OPSWAT Metascan היא טכנולוגיה מתקדמת לגילוי ומניעת איומים המפעילה מספר מנועי אנטי-וירוס בו זמנית כדי למקסם את הסבירות לתפיסת תוכנות זדוניות ידועות. בעוד שמנוע אנטי-וירוס יחיד יכול לזהות 40%-80% מהתוכנות הזדוניות, Metascan מאפשרת למומחי אבטחת סייבר לסרוק קבצים עם למעלה מ-30 מנועי אנטי-וירוס מובילים בשוק, באופן מקומי (Windows ו-Linux נתמכים) ובענן ( MetaDefender Cloud ) כדי להשיג שיעורי זיהוי גבוהים מ-99% ( ראו את הדוח שלנו ). הפתרון שלנו לא רק מגביר את שיעורי הגילוי, מקצר את זמני גילוי ההתפרצות, אלא גם מספק עמידות לפתרונות אנטי-וירוס של ספק יחיד. Metascan הוא אחד ממודולי התוכנה הקריטיים בתוך OPSWAT MetaDefender Core והוא משתפר ללא הרף על ידי הערכה והוספה של ספקי האנטי-וירוס (AV) היעילים ביותר לרשימת ספקי המנועים שלנו. אנו תמיד מחפשים שותפי אבטחה חדשים להוסיף לפתרון הסריקה המרובה שלנו כדי להגן טוב יותר על לקוחותינו מפני פשעי סייבר מתוחכמים יותר ויותר. בבלוג זה, נסקור את תהליכי ההערכה הטכנית של אנטי-וירוסים לפני הוספתם ל-Metascan.
תהליכי הערכה עוברים דרך ארבעה שלבים נפרדים: אימות דרישות החבילה, בדיקת רכיבים של צד שלישי, אינטגרציה מהירה ובדיקת אוטומציה.
השלב הראשון של ההערכה הוא אימות דרישות חבילת SDK (ערכת פיתוח תוכנה). בהתבסס על ניסיוננו באינטגרציה עם יותר מ-30 מנועי אנטי-וירוס מובילים, הגענו לסט דרישות סטנדרטי ופשוטה:
- כדי להקל על האינטגרציה, חבילת ה-SDK צריכה להיות בממשק C או C++. בדרך כלל, תהליך סריקה עם ממשק שורת פקודה (CLI) כולל שלושה שלבים: אתחול (כולל טעינת מסד הנתונים כולו), סריקה וביטול אתחול. התהליך כולו מתרחש עבור כל קובץ שנסרק, מה שמאט את תהליך הסריקה. לעומת זאת, בשילוב C++, יש לאתחל את המערכת פעם אחת בלבד ולהמתין לסריקת קבצים נכנסים. עלינו לבטל את אתחול המערכת רק בעת עצירת שירות המוצר כולו.
- למנוע המאושר צריכים להיות קבצי מודול מנוע וקבצי הגדרות נפרדים כדי להקל על המסירה כחבילה קטנה, ואין לעדכן אותו בטעות.
- בנוסף, אנו משרתים תעשיות תשתית קריטיות רבות עם סביבה מרווחת, כך שהמנועים המסופקים חייבים לתמוך בעדכון לא מקוון של קבצי הגדרות.
- כדי לספק פתרון מתקדם למניעת איומים ללקוחותינו, אנו דורשים מספר דרישות נוספות עבור ה-AVs שנוספו, כגון בטיחות בפני הליכי משנה, תפוקה גבוהה ו-SDK עצמאי ללא תהליך התקנה.
אם כל דרישות החבילה מתקיימות, אנו עוברים לשלב השני של ההערכה, בו בוחנים את תאימות החבילה. היא נסרקת באמצעות כלי צד שלישי כדי לזהות את כל הפגיעויות או בעיות הרישיון. אם נמצאות בעיות כלשהן, אנו מודיעים לספק ה-AV כדי לפתור אותן לפני המשך תהליך ההערכה.
