گزارش جامع ای از عملکرد آنتی ویروس ها در سال 2020

گزارش جامع ای از عملکرد آنتی ویروس ها در سال 2020

ترجمه ی گزارش جامع و کامل av comparatives از آنتی ویروس های برتر امسال که خدمتتان تقدیم میکنیم.

معرفی
 
واژه ی Advanced Persistent Threat یک اصطلاح رایج برای توصیف حملات سایبری هدف دار میباشد که حاوی روش ها و تکنیک های متعددی برای نفوذ به اطلاعات یک سیستم میباشد. هدف از همچین حملاتی میتواند سرقت، جایگزینی، آسیب به اطلاعات محرمانه یا خراب کاری میباشد. یکی از آخرین این حملات نیز امکان ایجاد ضرر های مالی و اعتباری بسیار به سازمان ها را ایجاد کرد. همچین حملاتی بسیار با قصد و غرض میباشد و معمولا با ابزار های بسیار حرفه ای دخیل است. این ابزار ها از کد های بسیار پیشرفته و مخرب استفاده میکنند کی از بارز ترین متد ها کد های آلوده ی بدون فایل میباشد.
در تست محافظت از تهدیدات پیشرفته ای ما، از تکنیک های هک و نفوذی استفاده میکنیم که به مهاجمان و هکران اجازه میدهد که سیستم های داخلی کامپیوتر را در دست بگیرند. این حملات میتواند شامل فاز ها و مراحل متفاوتی باشد و تک تک این فاز ها میتواند حاوی یک متد خاص IOC برای قربانیان باشد. تمامی تست ها و آزمایش های ما شامل یک سری TTP  ثابت میباشد ( Tectics, Techniques, Procedures ) میباشد. همچنین در کنار آنان یک تست مربوط به اخطار های اشتباهی False alarm میباشد. اخطار های اشتباه معمولا زمانی رخ میدهد که راهکار های امنیتی به اشتباه یک فایل را آلوده شناسایی میکنند.
این تست ها معمولا از شماری از تکنیک ها و منابع خاص جهت تقلید از رفتار مخرب ها و ویروس ها در دنیای واقعی استفاده میکنند. ما از برنامه های سیستمی جهت دور زدن شناسایی بر اساس سیگنچر استفاده میکنیم. همچنین از زبان های برنامه نویسی و اسکریپت محور، فایل های بچ، پاور شل، اسکریپت های ویژوال و.. نیز در این روش ها استفاده های بسیاری میشود. این تست ها شامل نمونه های آلودگی فاز محور و بدون فاز محور میباشند و کد های مخرب پیش از اجرا میباشد. همچنین از طریق کانال های C2  نیز برای اتصال های بر پایه HTTP , HTTPS و TCP نیز استفاده میشود.
برای سیستم عامل مورد آزمایش، ما یک ویندوز 10 نسخه ی 64 بیت با تمامی به روز رسانی های امنیتی را در نظر میگیریم. که هر کدام با یک نسخه ی آنتی ویروس سازمانی آن محصول مجهز شده است. همچنین تست های ما برایندی از سیستم های خانگی و سازمانی میباشد ولیکن مقایسه ی این دو با هم نبایستی صورت بگیرد.
محصولات به کار رفته در تست محافظت سایت AV-Comparatives
وندور های زیر در تست محافظت از تهدیدات پیشرفته شرکت کرده اند. این محصولات از آن دسته راهکار هایی هستند که از مقاوم بودن محصول خود در برابر حملات پیشرفته اطمینان داشتند تا در تست های عمومی شرکت کنند.
برخی از محصولات ذیل همچون آنتی ویروس وایپر (Vipre) از موتور محافظتی بیت دیفندر در کنار دیگر قابلیت های امنیتی خود استفاده میکنند.
 
برترین ویروس کش ها
 
اکثر برند های آنتی ویروس با وجود داشتن قابلیت های EDR در محصول خود نیز شرکت نکردند. ما از یک محصول یکسان از تمامی برند های امنیتی و تنظیمات یکسان برای تست های خود استفاده میکنیم، چه بسا که برخی از قابلیت های EDR نیز میتوانند تاثیر منفی روی سبکی محصول یا امکان بروز شناسایی های اشتباه داشته باشند.
در نظر داشته باشید که نتایج به دست آمده تنها با همان افزونه های آن راهکار امکان پذیر است و اگر قرار بر تغییر نوع راهکار امنیتی باشد نتایج به دست آمده متفاوت خواهد بود.
 
روند تست
 
اسکریپت هایی همچون VBS , JS یا MS Office میتوانند بک دور های بدون فایل را بر روی سیستم قربانیان نصب و اجرا کنند و یک کانال ارتباطی به نام C2 را بین قربانی و مهاجم ایجاد کنند که معمولا در یک مکان فیزیکی دیگری قرار دارد و یا حتی ممکن است در کشوری دیگر نیز باشد. جدا از تمامی این سناریو های شناخته شده، ممکن است این بد افزار ها از طریق اکسپلویت ها، دسترسی های ریموت، ورودی های رجیستری سیستم و روش های دیگر وارد شوند. این روش ها مستقیما بد افزار را از اینترنت به حافظه ی سیستم مورد هدف انتقال میدهند و پس از آن به پخش و انتشار در شبکه ی قربانی ادامه میدهند.
 
