راه حل آنتی ویروس نسل بعدی (NGAV) با نظارت، پاسخ به تاکتیک ها، تکنیک ها و رویه های مهاجم (TTP) از انواع حملات شناخته شده و ناشناخته جلوگیری می کند.
آنتی ویروس نسل بعدی ، نرم افزار آنتی ویروس سنتی را به سطح جدید و پیشرفته ای از حفاظت از نقطه پایانی می رساند. که فراتر از امضاهای بدافزار مبتنی بر فایل و اکتشافی است. زیرا آنتی ویروس نسل بعدی یک رویکرد سیستم محور و مبتنی بر ابر می باشد . NGAV از تجزیه و تحلیل پیشبینیکننده مبتنی بر علم تشخیص رفتار ، الگوریتم های یادگیری ماشین و هوش مصنوعی استفاده میکند و با هوش تهدید ترکیب میشود .بدین ترتیب قابلیت های زیر را پوشش می دهد :
بدافزار بدونفایل (Fileless malware ) گونهای از نرمافزارهای مخرب مرتبط با رایانه است که منحصراً بهعنوان برنامه مبتنی بر حافظه رایانه یعنی در رَم وجود دارد.
آنتی ویروس نسل بعدی (NGAV) از ترکیبی از هوش مصنوعی، تشخیص رفتار، الگوریتم های یادگیری ماشین و راهکارهای کاهش اکسپلویت استفاده می کند، بنابراین می توان تهدیدات شناخته شده و ناشناخته را پیش بینی کرد و بلافاصله از آنها جلوگیری کرد. به دلیل اینکه NGAV مبتنی بر ابر است، استقرار آن به جای چند ماه در چند ساعت انجام می شود و بار نگهداری نرم افزار، مدیریت زیرساخت ها و به روز رسانی پایگاه های داده امضا حذف می شود.
رویکرد آنتی ویروس های سنتی در حال منسوخ شدن است زیرا مهاجمان راههایی را برای دور زدن دفاعهای قدیمی AV پیدا کردهاند، مانند استفاده از حملات بدون فایل که از ماکروها، موتورهای برنامهنویسی، حافظه داخلی، اجرا و غیره برای انجام حملات استفاده میکنند.
آنتی ویروس های سنتی سازمانها را در حالت Reactive mode قفل میکند و تنها قادر به دفاع در برابر بدافزارها و ویروسهای شناختهشده فهرستبندی شده در پایگاه داده ارائهدهنده AV است. این رویکرد در گذشته بهترین روش موجود بود، اما امروزه، زمانی که تهدیدهای ناشناخته باید با همان سختگیری تهدیدات شناخته شده مورد توجه قرار گیرند، به شدت ناکافی است.
NGAV این کاستیها را برطرف میکند زیرا ادغام روشهای پیشگیری پیچیدهتر مانند یادگیری ماشینی، تشخیص رفتاری، و هوش مصنوعی تنها اتکا به امضاها برای شناسایی فعالیتهای مخرب را از بین میبرد. NGAV در برابر تهدیدات ناشناخته و همچنین تهدیدات شناخته شده که با افزایش استفاده از حملات بدون فایل در میان مهاجمان، اهمیت فزاینده ای پیدا کرده اند ، محافظت کاملی ارائه می دهد. NGAV هر دو نوع تهدید را قادر میسازد تا در زمان واقعی آشکار شوند و در کمک به سازمانها برای جلوگیری از این تهدیدها با سرعتی بسیار بیشتر از گذشته و بسیار مؤثرتر می باشد.
Legacy AV همچنین از نظر معیارهای نسبت زمان به ارزش ، نمره خوبی ندارد و میانگین استقرار سه ماه طول می کشد. این بازه زمانی ضروری است زیرا AV قدیمی اغلب به سخت افزاری برای نصب در محل فیزیکی متکی است. علاوه بر این، پس از نصب، اکثر راهحلهای قدیمی نیاز به تنظیم و پیکربندی کامل دارند تا کاملاً کاربردی باشند.
با این حال، استقرار یک راهحل واقعی NGAV بومی ابری به این اندازه دست و پا گیر نیست و اجرای کامل آن تنها چند ساعت طول میکشد. از آنجایی که NGAV در فضای ابری مستقر است، هیچ سختافزار یا نرمافزار اضافی برای تهیه، هیچ زیرساختی برای استقرار، بدون نیاز به معماری راهحل جدید وجود ندارد .
نسبت زمان به ارزش (Time To Value یا TTV) مفهومی است برای اندازهگیری فاصله زمانی بین انجام خرید نهایی و دریافت محصول یا خدمت توسط مشتری و رسیدن او به ارزش تولیدشده توسط آن محصول یا خدمت. ماجرا بسیار ساده است: هرچه مشکل مشتری را سریعتر حل کنید، تجربه مشتری بهتر خواهد بود و در نتیجه کسبوکار شما درآمد بیشتری خواهد داشت.
