آنتیویروس تحت شبکه چه قابلیتهایی دارد؟
آنتیویروس تحت شبکه از طریق مانیتورینگ ترافیک شبکه، تحلیل پروتکلها و شناسایی الگوهای مشخص و شبیهسازیهای مختلف، سعی در شناسایی و از بین بردن تهدیدات مخرب مانند بدافزارها، ویروسها، کرمها و تروجانها دارد. این سیستمها میتوانند به صورت مستقل درون شبکه عمل کنند یا به عنوان بخشی از تجهیزات شبکه مانند فایروالها، سوئیچها یا سیستمهای تشخیص نفوذ (Intrusion Detection System) مورد استفاده قرار گیرند. همانگونه که اشاره کردیم، یک آنتیویروس تحت شبکه نسل بعدی، متشکل از مولفههای مختلفی است که به مقابله با تهدیدات بدافزاری میپردازند. اولین مورد تشخیص ویروسها است. با استفاده از الگوریتمها، الگوهای مشخص و روشهای تحلیلی، آنتیویروس تحت شبکه تلاش میکند تا ویروسها و بدافزارهای مخرب را شناسایی کند. زمانی که یک تهدید ویروسی شناسایی میشود، آنتیویروس تحت شبکه میتواند به صورت خودکار یا با هشدار به مدیر شبکه اقدام به مسدودسازی تهدید کند. این مسدودسازی میتواند شامل قطع ارتباط، قطع اتصال دستگاههای آلوده با شبکه و موارد این چنین باشد. در برخی از محصولات، آنتیویروس تحت شبکه ترافیک شبکه را مانیتور کند و به دنبال الگوهای ناهنجار و فعالیتهای خطرناک میگردد. به همین دلیل است که بسیاری از سازمانها به سراغ خرید این مدل از ضدویروسها میروند.
نکته مهمی که باید در ارتباط با آنتیویروس تحت شبکه به آن دقت کنید بهروزرسانی و مدیریت است. آنتیویروس تحت شبکه نیازمند بهروزرسانی مرتب است تا بتواند با آخرین الگوها و تهدیدات ویروسی مقابله کند. در بیشتر موارد این فرآیند به شکل خودکار انجام میشود و نیازی به انجام کار خاصی نیست، اما اگر فرآیند بهروزرسانی را غیرفعال کردهاید، توصیه میکنیم که آنرا خودکار کنید تا مشکلی برای زیرساخت به وجود نیاید. آنتیویروس تحت شبکه نقش مهمی در تسهیل امنیت زیرساخت دارد، زیرا در بخش مرکزی شبکه سازمانی قرار میگیرد و توانایی شناسایی و مسدودسازی تهدیدات در همان مرحله اولیه را دارد، قبل از آنکه تهدیدات به دستگاههای میزبان مثل سرورها برسد. راهکار فوق نقش مهمی در مقابله با تهدیدات نفوذی دارد و به کارشناسان شبکه و امنیت اجازه میدهد در کوتاهترین زمان موارد مشکوک امنیتی را شناسایی کنند.
آنتیویروس تحت شبکه چگونه کار میکند؟
آنتیویروس تحت شبکه برای تشخیص و مقابله با تهدیدات بدافزاری در سطح شبکه عمل میکند. روش کار آنتیویروس تحت شبکه ممکن است بسته به معماری سازمانی متفاوت باشد. با این حال، عملکرد کلی آنتیویروس تحت شبکه به صورت زیر است:
- مانیتورینگ ترافیک شبکه: آنتیویروس تحت شبکه وظیفه نظارت بر ترافیک شبکه را از طریق بررسی بستههای دادهای (پیامها، فایلها و غیره) بر عهده دارد. این ترافیک ممکن است از طریق سوئیچها، روترها، فایروالها و سایر تجهیزات شبکه عبور کند.
- تحلیل پروتکلهای شبکه: آنتیویروس تحت شبکه پروتکلها را تحلیل میکند تا الگوهای مشخص در ترافیک شبکه را شناسایی کند. این الگوها ممکن است شامل الگوهای رفتاری مشکوک، الگوهای رفتاری بدافزارها، الگوهای مربوط به عملکرد ویروسها و سایر تهدیدات باشد.
