معرفی نرم‌افزار محافظت در برابر بدافزار پیشرفته يا AMP

نرم افزار حفاظت در برابر بدافزار پيشرفته، Advanced Malware Protection یا AMP برای جلوگیری، شناسایی و کمک به رفع تهدیدها به روشی کارآمد از سیستم های رایانه‌ای طراحی شده است. تهدیدها ممكن است به شکل ویروس‌ نرم افزاری و بدافزارهای دیگر مانند باج افزار، Wormها، Trojanها، Spyware يا جاسوس‌افزار، نرم افزار تبلیغاتی و بدافزارهای بدون فايل باشد..

تعريف بدافزار پیشرفته

هدف بدافزار پیشرفته به طور کلی اين است كه به سيستم نفوذ كند و نگذارد شناسايی شود و يك سازمان يا شركت را به منظور کسب سود مالی هدف قرار می‌دهد. همچنین ممکن است سازمان‌های مشابهی را در همان صنعت مانند چندین سازمان در زمینه بیمه یا امور مالی هدف قرار دهد. بدافزار پیشرفته ممكن است به شکل بدافزار معمولی باشد که ارتقا يافته تا قابليت آلوده‌سازی در آن بالا رود.

نحوه و روش كار بدافزار پيشرفته

بدافزار پيشرفته پس از بارگیری بر روی سیستم كامپيوتری می‌تواند خود را Replicate کرده و در برنامه‌ها یا پرونده‌های دیگر قرار دهد و آن‌ها را در اين فرآيند آلوده سازد. حتی می‌تواند زمانی غيرفعال باشد. اين بدافزار همچنین می‌تواند شرایط Sandboxای را که به منظور مسدود کردن فايل‌های مخرب ايجاد شده، مسدود كند و تلاش كند نرم‌افزار امنيتی را فريب دهد به طوری كه اين نرم‌افزار سيگنالی مبنی بر بدافزار نبودن آن ارسال كند.

بررسی راهکار Cisco AMP برای شناسایی و پاسخ به تهدیدات

دیدن ویدیوهای بیشتر درباره امنیت

دليل اهميت حفاظت در برابر بدافزار پيشرفته

همچنانکه در مورد محافظت در برابر بدافزار پیشرفته يا AMP توضیح داده شد، لازم به ذکر است حفاظت در برابر بدافزار پیشرفته در درجه اول برای کمک به سازمان‌ها در جلوگیری از نقض امنيتی ناشی از بدافزار پیشرفته طراحی شده، آسیب ناشی از چنین نقض‌هايی ممكن است طيفی مانند از دست دادن یک Endpoint واحد تا عدم توانایی یک زیرساخت کامل IT را در بر گيرد و در نتيجه باعث از بین رفتن بهره‌وری کاربران و ايجاد اختلال بالقوه در خدمات کاربری و فروش و پشتیبانی محصول شود.

انواع محافظت در برابر بدافزار پیشرفته یا AMP

پيشگيری: Traditional Antivirus يا AV برای شناسایی بدافزارها و جلوگیری از آسیب رساندن آن‌ها، بسيار به شناسایی Signature یا الگوی Binary ویروس متكی است. اما اكثر بدافزارنويسان يك قدم از چنين نرم‌افزاری جلوتر هستند؛ چرا كه برنامه نویسان ویروس‌های الیگومورف، پولی‌مورفيك و اخیراً متامورفيك یا دگرگون‌شده، می‌نويسند كه اين ويروس‌ها از ترفند‌های مبهم‌سازی مانند رمزگذاری بخشی از خود استفاده کرده و يا در غير اين صورت خود را اصلاح می‌كنند تا با Signature ويروس در ديتابيس‌های آنتی‌ويروس مطابقت نداشته باشند.

بیشتر بخوانید: کاربرد Splunk Security در شناسایی بدافزارها و باج‌افزارهای ناشناخته – قسمت اول

امنیت Endpoint که حفاظت در برابر بدافزار پيشرفته را به كار می‌گيرد، Exploitهای شناخته‌شده بدافزار را به طور دقيق و كارآمد و بدون آن كه صرفا به Signatureها وابسته باشد، Block می‌كند. برعکس، راه حل‌های از گذشته AV ممكن است بدافزارهای موجود در فرمت zip و سایر فرمت‌ها و همچنین بدافزارهای بدون فايل را تشخيص ندهند و نتوانند تهديدات پيشرفته را از بين  ببرند.

تشخيص: سال 2013، صنعت امنيت كم كم‌ برای محافظت آنتی‌ويروس به رويكردهای بدون Signature یا Signature-less روی آورد، تلاش راهكارهای آنتی ویروس قديمی ممكن است در راستای تشخيص درست تهديداتی باشد كه كمتر رايج هستند. اما امنیت Endpoint که از مانيتورينگ مستمر کلیه فعالیت ‌فايل استفاده می‌كند، باعث مي‌شود تهديدات جديد سريعتر تشخيص داده شوند.

قابلیت‌های جدید آنتی‌ويروس به گونه‌ای توسعه يافته‌اند كه حملات Zero-day و ديگر بدافزارهای پيشرفته‌تر را تشخيص داده و كاهش دهند. برخی از این قابلیت‌های نسل بعدی عبارتند از:

• تشخیص بدافزار مبتنی بر رفتار، که برای هر مسير اجرای فرآيندی درReal time، زمينه كاملی فراهم مي‌كند.

• مدل‌های یادگیری ماشینی، كه الگوهایی را شناسایی می‌کنند که با ویژگی‌های شناخته‌شده بدافزار و سایر اشکال مختلف هوش مصنوعی مطابقت دارد.

پاسخ: اكنون روش‌های پاسخدهی موثرتری در راهكارهای پیشرفته حفاظت از بدافزار يافت شده‌اند كه از آن جمله می‌توان به ابزارهای تشخيص و پاسخ Endpoint ،Endpoint Detection And Response يا به اختصار EDR و نمونه اخير تشخيص و پاسخ گسترده، Extended Detection And Response يا به اختصار XDR اشاره كرد. بر خلاف امنيت از گذشته Endpoint، راهكارهای محافظت در برابر بدافزار پيشرفته همچنین امنیت Retrospective فراهم می‌کنند که با مشاهده اولين نشانه رفتار مخرب، سريعا جلوی تهديد را می‌گيرد.

كارآيی: پياده‌سازی آنتی‌ویروس‌های از گذشته اغلب نيازمند تنظیم و مديريت پيچيده است. راهكارهای حفاظت در برابر بدافزار پيشرفته، پیشگیری، تشخيص و پاسخگویی را به طور يكجا ارائه می‌دهند و معمولاً بسیار خودکار هستند. پلتفرم‌های Built-in باز آنها، Workflowهای بسیار ساده و کارآمدی را امکان پذیر می کنند.