user avatar مدیر بلاگ 1399/12/06
ضدبدافزار لیست سفید
ضدبدافزار لیست سفید

ضدبدافزار‏های امروزی عموما از دو روش برای شناسایی بدافزار استفاده می‏‌کنند. روش اول، روش تحلیل ایستا نام دارد که در آن بدون اجرای بدافزار، با استفاده از یک سری قانون یا امضا همانند مقدار هش از کل فایل، یک بخش، یا دنباله‏‌ای از بایت‏‌ها بدافزار را شناسایی می‏‌کنند و روش دوم، روش مبتنی بر تحلیل پویا است که عموما با اجرای فایل مشکوک در یک محیط محدودشده صورت می‏‌گیرد.

راهکارهای کنونی نمی‏‌توانند به طور 100% از نفوذ بدافزار به درون سازمان جلوگیری کنند. چنانچه نفوذگر قصد نفوذ به یک سازمان خاص را داشته باشد، عموما یک بدافزار جدید طراحی می‌‏کند و سپس با استفاده از تکنیک‏‌هایی (که اصطلاحا به آن FUD کردن گفته می‏‌شود) کاری می‏‌کند که هیچ ضدبدافزاری چه به روش مبتنی بر امضا و چه مبتنی بر روش‏‌های پویا توان شناسایی آن را نداشته باشد. در انتها از بدافزار جدید خود برای نفوذ به سازمان استفاده می‌‏کند.

لذا واضح است که حتی داشتن قدرتمندترین ضدبدافزار‏های موجود نیز (که بروز هم باشد) نمی‏‌تواند از نفوذ بدافزار به درون سازمان شما جلوگیری کند.

دلیل اصلی این موضوع به این خاطر است که اصولا ضدبدافزار‏ها به طور پیشفرض تمامی فایل‏‌ها را فایل سالم در نظر می‏‌گیرند، مگر اینکه خلافش ثابت شود. (به این خط مشی در منابع مختلف Default Allow گفته می‌‏شود.) شرکت‏‌های مطرح در خارج از کشور همانند HP و Intel از چند سال گذشته برای جلوگیری از نفوذ بدافزار به درون سازمان‌شان از راهکار دیگری بهره گرفته‏‌اند. آن‏ها به طور پیشفرض تمامی فایل‌‏ها را بدافزار در نظر می‏‌گیرند، مگر اینکه خلافش ثابت شود. (به این خط مشی در منابع مختلف Default Deny گفته می‏‌شود.)

راهکار Default Deny این امکان را فراهم می‏‌کند که از اجرای هر فایلی غیر از فایل‌‏هایی که مورد اعتماد هستند (لیست این فایل‏‌ها در یک پایگاه داده به نام پایگاه داده لیست سفید نگه‏داری می‏‌شود.)، در درون سازمان جلوگیری شود و در نتیجه امکان نفوذ بدافزار به درون سازمان تا حد بسیار زیادی گرفته شود.

سایبرنو اقدام به طراحی یک ضدبدافزار لیست سفید درون سازمانی نموده است. این ضدبدافزار قبل از اجرای هر فایل در رایانه‌‏های سازمان ابتدا خصوصیات آن را به سرور تحلیلگر خودکار محلی که در درون سازمان قرار دارد ارسال می‏‌کند تا از سلامت آن اطمینان حاصل کند و سپس اجازه اجرای آن را صادر می‏‌کند.

مزایا

  • ریسک اجرا شدن برنامه­‌های مخرب یا ناخواسته به شدت کاهش می­‌یابد، لذا امنیت سیستم پایدار خواهد بود.
  • در این روش تحلیل برنامه­‌ها به منابع سیستمی بسیار کمتری نسبت به روش سنتی نیاز دارد لذا سربار بسیار کمتری به سیستم وارد می­شود و بیشتر سربار تحلیل بر عهده سامانه تحلیلگر خودکار محلی می­‌باشد.
  • استفاده از چندین ضدبدافزار در تحلیلگر خودکار محلی باعث ارتقا امنیت سازمان خواهد شد.
  • جلوگیری از ارسال داده­‌های حساس به شرکت­‌های امنیتی و ضدویروس‏‌ها و در عوض مانیتورینگ هرگونه مورد مشکوک در سازمان­.
  • در نهایت نگهداری و مدیریت چنین سیستمی برای مدیران سازمان بسیار راحت‌تر خواهد بود.
برچسب‌های مرتبط
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا می‌باشد.