مقاله

آنتی ویروس مُرد

این عبارت که آنتی ویروس مُرد از زمانی بر سر زبان ها جاری شد و تیتر اخبار جهان شد که یک شرکت امنیتی (سیمانتک) از آن استفاده کرد. نکته قابل توجه و عجیب ماجرا این بود که شرکت سیمانتک یکی از بزرگترین شرکت های تولید کننده محصولات آنتی ویروس در دنیا بود و همین موضوع باعث تعجب همگان شد.

ماجرا از چه قرار بود؟

برای درک بهتر این موضوع بهتر است اول به روند رشد تکنولوژی محصولات آنتی ویروس از گذشته تاکنون نگاهی داشته باشیم.

 

نسل اول آنتی ویروس ها:

اولین بدافزار دنیا معروف به Brain در سال ۱۹۸۶ متولد شد. نویسندگان این بدافزار دو مهندس کامپیوتر در پاکستان بودند. در آن زمان هیچ نرم افزار آنتی ویروسی وجود نداشت، پس مهندسان کامپیوتر شروع به پیدا کردن راهی جهت مقابله با اینگونه اتفاقات مشابه کردند. با توجه به تعداد کم بدافزارهای تولید شده در آن زمان اولین راه حلی که به ذهن مهندسان رسید جمع آوری هش فایلهای بدافزارهای کامپیوتری بود. هش در واقع یک کد منحصر به فرد است که در دنیا مشابه ندارد و هر فایل زمانی که ایجاد می شود این کد را دریافت می کند.

نمونه هش: cf23df2207d99a74fbe169e3eba035e633b65d94

این راه حل تا مدت ها مورد استفاده آنتی ویروس ها بود و هر زمان که ویروس جدید پیدا می شد هش آن را به دست می آوردند و در دیتابیس آنتی ویروس اضافه می کردند. این راه حل نسبتا مناسبی بود تا زمانی که تعداد بدافزارها بسیار زیاد شدند.پس از آن قابلیت Heuristic اضافه شد.

این قابلیت را با یک مثال توضیح می دهیم، فرض کنید مدت ها گذشته است و یک شرکت آنتی ویروس هش صدها هزار نمونه از بدافزارهایی را جمع آوری کرده است که یک عمل مشابه انجام می دهند. مثلا همه آنها یک پیغام مشابه را نمایش می دهند یا یک فایل مشخص را به شکل خاصی تغییر می دهند. در اینجا یک الگو وجود دارد. پس مهندسان دست به کار شدند و یک هوش مصنوعی ابتدایی طراحی کردند. به این شکل که آنتی ویروس نظاره گر کلیه اعمال فایلهای در حال اجرا بود. به محض اینکه یک فایل اجرایی قصد انجام یک الگوی از پیش ثبت شده ای را داشت آنتی ویروس آن را بلاک می کرد، به همین ترتیب مهندسان نیز توانستند با حذف هش بدافزارهای مشابه از دیتابیس حجم دیتابیس را کاهش دهند.
این روال نیز تا مدتی ادامه داشت تا اینکه آنتی ویروس مُرد….

 

چرا آنتی ویروس مُرد؟

پس از مدتی مهندسان کامپیوتر و امنیت اطلاعات به این نتیجه رسیدند که تکنولوژی به کار گرفته شده در آنتی ویروس ها به تنهایی دیگر قادر به پاسخگویی نیست و نیاز است تا یک محصول کاملتر در صنعت متولد شود. این شد که EPP (Endpoint Protection Platform) یا به عبارتی EPS (Endpoint Security) متولد شد.

Endpoint Security شامل امکاناتی از جمله موارد زیر بود:

  • Firewall
  • Device Control
  • Patch Management
  • Browsing Protection
  • Anti-Phishing
  • و…

برای چندسالی Endpoint Security نیز محصول داغ بازار بود و توانسته بود با ایجاد یک حفاظت چند لایه کمک شایانی در افزایش بهره وری صنعت امنیت سایبری کند.

این روال طولی نکشید که با شدت گرفتن حملات سایبری NGAV (Next-Gen Antivirus) متولد شد.

 

NGAV:

محصولات NGAV بدون سر و صدای تبلیغاتی زیاد کم کم جای خود را در محصولات Endpoint Security باز کرد و قسمت شناسایی بدافزار EPS را ارتقا داد و آن را هوشمند کرد. این قابلیت با کمک سه عنصر اصلی که هریک در ادامه توضیح داده می شوند متولد شد و شروع به کار کرد.

