باید بدانیم که امروزه فیلتر کردن وبسایتها و آنتی ویروسها دیگر به تنهایی برای تشخیص بدافزارها کافی نیستند و برای مقابله با مالورهای به شدت پیشرفته که هدفشان دزدی اطلاعات حساس است، باید به فکر بود.
ابزارهای جدید تشخیص بدافزارها از طریق تکنیک «sandboxing» کار میکنند. این تکنولوژی قصد دارد تا با مالورهای پیشرفته امروزی مبارزه کند. تمامی شرکتهایی که محصولاتی را با این تکنولوژی ارائه میکنند، به دنبال این هستند که تاجایی که امکان دارد در برابر مالور مقاومت کنند. در این مطلب میخواهیم شما را با این تکنولوژیها آشناتر کنیم. بد نیست اندکی در این باره دقیقتر شویم و از نحوه کار مالورها و آنتی مالورها بیشتر بدانیم.
تکنولوژی «sandboxing»
تکنولوژی «sandboxing» امروزه از طرف آنتی ویروسها و آنتی مالورها به شدت مورد استفاده قرار میگیرد. سیستم تشخیص مالور در این تکنولوژی متنوع است. روش تحلیل ترافیک شبکه برای تشخیص تهدیدهای احتمالی در شبکه به کار میرود. الگوهای رفتاری مورد دقت قرار میگیرند و فایلهای مشکوک به سندباکس (sandbox) فرستاده میشوند. این فایلها سپس در محیطی از ماشینهای مجازی امتحان میشوند و کارکرد این ماشینهای مجازی، تحلیل رفتار فایلها در سیستم عاملهای مختلف و نسخههای متفاوت نرم افزارها است. هر تغییری که فایلهای مشکوک ایجاد کنند، ثبت میشود و گزارشی تهیه میشود که تمامی مناطقی از سیستم عامل و نرم افزارها را که تغییر کردهاند، نشان میدهد. بر اساس همین گزارش، فایلها به عنوان مالور معرفی میشوند.
بهترین جنبه این روش این است که مهم نیست مالور چقدر تلاش میکند تا ترافیک خودش را مخفی کند، بلکه مجبور است تغییراتی را هر چند ناچیز روی سیستم عامل ایجاد کند و سندباکس این تغییرات را تشخیص میدهد. این پروسه دو مرحله ای- اول تشخیص تهدید و بعد فرستادن فایل به سندباکس- روشی کارا و مفید بوده است.
sandbox img با جدیدترین روشهای تشخیص بدافزار آشنا شوید
همچنین فایلها هنگام ورودشان به شبکه مورد تحلیل قرار میگیرند، مثلا وقتی از وبسایت دانلود میشوند. ترافیک اینترنت توسط محصولات آنتی مالور شکل داده میشوند و ناهنجاریها تشخیص داده میشوند. در لحظاتی معین، ترافیک مشکوک به سند باکس هدایت میشود. تهدیدهایی هم که از قبل در شبکه وجود داشتهاند با قفل کردن راههای خروج اطلاعات بر اساس ترافیک شبکه، به حداقل رسانده میشوند. مالورها عادت دارند که وقتی در جایی وارد شدند، بقیه مالورها را هم به آنجا دعوت کنند. در این لحظه هم میتوان جلوی رشد مالور را گرفت. از آنجا که سیستم سندباکس بر اساس الگوی خاصی از بدافزار کار نمیکند و بر اساس تغییرات مشکوک تصمیم میگیرد، مالورهای جدیدالورود هم قابل تشخیص خواهند بود. اطلاعات یک مالورِ لو رفته با بقیه دستگاهها همخوان میشوند تا بقیه هم اطلاع داشته باشند و از رشد آن مالور جلوگیری کنند.
محصولات متنوعاند
ابزارهای تشخیص مالور که از آنها صحبت میکنیم، ارزان نیستند و سازمانها باید بسیار دقت کنند که کدام محصول به کار آنها میآید. سازمانها باید زمان بگذارند تا بهترین و منطبقترین محصول را استفاده کنند. وقتی یک محصول انتخاب میشود ،باید در تمامی دفترهای سازمان راه اندازی شود. راه اندازیهای کنترل از دور اولین جرقههای تهدیدهای امنیتی اینترنتی را میزنند.
سخن نهایی
باید همیشه و همیشه به خاطر داشته باشید که هیچ محصولی، امنیت را صد در صد تضمین نمیکند. مثلا سیستم سندباکس با تمام فوایدش نمیتواند ترافیکهای رمزگذاری شده را تحلیل کند و تقریبا میتوان گفت که فقط تهدیدها علیه سیستم عامل ویندوز را تشخیص میدهد. همچنین آنها نمیتوانند مالورهایی که از قبل وجود داشتهاند را تشخیص دهند. با این حال روشی که استفاده میکنند در حداقل کردن تهدیدها بسیار موثر است.
موسسه نرم افزاری ترسیم رایانه شرق