OPSWAT Metascan egy fejlett fenyegetés-felismerő és -megelőző technológia, amely több rosszindulatú szoftver elleni programot futtat egyidejűleg, hogy maximalizálja az ismert rosszindulatú programok felderítésének valószínűségét. Míg egyetlen vírusirtó motor a rosszindulatú programok 40-80%-át képes felismerni, a Metascan lehetővé teszi a kiberbiztonsági szakemberek számára, hogy a fájlokat több mint 30 piacvezető rosszindulatú programok elleni motorral vizsgálják helyben (Windows és Linux támogatott) és a felhőben (MetaDefender Cloud), hogy 99%-nál nagyobb felismerési arányt érjenek el(lásd jelentésünket). Megoldásunk nem csak a felderítési arányt növeli, a kitörések felderítési idejét csökkenti, hanem az egyszemélyes gyártók rosszindulatú programok elleni megoldásainak rugalmasságát is biztosítja. A Metascan az egyik kritikus szoftvermodul a következő rendszerben OPSWAT MetaDefender Core és folyamatosan fejlesztjük a leghatékonyabb vírusirtó (AV) szolgáltatók értékelésével és hozzáadásával a motor szállítóinak listájához. Mindig új biztonsági partnerek után kutatunk, akiket hozzáadhatunk a többszörös szkennelési megoldásunkhoz, hogy jobban megvédjük ügyfeleinket az egyre kifinomultabb kiberbűnözéstől. Ebben a blogban az AV-k technikai értékelési folyamataival foglalkozunk, mielőtt felvennénk őket a Metascanbe.
Az értékelési folyamatok négy különböző fázison mennek keresztül: a csomagkövetelmények validálása, a harmadik féltől származó komponensek ellenőrzése, a gyors integráció és az automatizálási teszt.
Az értékelés első fázisa az SDK (szoftverfejlesztési csomag) csomag követelményeinek validálása. A több mint 30 vezető kártevőirtó motorral való integráció során szerzett tapasztalataink alapján egy szabványos és egyszerű követelményrendszert állítottunk össze:
- Az integráció megkönnyítése érdekében az SDK csomagnak C vagy C++ interfészűnek kell lennie. Általában a CLI-vel (parancssoros interfész) végzett szkennelési folyamat három lépésből áll: inicializálás (beleértve a teljes adatbázis betöltését), szkennelés és inicializálás megszüntetése. Az egész folyamat minden egyes beolvasott fájl esetében végbemegy, ami lelassítja a beolvasási folyamatot. Míg a C++ integrációval a rendszert csak egyszer kell inicializálni, és várni kell a beérkező fájlok beolvasására. A rendszert csak a teljes termékszolgáltatás leállításakor kell deinicializálnunk.
- A minősített motornak külön motormodulfájlokkal és definíciós fájlokkal kell rendelkeznie, hogy megkönnyítse a kis csomagként történő szállítást, és nem frissülhet véletlenül.
- Ezenkívül számos air-gapped környezettel rendelkező kritikus infrastruktúra iparágat szolgálunk ki, így a biztosított motoroknak támogatniuk kell a definíciós fájlok offline frissítését.
- Ahhoz, hogy fejlett fenyegetésmegelőzési megoldást nyújthassunk ügyfeleinknek, számos egyéb követelményt is támasztunk a hozzáadott AV-kkal szemben, mint például a szálbiztosság, a nagy áteresztőképesség és a telepítési folyamat nélküli önálló SDK.
Ha a csomag minden követelménye teljesül, akkor az értékelés második szakaszába lépünk, amely a csomag jogszabályi megfelelőségének vizsgálatát jelenti. A csomagot egy harmadik féltől származó eszközzel vizsgáljuk át, hogy minden sebezhetőséget vagy licencproblémát felderítsünk. Ha bármilyen problémát találunk, értesítjük az AV-szállítót, hogy oldja meg azt, mielőtt folytatnánk az értékelési folyamatot.
A követelmény harmadik fázisa az integrációs ellenőrzés, amely azt vizsgálja, hogy a motor zökkenőmentesen integrálható-e és zökkenőmentesen működik-e. A mintakód vagy az integrációs útmutató alapján olyan nagyon alapvető funkciókat kezdünk el, mint az inicializálás és a beolvasás. Ezután egy gyors tesztet végzünk, hogy megbizonyosodjunk az integráció helyességéről az EICAR antivírus tesztfájl és a tiszta fájl beolvasásával. Az adatbiztonsági ellenőrzéshez a teszt során egy hálózatfigyelő programot használunk, hogy a motor ne küldjön adatokat az otthoni szerverére.
Ezen túlmenően átfogó tesztelési keretrendszert fejlesztettünk ki a teljesítmény mérésére, beleértve az átviteli sebességet, a memóriaszivárgást, a CPU-fogyasztást és a szálbiztonságot. Amint az alábbi ábrán látható, 2 forgatókönyvvel végeztünk tesztet: egyszálas és többszálas szkennelés (20 szál ebben a tesztben). A teljesítménymérés alapján azonosítani tudjuk az AV által a szkennelési folyamat során elkövetett meglévő hibákat vagy problémákat.
Több ezer mintafájlt használunk, köztük ismert rosszindulatú és jóindulatú fájlokat is, amelyeket az értékelés alatt álló motor átvizsgál, hogy felmérjük a felismerési arányt (mind a hamis pozitív, mind a hamis negatív eredmények tekintetében). A keretrendszer figyeli az AV lábnyomát is, hogy felfedezze az esetleges memóriaszivárgásokat vagy a kívántnál nagyobb CPU-fogyasztást. A fenti tesztdemóban például a memóriahasználat négy különböző ellenőrzés során megnövekedett, ami egy lehetséges memóriaszivárgásra utal. Hasonlóképpen, a tesztelési eredmény feltárta a motor teljesítményét, valamint a szkennelési folyamat során fellépő hibákat, amelyeket további vizsgálat céljából naplózott.
Ezt követően stressztesztet végeztünk, amelyet egy napon keresztül futtattunk egy sokkal nagyobb adathalmazzal, hogy tovább vizsgáljuk az AV teljesítményét és stabilitását. Integrációs tesztkörnyezetet építettünk egy docker konténerben. Ha ebben a fázisban bármilyen problémát találunk, a tesztkonténerrel együtt megosztjuk az azonosított problémákat az AV gyártójával, hogy konzisztens tesztkörnyezeteket tartsunk fenn.
Az AV integrációjának és teljesítményének alapos értékelése után, ha az átmegy minden szigorú tesztelésünkön, a Metascan hivatalos integrációját bevezetjük, megerősítjük a partnerségi megállapodást, és bejelentjük ügyfeleinknek az új kártevőirtó motor hozzáadását.
Aprólékos AV-értékelési folyamatunk célja, hogy ügyfeleink számára kifogástalan, dinamikus és hatékony biztonsági terméket biztosítsunk. Emellett szoros és sikeres együttműködést hoz létre az OPSWAT és technológiai partnereink között, hogy együtt védjük meg ügyfeleinket az egyre fejlettebb kibertámadásokkal szemben. Folyamatosan vadászunk új AV-szállítókra, akik csatlakozhatnak a többszörös letapogató megoldásunkhoz. az OPSWAT címen elérhető lehetséges partnerségért kérjük, vegye fel velünk a kapcsolatot most. Bármilyen kérdésre szívesen válaszolunk.
