بدافزارهای امروزی و چالش های پیش رو (بخش دوم)
همانطور که در بخش اول این مقاله اشاره شد روشهای سنتی شناسایی بدافزارها که تنها بر اساس امضا (signature) یا فرمول شناسایی کار می کنند، قادر به مقابله با خیل عظیم بدافزارهای امروزی نیستند. سازمانهای بزرگ دریافته اند که دیگر نمی توانند تنها به روشهای سنتی اکتفا کنند و باید به دنبال روشهای مؤثرتری برای محافظت از سیستم های خود باشند.
شرکتهای بزرگ ضدویروس نیز چنانچه به راه حلی اصولی برای این موضوع دست پیدا نکنند، ممکن است بازار را به ضدویروسهای رایگانی همچون Microsoft Security Essentials واگذار کنند. چرا که این روزها این سوال ذهن بسیاری از مدیران شبکه را به خود مشغول کرده است که “اگر ضدویروسها قادر به محافظت از سیستمها نیستند چرا باید بابت آنها پول بپردازیم؟” واقعیت آن است که این سوال می تواند تهدیدی جدی برای غولهای ضدویروس جهان باشد. شاید همین موضوع فرصتی را برای شرکتهایی همچون Cisco، HP و Check Point که هیچگاه نتوانستند در بازار ضدویروسها حرفی برای گفتن داشته باشند، ایجاد کند تا با بکار گیری روشهای نوین، پاسخگوی نیازهای امنیتی سازمانهای بزرگ باشند.
در این میان برخی از شرکتهای تولیدکننده ضدویروس توانسته اند با ابداع برخی فناوری های جدید رو به روشهای “پیشرفته شناسایی / مقابله با بدافزارها” (Advanced Malware Detection / Prevention یا AMD/P ) بیاورند. با این حال هیچ یک از این روشها و فناوری ها نتوانسته اند جایگزین ویروس یابی بر اساس امضا شوند و این شرکتها این روشهای جدید را بعنوان یک قابلیت در کنار نرم افزارهای سنتی خود قرار داده اند و همچنان استفاده از روشهای ویروس یابی بر اساس امضا مطمئن ترین روش برای شناسایی و پاکسازی بدافزارهای شناخته شده می باشد.
یکی از فناوری های AMD/P که در این مقاله به آن خواهیم پرداخت McAfee Global Threat Intelligence یا McAfee GTI است. بطور خلاصه این فناوری دارای ویژگی های زیر است:
1. با بکارگیری میلیونها حسگر بر روی اینترنت، اطلاعات مربوط به تهدیدات را آناً و زنده جمع آوری می کند.
2. با به اشتراک گذاری و تطبیق داده های جمع آوری شده با دیگر شرکتهای امنیتی، در زودترین زمان ممکن در مقابل بدافزارهای پیچیده واکنش نشان می دهد.
3. برای اطمینان از آنی بودن فرآیند جمع آوری داده ها و واکنش در مقابل بدافزارها، تمامی اجزای این فناوری در بستر رایانش ابری (Cloud Computing) پیاده سازی شده است.
4. با توجه به انتشار روزانه بیش از 75 هزار بدافزار جدید، بررسی و تحلیل همه آنها بصورت سنتی عملاً امکان پذیر نمی باشد. در فناوری McAfee GTI رفتار فایلهای مشکوک از طریق حسگرهایی که بر روی محصولات مختلف مک آفی همچون McAfee Email Gateway، McAfee Web Gateway و McAfee Network Security Platform قرار دارندT در سراسر اینترنت رصد، بر اساس نوع رفتار آنها امتیازدهی و در بانک داده مک آفی ذخیره می شوند. ضدویروس مورد استفاده کاربر در زمان مشاهده یک فایل مشکوک، مشخصه های آن را به سرور مک آفی ارسال و در آنجا با مطابقت دادن آن با بانک داده های سرور، واکنش مناسب در چند میلی ثانیه به کامیوتر کاربر ارسال می شود.
همانطور که در نمودار زیر نمایش داده است در روش شناسایی بر اساس امضا، ضدویروس تنها قادر به شناسایی 40 درصد بدافزارها می تواند باشد. حال آنکه با فعال کردن فناوری McAfee GTI بر روی سیستم و قرار دادن آن در بالاترین درجه تنظیمات، تقریباً تمامی بدافزارهای حتی بدافزارهای نوظهور و ناشناخته بصورت آنی و لحظه ای شناسایی می شوند.
مشترکینی که از نرم افزار McAfee ePolicy Orchestrator برای مدیریت نرم افزارهای ضدویروس خود استفاده می کنند می توانند با دنبال کردن مراحل زیر McAfee GTI را بر روی سیستم های خود فعال کنند.
- وارد کنسول مدیریتی McAfee ePolicy Orchestrator شوید.
- بر روی Menu کلیک و در قسمت Policies گزینه Policy Catalog را انتخاب نمایید.
- در قسمت Product گزینه McAfee VirusScan Enterprise 8.8 را انتخاب کنید.
- در قسمت Category نیز گزینه On-Access General Policies را انتخاب نمایید.
- با کلیک بر روی لینک Edit Settings سیاستنامه مورد استفاده، برای مثال Shabakeh، را باز کنید.
- در بخش General و در قسمت Sensitivity Level درجه مورد نظر را انتخاب کنید. توصیه می شود حداقل Medium انتخاب شود.
- با انتخاب گزینه Servers در قسمت Settings for می توانید درجه McAfee GTI را بر روی سرورها نیز مشخص کنید.
- برای ذخیره تغییرات بر روی دگمه Save کلیک کنید.
در مقالات بعدی نیز به بررسی فناوری های AMD/P مورد استفاده در محصولات ضدویروس Bitdefender خواهیم پرداخت.
