چهار نیاز اساسی برای کنار گذاشتن ضدبدافزار

عمر مفید ضدبدافزارهای نقطه‌ی پایانی قدیمی که بر مبنای امضای شخصی پرونده‌های مخرب، آدرس‌ها و آدرس‌های IP را شناسایی می‌کردند به پایان رسیده است. روش‌های حمله جدید از جمله بدافزارهای چند شکل، پکرها (packers) و Wrapperها که می‌توانند یک جفت شناخته‌شده بسازند، کاملاً جدید است و توسط ضدبدافزارها قابل شناسایی نمی‌باشند.
در نتیجه بسیاری از سازمان‌ها با استفاده از روش‌های جدید سعی در محافظت از نقطه‌ی پایانی یا Endpoint خود در برابر بدافزارها و شکل‌های دیگر حمله دارند که در مجموع حفاظت نقطه‌ی پایانی نسل بعد نام دارد. بنابراین در حالی که پشت سر گذاشتن این ضدبدافزار اجتناب‌ناپذیر است، چه قابلیت‌هایی برای جایگزینی آن نیاز است؟
در اینجا چهار مورد وجود دارد که باید در نظر گرفته شوند:

پیش‌بینی
پایه و اساس یک محافظت خوب در برابر تهدیدات شناخته‌شده و ناشناخته این است که ضدبدافزار بدون درنگ قادر به شناسایی این باشد که به احتمال زیاد چه حمله‌ای رخ خواهد داد.
ضدبدافزار با قابلیت پیش‌بینی باید قادر به پیش‌بینی حرکت بعدی بدافزار بر اساس الگوهای حمله، روش‌های بدافزار و هوش تهدید برگرفته از جمعیتی باشد که به صورت دقیقه‌ای به‌روزرسانی می‌شود.
نظارت بر تهدیدها و فرآیندهای سامانه‌، استخراج تمامی اطلاعات عملیات مربوطه از جمله تماس‌های سامانه‌، شبکه، IO، برنامه‌ی رجیستری (روی ویندوز)، لازم می‌باشند تا ضدبدافزار بتواند بررسی کند که این حرکتی که روی سامانه‌ در حال اجراست، بدافزار است یا بی‌خطر. به خصوص از زمانی که بدافزارها به پردازش و عملیات بی‌خطر سامانه‌ متصل می‌شوند تا توسط ضدبدافزار قابل شناسایی نباشند.

جلوگیری
شامل مسدود کردن و جلوگیری از تهدیدات شناخته‌شده و موجود می‌باشد تا بدافزار نتواند روی سامانه‌ اجرا شود. موثرترین روش استفاده از هوش ابری برگرفته از جمعیت است تا بتواند اطلاعات را در زمان لازم انتقال دهد و تهدیدات بدافزار را به موقع مسدود کند.

شناسایی
نفوذگرها از روش‌های اجرایی پیچیده برای رخنه به سامانه‌ و اجرای بدافزارها استفاده می‌کنند. یکی از روش‌های رایج حمله به سامانه‌ بارگیری‌های ناخواسته می‌باشد. حفاظت نقطه‌ی پایانی نسل بعدی باید با قابلیت‌های ضداجرایی ترکیب شده تا بتوانند از سامانه‌ در برابر حملاتی محافظت کند که هم برنامه‌ی کاربردی و هم اجراهای مبتنی بر حافظه را راه‌اندازی می‌کند.
به طور ایده‌ال این فن‌آوری با کشف روش‌های واقعی می‌تواند اجراهای حافظه را شناسایی کند، مانند محورهای ذخیره‌ای، حملات ROPو تغییرات مجاز حافظه.
توقف حملات روز صفرم و هدف‌دار نیاز به نظارت به موقع و بررسی نرم‌افزار کاربردی و پردازش در حافظه، دیسک، رجیستری، شبکه و غیره دارد.

بازسازی
معمولاً یک بدافزار با حمله به سامانه‌، پرونده‌ها و تنظیمات رجیستری را ایجاد، حذف یا تغییر می‌دهد و تنظظیمات پیکربندی را نیز تغییر می‌دهد. هر تغییری روی سامانه‌ باعث می‌شود که سامانه‌ نتواند به خوبی کار کند.
از بین بردن یک تهدید یا بازگشت یک نقطه‌ی پایانی برای رسیدن به یک وضعیت قابل اعتماد کار ساده‌ای نیست و نیاز به کار اجرایی فشرده دستی دارد. حفاظت نقطه‌ی پایانی نسل بعدی باید نقطه‌ی پایانی را برای رسیدن به وضعیت اجرایی پیش از بدافزار، بازیابی کند- و انچه را که باعث تغییر و اصلاح موفقیت‌آمیز می‌شود را نشان دهد.
علاوه بر حذف و پاک‌سازی این تهدیدات باید به صورت خودکار انجام گیرد. این قابلیت ضروری و لازم در بسیاری از شبکه‌ها وجود ندارد تا بتواند به سادگی در مورد تهدیدات هشدار داده و در مورد چگونگی مسدود کردن و حذف بدافزارها توصیه‌هایی کند.

نتیجه‌گیری
برای جایگزینی ضدبدافزارها، باید مواردی را در نظر گرفت که پیش‌بینی، جلوگیری، شناسایی و بازسازی را ادغام کند تا بتواند از سامانه‌ در برابر تهدیدات و حملات پیشرفته‌ای محافظت کند که طیف گسترده‌ای از بردارهای حمله را به کار می‌گیرند. نیاز به حفاظت نقطه‌ی پایانی نسل بعدی هرگز بیشتر از الان که ابر دستگاه‌های نقطه‌ی پایانی را در مرکز جهان فن‌آوری اطلاعات قرار داده است، نمی‌شود. به طوری که می‌تواند از هر نقطه و به هر طریقی به اطلاعات دسترسی پیدا کند. این ابر با تعبیه‌ی دستگاه‌ها، سامانه‌‌های کنترل صنعتی و حتی دستگاه‌های IOT بر روی لپ‌تاپ‌ها، رایانه‌های رومیزی‌‌، کارگزارها و دستگاه‌های تلفن همراه در بدتر شدن اوضاع همکاری کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.