کامپیوترهای خود سازمان نصب میشوند، محدودیتهایی مانند مقیاسپذیری و نیاز به منابع پردازشی بالا دارند و بنابراین، بعضی از سازمانها در سالهای اخیر به استفاده از آنتی ویروسهای ابری روی آوردهاند. در این مقاله، برای شما مخاطبان گرامی مجله امنیت سایبری سایبرنو توضیح میدهیم که آنتی ویروس ابری چیست، چطور کار میکند و چه مزایایی نسبت به آنتی ویروس on-premise دارد. همچنین، در رابطه با چالشهای آنتی ویروسهای ابری صحبت میکنیم و مثالهایی از آنتی ویروسها و مالتی اسکنرهای ابری ارائه میدهیم. با ما تا انتهای این مقاله همراه باشید.
آنتی ویروس ابری چیست؟
آنتی ویروس ابری نوعی راهکار امنیت سایبری است که از زیرساخت ابری برای اسکن از راه دور دستگاهها و پاکسازی آنها از بدافزارها استفاده میکند. این راهکارهای امنیتی مبتنی بر ابر امکان استفاده در پیکربندیها و معماریهای مختلف شامل ابرهای عمومی، ابرهای خصوصی و ابرهای هیبریدی را دارند. این انعطافپذیری بالا در معماری آنتی ویروسهای ابری، به سازمانها این امکان را میدهد تا بر اساس نیازمندیها و سیاستهای امنیتی خود، راهکار مطاوب خود را برگزینند.
بر خلاف آنتی ویروسهای سنتی که مبتنی بر پایگاههای داده امضا و منابع پردازشی درون سرورهای داخلی سازمان هستند، در آنتی ویروسهای ابری، پایگاههای داده و منابع اطلاعات تهدید، روی سرورهای ابری نگهداری میشوند. بدین ترتیب، آنتی ویروسهای ابری همیشه بروز هستند و بدن مصرف منابع پردازشی بالا، به طیف گستردهای از بروزترین منابع اطلاعات تهدید که به صورت لحظه به لحظه بروزرسانی میشوند، دسترسی دارند.
آنتی ویروس ابری عمومی
آنتی ویروسهای ابری عمومی از از شرکتهای ارائهدهنده زیرساختهای ابری کمک میگیرند و مقیاسپذیری بالاتر و دسترسی آسانتری در مقایسه با آنتی ویروسهای ابری خصوصی دارند. در مقابل، در صورت استفاده از این نوع آنتی ویروسهای ابری، حریم خصوصی کاربران در معرض خطر قرار میگیرد و احتمال نقض داده وجود دارد. بنابراین، سازمانهای حساس، مانند شرکتهای تجاری بزرگ و مهم یا سازمانهای دولتی، امنیتی و نظامی نمیتوانند از آنتی ویروسهای ابری عمومی استفاده کنند.
آنتی ویروس ابری خصوصی
آنتی ویروسهای ابری خصوصی درون زیرساختهای ابری اختصاصی سازمان کار میکنند و بنابراین، سازمان باید آنتی ویروس را روی یک سرور داخلی نصب کند. بدین ترتیب، امکان اسکن کردن دیگر نقاط پایانی متصل به شبکه سازمان با استفاده از زیرساختهای ابری اختصاصی خود سازمان و بدون نیاز متصل کردن شبکه به اینترنت، وجود دارد. این راهکارهای امنیتی خصوصی، مقیاسپذیری پایینتری در مقایسه با آنتی ویروسهای ابری عمومی دارند اما امنتر هستند و خطر نقض داده را به همراه ندارند.
آنتی ویروس ابری هیبریدی
آنتی ویروس ابری هیبریدی راهکاری ترکیبی است که هم مزیتهای آنتی ویروس ابری خصوصی و هم مزیتهای آنتی ویروس ابری عمومی را دارد. در این نوع آنتی ویروس ابری، دادههای حساس از شبکه سازمان خارج نمیشوند اما از مقیاسپذیری و هوش تهدید پیشرفته مشابه آنتی ویروسهای ابری عمومی، برخوردار هستند.
آنتی ویروس ابری چطور کار میکند؟
آنتی ویروس ابری به صورت یک مدل کلاینت-سرور کار میکند. کلاینت که میتواند به صورت یک نرمافزار روی سیستم کاربر نصب شود، کارهای سبکی مثل نظارت بر رفتار فایل یا ارسال دادههای مشکوک به ابر را انجام میدهد. البته، آنتی ویروسهای ابری تحت وب نیز وجود دارند که نیازمند نصب کلاینت روی سیستم کاربر نهایی نیستند. معمولا، این سرویسهای تحت وب با استفاده از افزونههای مرورگر یا APIهایی که مستقیما با وب اپلیکیشنها یکپارچه میشوند، کار میکنند و امکان اسکن کردن فایلهای دانلود شده و دادههای موجود در ابرها را فرآهم میآورند. اگرچه این راهکارهای تحت وب، نیاز به نصب کلاینت روی سیستمهای سازمان و آپدیت کردن کلاینت را از بین میبرند اما محدودیتهایی در دسترسی به فایلها و فرایندهای روی سیستمهای سازمان دارند. بنابراین، بر اساس نوع معماری شبکه و نیازمندیهای سازمان، هم میتوان از راهکارهای کلاینت-سرور و هم میتوان از راهکارهای تحت وب برای تأمین امنیت شبکه سازمان استفاده کرد؛ به طوری که این راهکارها، مکمل همدیگر باشند.