پس از راهاندازی و اجرا، ردپای AV قدیمی در نقطه پایانی میتواند به دلیل ناکارآمد بودن برخی از قابلیتهای امنیتی آن بر عملکرد تأثیر منفی بگذارد. علاوه بر این، اتکای آنتی ویروس سنتی به امضا به این معنی است که پایگاههای اطلاعاتی Signature باید دائماً به روز شوند تا جدیدترین موارد اضافه شده را در بر گیرند. این بهروزرسانیها منابع و زمان زیادی را مصرف میکنند و لحظهای که یک بهروزرسانی کامل میشود، از تاریخ گذشته است.
راهحلهای NGAV کمترین تأثیر منفی را بر نقطه پایانی دارد.
یک راهحل مؤثر NGAV از فناوریهای نوآورانه برای جلوگیری از تاکتیکها، تکنیکها و رویههای بهسرعت در حال تغییر استفاده میکند که توسط دشمنان برای نفوذ به سازمانها، از جمله بدافزارهای روز صفر و حتی حملات پیشرفته بدون بدافزار ( Advanced Malware-free) استفاده میشود. در یک راهحل مؤثر NGAV قابلیت های پیشگیری وجود دارد که باید به دنبال آنها باشید:
حفاظت در برابر بدافزار بدون امضا از الگوریتمهای یادگیری ماشینی برای تعیین احتمال مخرب بودن یک فایل استفاده میکند. تهدیدهای جدید فورا متوقف می شوند و نسبت معیار زمان به ارزش به صفر می رسد.
الگوهای یادگیری ماشین می توانند بدافزار شناخته شده و ناشناخته را در نقاط پایانی، چه در شبکه و چه خارج از شبکه، شناسایی و از آن جلوگیری نمایند. بدین وسیله امکان کشف سریعتر و کاملتر شاخصهای حمله را فراهم ، باجافزار را حذف و شکافهای باقی مانده توسط AV قدیمی را پر میکنند.
IOA ها رویدادهای نقطه پایانی را برای شناسایی فعالیت های مخفی که نشان دهنده فعالیت مخرب هستند، مرتبط می کنند. راه حل آنتی ویروس های قدیمی بر یافتن IOAها با تجزیه و تحلیل آفلاین گذشته نگر متکی است، بنابراین نمی تواند با تهدیدات نوظهور همگام شود و برای مدیریت به منابع زیادی نیاز دارد. الگوریتمهای آنلاینی که از یادگیری ماشینی استفاده میکنند و برای انجام یک تحلیل مفید به کل مجموعه داده نیاز ندارند، سریعتر، کارآمدتر و مؤثرتر هستند.
بدافزار همیشه در یک فایل ارائه نمی شود. حملاتی که از ماکروها، اجرا، حافظه داخلی و سایر تکنیک های بدون فایل استفاده می کنند در حال افزایش هستند. مسدودسازی اکسپلویت، بهره برداری را در صورت وقوع شناسایی و مسدود می کند.
اطلاعات یکپارچه تهدید، ارزیابی فوری منشأ، تأثیر و شدت تهدیدات در محیط را امکان پذیر می کند و همچنین راهنمایی هایی را در مورد نحوه بهترین واکنش و اصلاح ارائه می دهد.
معماری ابری جزء حیاتی در ارائه نسل بعدی AV واقعی است. NGAV مبتنی بر ابر میتواند در عرض چند ثانیه کاملاً عملیاتی شود، بدون نیاز به راهاندازی مجدد، بهروزرسانی امضا، پیکربندی یا خرید زیرساخت. الگوریتمها میتوانند فعالیت نقطه پایانی را همانطور که اتفاق میافتد پردازش کنند، فایلهای مخرب و رفتارهای مشکوک را در زمان واقعی و بدون تأثیر بر عملکرد نقطه پایانی افشا کنند.
مهاجمان امروزی دقیقاً میدانند که کجا میتوانند شکافها و نقاط ضعف را در امنیت محیطی شبکه سازمان پیدا کنند . آنها به روشهایی در این موارد نفوذ میکنند که به راحتی نرمافزار آنتیویروس سنتی را دور میزنند. این مهاجمان از ابزارهای بسیار توسعه یافته برای هدف قرار دادن آسیب پذیری هایی استفاده می کنند که اهرم های زیر را شامل می شوند:
و از آنجایی که AV سنتی فقط بر روی تهدیدات مبتنی بر فایل امضا یا تعریف تمرکز میکند، نمیتواند هیچ یک از این محیطها را از تهدیدات مدرن که فایلهای جدیدی را به سیستم معرفی نمیکنند شناسایی کند.
با این حال، NGAV روی رویدادها ، فایلها، فرآیندها، برنامهها و اتصالات شبکه تمرکز میکند تا ببیند اقدامات یا جریانهای رویداد در هر یک از این مناطق چگونه به هم مرتبط هستند. تجزیه و تحلیل جریان های رویداد می تواند به شناسایی اهداف، رفتارها و فعالیت های مخرب کمک کند و پس از شناسایی، مهاجمان می توانند مسدود شوند.