- بهکارگیری مکانیزم بازرسی هوشمند: آنتیویروسهای تحت شبکه از مکانیزم بازرسی هوشمند (Intelligent Inspection) استفاده میکنند. به بیان دقیقتر، از الگوریتمهای پیشرفته و هوشمحور برای تشخیص تهدیدات ویروسی و مخرب استفاده میکنند. این الگوریتمها بر مبنای الگوهای، فعالیتهای مشکوک، امضاهای دیجیتال و سایر شاخصها عمل کنند.
- شناسایی ویروسها و تهدیدات: با تحلیل ترافیک شبکه و استفاده از بازرسیهای هوشمند، آنتیویروس تحت شبکه تهدیدات را شناسایی میکند. این فرآیند شامل شناسایی فایلهای آلوده، ترافیک ناهنجار، الگوهای شناخته شده و موارد این چنینی است.
- مسدودسازی و پیشگیری: پس از شناسایی تهدیدات، آنتیویروس تحت شبکه میتواند به صورت خودکار تهدیدات را مسدود یا اقدامات پیشگیرانه انجام دهد. بهطور مثال، میتواند ارتباط با یک سرور مشکوک را قطع کند، فایلهای آلوده را به قرنطینه بگیرد یا به مدیر شبکه یا کاربران مربوطه اطلاع دهد.
- بهروزرسانی بانکهای اطلاعاتی: آنتیویروس تحت شبکه برای شناسایی ویروسها و تهدیدات جدید نیازمند بهروزرسانی مداوم است. برای این منظور، برخی آنتیویروسها بهشکل خودکار به بانکهای اطلاعاتی شناخته شده متصل میشوند تا جدیدترین جزییات فنی در ارتباط با تهدیدات را جمعآوری کنند. این بهروزرسانیها میتوانند به صورت خودکار انجام شوند یا به صورت دستی توسط مدیر شبکه اعمال شوند.
آنتیویروس خانگی و تحت شبکه چه تفاوتی با یکدیگر دارند؟
تفاوت اصلی آنتیویروس خانگی و تحت شبکه در نحوه نصب و محیطی است که روی آن عمل میکنند. از تفاوتهای این دو مدل به موارد زیر باید اشاره کرد:
آنتیویروس خانگی روی دستگاه شخصی مثل کامپیوترهای شخصی، لپتاپها و تجهیزات اندویدی نصب شده و روی دستگاه کاربر اجرا میشود. این نوع آنتیویروس در محیط خانگی و برای استفاده شخصی توسط کاربران عادی طراحی شده است. آنتیویروس خانگی عمدتا بر فایلها و برنامههای ذخیره شده در دستگاه را اسکل میکند و توسط کاربران دانلود و به طور مستقیم روی سیستم آنها نصب و فرآیند اسکن را انجام میدهد. برای اطمینان از کارکرد بهینه، آنتیویروس خانگی باید بهروزرسانیهای مداوم دریافت کند.
در نقطه مقابل آنتیویروس تحت شبکه فرآیند نصب مرکزی دارد. به بیان دقیقتر در سطح شبکه عمل میکند و بر روی سرورهای شبکه نصب میشود. این نوع آنتیویروس برای محیطهای سازمانی و شبکههای بزرگ طراحی شده است. آنتیویروس تحت شبکه ترافیک شبکه را مانیتور کرده تا بتواند تهدیدات ویروسی را شناسایی میکند. این فرآیند شامل تحلیل پروتکلها، شناسایی الگوهای مشکوک و اعمال فیلترهای شبکه است. آنتیویروسهای تحت شبکه در سرورهای مرکزی بهروزرسانی میشود، بنابراین امنیت شبکه به میزان قابل توجهی افزایش پیدا میکند. به طور کلی، آنتیویروس تحت شبکه برای محیطهای سازمانی و شبکههای بزرگ مناسب است، زیرا قادر به پوشش طیف گستردهتری از دستگاهها و ترافیک شبکه است. در مقابل، آنتیویروس خانگی برای استفاده شخصی و در محیط خانگی مناسب است و تمرکز بیشتری روی فایلهای محلی و کاربران خاص دارد.