فرایند اسکن با آنتی ویروس ابری شامل چندین مرحله زیر است:
۱- اسکن با اپلیکیشن کلاینت در سیستم کاربر
در مرحله اول، اپلیکشین کلاینت که روی سیستم کاربر نصب شده است، کار اسکن کردن فایلها و فرایندهای روی سیستم کاربر را انجام میدهد. در واقع، اپلیکیشن کلاینت به طور پیوسته و لحظه به لحظه، فعالیتهای فایلها، ترافیک شبکه و رفتار اپلیکیشنها را رصد و هر نوع رفتار و فعالیت غیر طبیعی و ناهنجار را شناسایی میکند. وقتی فایل یا فعالیت مشکوکی شناسایی میشود، اپلیکیشن کلاینت آن را به سرورهای ابری ارسال میکند تا بررسیهای بیشتری روی آن انجام شود.
۲- تحلیل فایلها و رفتارهای مشکوک در سرور ابری
زیرساخت ابری نقش مغز سیستم آنتی ویروس را بر عهده دارد و میزبان پایگاههای داده بسیار بزرگ اطلاعات تهدید است که لحظه به لحظه، بروزرسانی میشوند. این پایگاههای داده حاوی امضاء آنتی ویروسها، الگوهای رفتاری و اطلاعات تهدیدات نوظهور هستند. سرورهای ابری از الگوریتمهای هوش مصنوعی پیشرفته و یادگیری ماشین برای شناسایی تهدیدات ناشناخته مانند آسیبپذیریهای روز صفر و بدافزارهای چندشکلی یا پلی مورفیک (polymorphic) که راهکارهای آنتی ویروس سنتی قادر به شناسایی آنها نیستند، استفاده میکنند.
معمولا، این الگوریتمها شامل شبکههای عصبی، درختهای تصمیمگیری و مدلهای یادگیری گروهی (ensemble learning models) هستند. شبکههای عصبی، به ویژه انواع دارای معماری یادگیری عمیق، برای تحلیل الگوهای پیچیده در مجموعههای بزرگی از دادهها و با هدف شناسایی شاخصهای حمله (IoC ها) استفاده میشوند. از سوی دیگر، درختهای تصمیمگیری در دستهبندی رفتارهای مشکوک بر اساس ویژگیها یا قابلیتهای خاص به دست آمده از فایلها یا ترافیک شبکه، کاربرد دارند. در یادگیری گروهی نیز از چندین مدل برای کاهش مثبتهای کاذب و بهبود دقت تشخیص، استفاده میشود.
وقتی فایل مشکوکی به سرور ابری آنتی ویروس میرسد، در محیطی مجازی و قرنطینهشده که جعبه شن نام دارد، تحت آنالیز رفتاری قرار میگیرد. چنین محیطی به آنتی ویروس امکان اجرای امن فایل و مشاهده رفتار آن را بدون در خطر قرار دادن سیستم کاربر میدهد. موتورهای تحلیل رفتاری، به جستجوی نشانههای رفتار متخاصم، مانند دسترسی غیرمجاز به سیستم، تلاش برای تغییر فایلهای حساس یا تلاش برای ارتباط گرفتن با دامنههای مشکوک میپردازند.
۳- عملیات پاکسازی روی سیستم کاربر
در صورتی که سرور ابری، فایلی را به عنوان بدافزار بشناسد، یک امضاء تشخیص (detection signature) ایجاد و آن را به اپلیکیشن کلاینت آنتی ویروس ابری نصب شده روی سیستم کاربر، مخابره میکند. سپس، اپلیکیشن کلاینت، آن بدافزار را قرنطینه یا پاک میکند تا از آسیب بیشتر به سیستم و دادهها و انتشار آلودگی در شبکه جلوگیری شود. گذشته از آن، امضاء تهدید شناسایی شده به تمامی کلاینتهای سرویس ابری ارسال میشود تا شناسایی و رفع آن تهدید در کلاینتهای دیگر، به سرعت و بدون نیاز به مداخله سرور ابری، انجام شود.
از آنجایی که معمولا، آنتی ویروسهای ابری دارای تعداد زیادی مشتری در سرتاسر دنیا هستند، سرورهای این آنتی ویروسها اطلاعات تهدید را به صورت لحظه به لحظه از تعداد زیادی کلاینت در سرتاسر دنیا گردآوری میکنند و بنابراین، در شناسایی جدیدترین تهدیدات، بسیار موفق هستند.
آنتی ویروس ابری چه مزیتهایی دارد؟
از مهمترین مزیتهای آنتی ویروسهای ابری میتوان به موارد زیر اشاره کرد:
- مقیاسپذیری: معمولا، زیرساختهای ابری به راحتی قابل گسترش هستند و در صورت گسترش شبکه سازمان شما در آینده، به راحتی میتوانید از آنتی ویروس ابری در بخشهای جدید شبکه استفاده کنید.