حملات بدون فایل
در حوزه ی بد افزار، دسته بندی های بسیاری وجود دارد و تفاوت بسیاری نیز در حملات بدون فایل و فایل محور نیز وجود دارد. از سال 2017 افزایش قابل توجه ای در زمینه ی تهدیدات بدون فایل ثبت شده است. یکی از دلایل آن این است که همچین حملاتی از دیدگاه مهاجمان بسیار موثر بوده است و یکی از دلایل آن این است که حملات بدون فایل تنها در حافظه و مموری سیستم ها فعالیت میکند و اسکن آنان توسط راهکار های امنیتی بسیار دشوار میباشد.
 
تست اخطار اشتباه (False Alarm)
یک راهکار امنیتی که 100 درصد فایل های آلوده را بلاک میکند ولی فایل های سالم را هم نیز شناسایی میکند. ما یک تست منحصر به فرد و جداگانه تهیه کرده ایم که بخشی از تست محافظت از تهدیدات پیشرفته میباشد تا بتواند فایل های سالم را از آلوده تشخیص دهد. در غیر این صورت یک محصول امنیتی میتواند به راحتی 100 درصد از حملات آلوده را شناسایی کند.
 
برترین ویروس کش سال
 
- تهدید شناسایی شد، دسترسی C2 برقرار نشد. سیستم محافظت شده است.
برترین ویروس کش سال - هیچ اخطاری نشان داده نشده است ولی هیچگونه دسترسی C2 هم نیز برقرار نیست. سیستم محافظت شده است.
X - تهدید شناسایی نشد، دسترسی C2 برقرار شد.
- نتایج مربوط به محافظت سیستم مشخص نیست اگر چه اسکریپت های غیر آلوده نیز بلاک شده اند.
 
از دیدگاه ما، هدف هر راهکار امنیتی میبایست بر روی شناسایی و جلوگیری بد افزارها باشد. به عبارتی دیگر، اگر یک حمله پیش از وقوع آن شناسایی شود و اقدامات امنیتی را برای جلوگیری از اعمال شدن به سیستم انجام دهد خوب است. به طور مثال همانند زمانی که دزدی وارد خانه شما میشود و سیستم اخطار و شناسایی به شما ورود آن فرد را اعلام میکند، نه زمانی که آن فرد شروع به دزدیدن وسایل خانه شما میکند.
محصولی که کارکرد ها و تابع های قانونی را بلوک میکند ( همانند فایل های ضمیمه ایمیل و اسکریپت ها ) در تست ما گواهی کسب نمیکنند.
 
مراحل شناسایی / بلوک کردن
 
قبل از اعمال ( PRE ) : زمانی که تهدید بر روی سیستم هنوز اجرا هم نشده است و غیرفعال است.
اعمال آنی ( ON ) : بلافاصله پس از اجرای بد افزار
پس از اعمال ( POST ) : پس از اینکه تهدید اجرا شد و اقدامات آن قابل تشخیص بود.
 
تست آنتی ویروس
 
 
آواست (Avast) : در دو مورد پیدا شده، اخطاری صورت نگرفته است. همچنین دسترسی C2 پایدار نبوده است.
بیت دیفندر (Bitdefender) : بسیاری از شناسایی ها پیش از آنکه آلودگی بخواهد اجرا شود انجام شده است.
کرود استرایک (CrowdStrike) : تقریبا تمامی شناسایی ها پس از اجرا از طریق شناسایی اکسپلویت یا ریورس شل صورت گرفته است.
ایست (ESET) : به جز یک مورد، اخطاری مشاهده نشد، اما اتصال و دسترسی پایدار به سرور C2 نیز میسر نمیباشد. بیشتر ایمیل های ضمیمه شده ی آلوده پیش از ذخیره شدن روی سیستم شناسایی میشوند.
فورتینت (Fortinet) : شناسایی ها در حالت (On) یعنی به محض وقوع آلودگی. تنظیمات فورتنیت در لایه های دفاعی آن به طور دقیق تفاوت بین اقدامات و اسکریپت های آلوده و غیر آلوده را در گزارش های خود ارائه نمیدهد.
کسپرسکی (Kaspersky) : تقریبا نیمی از حملات حتی قبل از اجرای تهدیدات متوقف شدند. همچنین به دلیل رفتار شناسی بالای برخی آلودگی  ها نیز برخی از آنان پس از اجرا روی سیستم شناسایی شدند.
اسپارک کاگنیشن (Spark Cognition) : برخی از موارد توسط هوش مصنوعی شناسایی شدند.
وایپر (Vipre) : بسیاری از شناسایی ها پیش از اجرای تهدیدات انجام شدند.
 
لازم به ذکر است که بسیاری از تست ها به صورت ادامه دارد در حال بهبود سازی و به روز رسانی موتور شناسایی خود و هوش مصنوعی خود هستند پس در نتیجه انتظار میرود که بسیاری از حملات شناسایی نشده تا به امروز به درستی شناسایی شده باشند.
 
لابراتوری مستقل بیت دیفندر در این زمان یک گواهی برتر در زمینه ی محافظت در برابر تهدیدات پیشرفته ارائه میدهد که به محصولات تایید شده در تست های خود تعلق میگیرد. این محصولات حداقل 8 حمله از 15 حمله را تشخیص و شناسایی کنند بدون آنکه فایل غیر آلوده ای را به اشتباه بلاک کنند. آنتی ویروس های امنیتی میبایست نیم بیشتری از آلودگی ها را حداقل شناسایی کنند تا به آنان گواهی مربوطه تعلق بگیرد.
 
برترین ویروس کش سال