حفاظت در برابر بدافزار پیشرفته«Advanced malware protection» به منظور جلوگیری، شناسایی و کمک به حذف اثربخش تهدیدها از سیستم‌های رایانه‌ای طراحی شده است. تهدیدها ممکن است به شکل ویروس‌های نرم‌افزاری و دیگر بدافزارها همچون باج‌افزارها«ransomware»، کرم‌ها«worms»، تروجان‌ها«Trojans»، جاسوس‌افزار‌«spyware»، آگهی‌افزار«adware» و بدافزارهای بدون فایل ظاهر شوند.

بدافزار پیشرفته چیست؟

به طور کلی، هدف بدافزار پیشرفته عبارتست از نفوذ به یک سیستم و جلوگیری از شناسایی. بدافزار پیشرفته معمولاً یک هدف خاص (اغلب یک سازمان یا شرکت) به قصد کسب منفعت مالی را دارد. همچنین ممکن است سازمان‌های مشابه در همان صنعت، مثل چند شرکت در حوزه‌ی بیمه یا امور مالی، را هدف قرار دهد. بدافزار پیشرفته می‌تواند به شکل بدافزاری متداول ظاهر شود که به منظور افزایش قابلیت آلوده‌سازی، تغییراتی در آن صورت گرفته است.

بدافزار پیشرفته چطور عمل می‌کند؟

پس از اینکه بدافزار پیشرفته روی یک سیستم رایانه‌ای بارگذاری شد، می‌تواند خود را تکثیر کند و در برنامه‌ها یا فایل‌های دیگر درج نماید و در این فرآیند آنها را آلوده سازد. بدافزار پیشرفته حتی می‌تواند برای مدتی نهفته باشد. همچنین می‌تواند شرایط یک سَندباکس«sandbox» که برای مسدود‌سازی فایل‌های مخرب در نظر گرفته شده را تست کند و تلاش کند نرم‌افزار امنیتی را فریب داده تا سیگنال عدم وجود بدافزار ارسال کند. سندباکس در واقع راهکاری است که امکان اجرای برنامه‌ها را در یک بستر امن فراهم می‌کند، در واقع به یک محیط آزمایش جداگانه‌ای گفته می‌شود که به کاربران امکان می‌دهد برنامه‌ها را بدون اینکه به برنامه یا سیستم آسیبی برساند و یا هرگونه تاثیری داشته باشد اجرا کنند.

چرا حفاظت در برابر بدافزار پیشرفته حائز اهمیت است؟

حفاظت در برابر بدافزار پیشرفته اساساً برای کمک به سازمان‌ها طراحی شده تا از رخنه‌های امنیتی «breaches» ناشی از بدافزار پیشرفته جلوگیری شود. صدمات ناشی از چنین نقض‌هایی می‌تواند از نابودی یک نقطه‌ی پایانی واحد گرفته تا از کار افتادن کل زیرساخت فناوری اطلاعات (IT) متغیر باشد، و به از دست دادن بهره‌وری برای کارکنان و اساساً اختلال در خدمات مشتریان و فروش و پشتیبانی محصول منجر ‌‌می‌شود.

انواع حفاظت در برابر بدافزار پیشرفته

پیشگیری«Prevention»

نرم‌افزار آنتی‌ویروس سنتی(AV)، برای تشخیص و پیشگیری از صدمه‌ی ناشی از بدافزار به تشخیص امضاء یا الگوی باینری یک ویروس متکی است. ولی اکثر نویسندگان بدافزار با نوشتن ویروس‌های "oligomorphic"، "polymorphic" و نوع جدیدتر آن یعنی "metamorphic"، یک قدم جلوتر از چنین نرم‌افزارهایی هستند؛ چون این نوع بدافزارها از تکنیک‌های ابهام‌آفرینی/مبهم‌سازی«obfuscation»مانند رمزگذاری بخش‌هایی از خود استفاده می‌کنند یا اینکه خودشان را تغییر می‌دهند تا با امضاهای ویروس در پایگاه‌داده‌ی آنتی‌ویروس مطابقت نداشته باشند.

امنیت نقطه‌ی پایانی که حفاظت در برابر بدافزار پیشرفته را اعمال می‌کند، بدافزارهای شناخته‌شده را به طور دقیق و مؤثر و بدون اینکه صرفاً به امضاءها متکی باشد مسدود می‌کند. برعکس، راهکارهای AV قدیمی ممکن است بدافزارهایی در فرمت فشرده و سایر فرمت‌ها و نیز بدافزارهای بدون فایل را تشخیص ندهند و نتوانند تهدیدهای پیشرفته را شناسایی کنند.

تشخیص

حدود سال 2013 تمرکز صنعت امنیت به منظور حفاظت آنتی‌ویروس، به سوی رویکردهای فاقد امضاء تغییر مسیر داد. راهکارهای آنتی‌ویروس سنتی ممکن است در شناسایی دقیق تهدیدات کم‌نفوذ«low-prevalence» مشکلاتی داشته باشند. ولی امنیت نقطه‌ی پایانی که نظارت مستمر بر تمام فعالیت‌های فایل را اعمال می‌کند به تشخیص سریع‌تر تهدیدات جدید ختم می‌شود.

قابلیت‌های آنتی‌ویروس جدید توسعه یافتند تا حملات zero-day و سایر بدافزارهای پیچیده‌تر را شناسایی کرده و کاهش دهند. بعضی از این قابلیت‌های پیشرفته عبارتند از:

• تشخیص بدافزار مبتنی بر رفتار«behavior-based malware detection»، که یک فضای کامل پیرامون هر مسیر اجرای فرآیند در زمان واقعی را ایجاد می‌کند
• مدل‌های یادگیری ماشینی، الگوهایی را شناسایی می‌کنند که با ویژگی‌های بدافزار شناخته‌شده و سایر اشکال مختلف هوش مصنوعی مطابقت دارند

پاسخ‌دهی

امروزه روش‌های پاسخ‌دهی کارآمدتری در راهکارهای حفاظت در برابر بدافزار پیشرفته‌ یافت می‌شوند، مانند تشخیص و پاسخ‌ نقطه‌ی پایانی «endpoint detection and response»(EDR) و مورد جدیدتر یعنی ابزارهای تشخیص و پاسخ‌ گسترده«extended detection and response»(XDR). راهکارهای حفاظت در برابر بدافزار پیشرفته برخلاف امنیت نقطه‌ی پایانی سنتی، امنیت گذشته‌نگر«retrospective security» را ارائه می‌دهند که تهدید را در نخستین نشانه از رفتار مخرب سریعاً مهار می‌کنند.

بهره‌وری

استفاده از آنتی‌ویروس قدیمی غالباً مستلزم پیکربندی و مدیریت پیچیده است. راهکارهای حفاظت در برابر بدافزار پیشرفته تمام آیتم‌های پیشگیری، تشخیص و پاسخ را در یک راهکار ارائه می‌دهند و عموماً بسیار خودکار هستند. همچنین پلتفورم‌های داخلی و باز آنها روندهای کاری بسیار ساده‌تر و کارآمدتر را میسر می‌سازند.