- آپدیت شدن لحظه به لحظه: پایگاههای داده امضاء و هوش تهدید آنتی ویروسهای ابری به صورت لحظه به لحظه و بر اساس دادههایی که از کلاینتهای مختلف در گوشه و کنار جهان گردآوری میشوند، بروزرسانی میشوند و بنابراین، هر زمانی که از این آنتی ویروسها استفاده کنید، آپدیت هستند و نیازی به بروزرسانی دستی ندارند.
- کاهش نیاز به منابع پردازشی: از آنجایی که تنها اپلیکیشن کلاینت از منابع پردازشی کامپیوترهای سازمان شما استفاده میکند، نیازی نیست که این کامپیوترها منابع پردازشی بالایی داشته باشند و در واقع، بار اصلی پردازش به دوش سرویس ابری است.
- شناسایی تهدید پیشرفته: فناوریهای هوش مصنوعی، یادگیری ماشین و تحلیل رفتاری در آنتی ویروسهای ابری، امکان شناسایی پیشرفتهترین تهدیدات را دارند.
آنتی ویروس ابری چه مشکلاتی دارد؟
از جمله مشکلات و چالشهای استفاده از آنتی ویروسهای ابری در سازمانها میتوان به موارد زیر اشاره کرد:
- تأخیر: اسکن کردن آنلاین سیستمها به دلیل نیاز به مخابره اطلاعات بین کلاینتها و سرورهای ابری، با کمی تأخیر همراه است که البته به پینگ و پهنای باند اینترنت شما نیز بستگی دارد.
- امنیت و حریم خصوصی: در صورتی که از آنتی ویروس ابری استفاده کنید، امکان دسترسی به دادههای خصوصی روی سیستمهای شما از طریق زیرساختهای ابری وجود دارد. حتی در صورتی که به ارائهدهنده سرویس ابری اطمینان داشته باشد، امکان نفوذ هکرها به زیرساختهای ابری وجود دارد. اگرچه این مشکل برای سازمانهای کوچک تا متوسط که اطلاعات خیلی حساسی ندارند، مطرح نیست اما شرکتهای بزرگ و سازمانهای حساس دولتی، امنیتی و نظامی نمیتوانند به راحتی به سرویسهای آنتی ویروس ابری اعتماد کنند.
- وابستگی به اینترنت: استفاده از آنتی ویروسهای ابری نیازمند اتصال باکیفیت و پایدار به اینترنت است و این آنتی ویروسها، امکان اسکن کردن سیستمهای آفلاین و شبکههای جدا از اینترنت را ندارند.
- اختلالات موقتی: گاهی اوقات، سرویسهای ابری به دلایلی مثل استفاده همزمان تعداد زیادی کلاینت یا حتی حمله دیداس دچار اختلالات موقتی و از دسترس خارج میشوند.
بهترین آنتی ویروسهای ابری کدامند؟
چندین شرکت ارائهدهنده محصولات امنیت شبکه و امنیت سایبری، آنتی ویروسهای ابری ارائه میدهند. از بهترین سرویسهای آنتی ویروس ابری میتوان به موارد زیر اشاره کرد:
|
آنتی ویروس ابری |
نوع استقرار |
قابلیتهای اصلی |
|
Trend Micro Apex One |
ابر هیبریدی |
تشخیص تهدید با کمک هوش مصنوعی |
|
Symantec Endpoint Security |
ابر عمومی |
تحلیل پیشرفته و خودکارسازی |
|
McAfee MVISION Cloud |
ابر عمومی |
جلوگیری از نقض داده و بررسی انطباق با قوانین امنیتی |
|
Bitdefender GravityZone |
ابر هیبریدی |
تحلیل جعبه شن |
|
Cisco Secure Endpoint |
ابر عمومی |
هوش تهدید لحظه به لحظه |
آینده فناوری آنتی ویروس ابری
با پیشرفتهتر شدن تهدیدات سایبری، یک آنتی ویروس به تنهایی برای شناسایی و مقابله با همه انواع تهدیدات کافی نیست و به همین دلیل، شرکتهای ارائهدهنده محصولات امنیت سایبری، در حال توسعه راهکارهای مالتی اسکنر یا Multi-AV ابری هستند. در حال حاضر، یکی از بهترین راهکارهای مالتی اسکنر ابری در دنیا، VirusTotal با قابلیت اسکن کردن فایل و URL با چندین موتور آنتی ویروس است. البته، به دلیل ملاحظات امنیتی، سازمانهای داخلی نمیتوانند به سرویسهای مالتی اسکنر خارجی اعتماد کنند. خوشبختانه شرکت ما، نمونه مشابهی تحت عنوان پویشگر چند موتوره تولید کرده است که هم قابلیت استقرار on-premise و هم قابلیت استقرار ابری دارد. بدین ترتیب، حتی حساسترین سازمانهای داخلی نیز میتوانند با خیال راحت از این مالتی اسکنر برای اسکن کردن شبکه خود استفاده کنند.