השלב השלישי של הדרישה הוא בדיקת אינטגרציה כדי לראות אם ניתן לשלב את המנוע בצורה חלקה ופועל בצורה חלקה. בהתבסס על קוד הדוגמה או מדריך האינטגרציה, אנו מתחילים פונקציות בסיסיות מאוד כמו אתחול וסריקה. לאחר מכן מתבצעת בדיקה מהירה כדי לוודא שהאינטגרציה נכונה על ידי סריקת קובץ הבדיקה של האנטי-וירוס של EICAR וקובץ הניקוי. לצורך בקרת אבטחת נתונים, אנו משתמשים בתוכנית ניטור רשת במהלך הבדיקה כדי להבטיח שהמנוע לא שולח נתונים לשרת הביתי שלו.
יתר על כן, פיתחנו מסגרת בדיקה מקיפה למדידת מדדי ביצועים, כולל תפוקה, דליפת זיכרון, צריכת CPU ובטיחות הליכי משנה. כפי שמוצג באיור למטה, ערכנו בדיקה עם 2 תרחישים: סריקת הליך משנה יחיד וסריקת הליך משנה מרובים (20 הליכי משנה בבדיקה זו). בהתבסס על מדידת הביצועים, נוכל לזהות שגיאות או בעיות קיימות שנגרמו על ידי ה-AV במהלך תהליך הסריקה.
אנו משתמשים באלפי קבצי דוגמה, כולל קבצים זדוניים וקבצים שפירים ידועים כאחד, ומאפשרים להם לסרוק את המנוע הנבדק כדי לאמוד את שיעור הגילוי (גם עבור תוצאות חיוביות שגויות וגם עבור תוצאות שליליות שגויות). המערכת גם מנטרת את טביעת הרגל של ה-AV כדי לגלות דליפות זיכרון פוטנציאליות או צריכת CPU גבוהה מהרצוי. לדוגמה, בהדגמת הבדיקה לעיל, ניצול הזיכרון גדל בארבע בדיקות שונות שחושפות דליפת זיכרון אפשרית. באופן דומה, תוצאת הבדיקה חשפה את תפוקת המנוע וכן כל כשלים במהלך תהליך הסריקה, אשר תועדו לחקירה נוספת.
לאחר מכן, ביצענו מבחן מאמץ, שנמשך יום עם מערך נתונים גדול בהרבה, כדי לחקור לעומק את ביצועי ויציבות ה-AV. בנינו סביבת בדיקת אינטגרציה בתוך קונטיינר docker. אם מתגלות בעיות כלשהן במהלך שלב זה, נשתף את הבעיות שזוהו עם ספק ה-AV יחד עם קונטיינר הבדיקה כדי לשמור על סביבות בדיקה עקביות.
לאחר הערכה מדוקדקת של האינטגרציה והביצועים של תוכנת האנטי-וירוס, אנו פורסים את האינטגרציה הרשמית עם Metascan אם היא עוברת את כל הבדיקות הקפדניות שלנו, מאשרים את הסכם השותפות ומודיעים על הוספת מנוע אנטי-וירוס חדש ללקוחותינו.
תהליך הערכה קפדני של טכנולוגיית האבטחה האוטונומית שלנו נועד להבטיח ללקוחותינו מוצר אבטחה ללא דופי, דינמי ויעיל. הוא גם יוצר שיתוף פעולה הדוק ומוצלח ביניהם. OPSWAT ושותפי הטכנולוגיה שלנו כדי להגן יחד על לקוחותינו מפני מתקפות סייבר מתקדמות יותר ויותר. אנו מחפשים כל הזמן ספקי AV חדשים שיצטרפו לפתרון הסריקה הרב-תכליתית שלנו. לשותפות אפשרית עם OPSWAT , אנא צרו קשר עכשיו. נשמח תמיד לענות על כל שאלה.