  • Big Data
  • AI & Machine Learning
  • Security Experts

این قابلیت در کسپرسکی نام HuMachine و در اف سکیور نام Live Security را به خود گرفتند.
اساس و بنیان اصلی این تکنولوژی ترکیب هوش انسان و ماشین است. برای درک بهتر این موضوع به ذکر مثالهایی این تکنولوژی را توضیح می دهیم.

HuMachine کسپرسکی

Big Data:

محصولات ضدویروس مجهز به تکنولوژی ابری ای می باشند که توسط آن ردپای بدافزارها، بات نت ها و حملات سایبری در تمام جهان جمع آوری می شوند. در واقع زمانی که هوش مصنوعی آنتی ویروس پردازشی را مشکوک بشناسد اطلاعات مربوط به آن را برای سیستم های مرکزی شرکت تولید کننده محصول ارسال می کند. این اطلاعات و ردپاها تشکیل حجم بسیار عظیمی از اطلاعات را می دهند که با بررسی و آنالیز آنها می توان نتایج مفیدی را گرفت.

 

AI & Machine Learning:

هوش مصنوعی و یادگیری ماشین تکنولوژی بسیار بروزی می باشد که این روزها در همه عرصه های تکنولوژی در حال بکارگیری هستند.
در تکنولوژی یادگیری ماشین سیستم همانند انسان شروع به یادگرفتن می کند، با این تفاوت که انسان از تجارب یاد می گیرد ولی ماشین از دیتا و اطلاعات. همچنین خدمتی که یادگیری ماشین در سیستم های امنیتی Endpoint Security انجام می دهد به این شرح است که اطلاعات جمع آوری شده توسط سیستم ابری (Big Data) را دسته بندی و به کمک هوش مصنوعی تحلیل و بررسی می کنند.

 

Security Experts:

این قسمت در واقع همان حلقه اتصال هوش انسان به ماشین است. با کمک تکنولوژی های قبلی سیستم های کامپیوتری شروع به دسته بندی، آنالیز و شناسایی بدافزارها می کنند ولی در مواردی ممکن است سیستم از پس این کار برنیاید و نیاز به توانایی هوش انسان باشد. در اینجا است که متخصصان امنیت اطلاعات وارد می شوند و شروع به آنالیز و بررسی اطلاعات و نمونه ها می کنند.

با وجود این پیشرفت ها در تکنولوژی محصولات امنیتی کار به اینجا ختم نشد و مهندسان ایده جدیدی را مطرح کرده اند که در طول ۳ سال گذشته رشد بسیار فراوانی داشته است و آن چیزی نیست جز EDR.

 

EDR چیست؟

با توجه به نقشه راه امنیت سایبری گارتنر محصول Endpoint Security با وجود همه توانایی ها و امکانات خود تنها توانسته است قسمتی از قسمت پیش بینی و قسمتی از پیشگیری را پوشش دهد.

EDR آمده است تا دو قسمت دیگر شامل شناسایی و پاسخگویی را پوشش دهد. در واقع کمکی که EDR به ما میکند این است که اگر حمله ای در شبکه ما رخ داده است ولی سیستم های پیشگیری قادر به شناسایی آن نشدند به مهندسان و کارشناسان کمک کند تا آن حمله را شناسایی کنند و یا در صورتی که حمله رخ داده است زمان حضور هکرها را به حداقل برساند. همچنین درصورتی که حمله رخ داد و آسیب هایی وارد کرد در کمترین زمان ممکن بتوان به شرایط خوب پیش از حمله بازگشت. در آینده با محصولات EDR بیشتر آشنا می شویم.

 

نتیجه گیری:

پس از مطالعه موارد بالا می توان به این درک رسید که تنها قابلیت شناسایی بدافزار که در آزمایشگاه های AV-Test و AV-Comparatives بررسی می شوند کفایت نمی کند و ملاکی برای انتخاب محصول امنیتی نیست. البته هر چند که داشتن رتبه های خوب در این آزمایشگاه ها امتیاز به حساب می آید ولی این همه ماجرا نیست. به همین دلیل است که محصولی مثل بیت دیفندر در AV-Test رتبه اول می گیرد ولی در رده بندی گارتنر یک تازه کار رو به خروج از رقابت به حساب می آید.

در ادامه شرکت های تولید کننده محصولات حفاظت از نقاط انتهایی را بر اساس توانایی هایی که دارند طبقه بندی می کنیم:

نسل اولیه آنتی ویروس ها: پادویش، اویرا
نسل دوم، Endpoint Security: ایسِت، بیت دیفندر، جی دیتا
نسل جدید: اف سکیور، کسپرسکی، سیمانتک

 

نسرین ذاکری
نویسندهنسرین ذاکری

دیدگاهتان را بنویسید