آنتیویروس سازمانی
آنتیویروس سازمانی نوع دیگری از آنتیویروس است که برای استفاده در سازمانها و محیطهای کسب و کار طراحی شده است. این نوع آنتیویروس برای محافظت از شبکهها، سرویسها و دستگاههای سازمانی در برابر تهدیدات امنیتی مختلف مانند ویروسها، بدافزارها، تروجانها و انواع حملات دیگر استفاده میشود. آنتیویروس سازمانی یکسری ویژگیهای خاص دارد. اولین مورد پوشش گسترده است. آنتیویروس سازمانی را میتوان بر روی تمام دستگاهها و سرویسهای موجود در سازمان از جمله سرورها، رایانهها، لپتاپها، تلفنهای هوشمند و دستگاههای جانبی نصب کرد تا تهدیدات امنیتی در سراسر شبکه سازمانی به شکل دقیقتری تشخیص داده شوند.
مورد بعدی در ارتباط با مدیریت مرکزی است. آنتیویروس سازمانی اجازه میدهد از طریق یک مکانیزم مدیریت مرکزی تمامی نصبها، تنظیمات و بهروزرسانیها مدیریت شوند تا مدیران اطلاعاتی (IT) بتوانند تا بهروزرسانیها و سیاستهای امنیتی را به صورت مرکزی اعمال کنند. مورد بعد در ارتباط با شناسایی و برطرف کردن تهدیدات است. آنتیویروس سازمانی قابلیت شناسایی و مقابله با تهدیدات امنیتی را دارد که شامل تشخیص و حذف ویروسها، بدافزارها، تروجانها، کرمها و سایر بدافزارهای مشابه است.
آنتیویروس سازمانی قادر است به صورت فعال به مدیریت حملات امنیتی پرداخته و تلاش میکند مانع بروز حملات سایبری شود. در ارتباط با آنتیویروس سازمانی باید به این نکته اشاره داشتیم که این محصولات امنیتی باید بهروزرسانی مداوم دریافت کنند تا بتوانند با تهدیدات ویروسی جدید مقابله کند. این بهروزرسانیها شامل آپدیت بانک اطلاعات از ویروسها، امضاهای جدید و الگوریتمهای شناسایی است. نکته دیگری که باید در ارتباط با آنتیویروس سازمانی به آن دقت کنید قابلیت انطباق با نیازها و سیاستهای امنیتی سازمان است که شامل تنظیمات سفارشی، مدیریت قوانین و سیاستهای امنیتی و امکانات مربوط به تجزیه و تحلیل گزارشها است. همچنین، آنتیویروس سازمانی باید قابلیت تشخیص و مقابله با تهدیدات پیشرفته مانند حملات صفرروز، اسکریپتهای مخرب، فیشینگ و رمزنگاری مخرب را داشته باشد.
الگوریتمها و الگوهای تشخیصی استفاده شده در آنتیویروس تحت شبکه به چه صورتی عمل میکنند؟
الگوریتمها و الگوهای تشخیصی استفاده شده در آنتیویروس تحت شبکه برای تشخیص ویروسها و تهدیدات امنیتی متنوعی استفاده میشوند. برخی از آنها به شرح زیر هستند:
- الگوریتمهای بر پایه امضا (Signature-based Algorithms): در این روش، الگوریتمها بر اساس الگوهای خاصی که برای هر نوع ویروس یا بدافزار تعریف شده است، فایلها و ترافیک شبکه را اسکن میکنند. این الگوریتمها با استفاده از مقایسه امضاهای شناخته شده با امضاهای فایلها و ترافیک، تهدیدات را شناسایی میکنند. یکی از معایب این روش، نیاز به بهروزرسانی مداوم امضاها است.
- الگوریتمهای بر پایه رفتار (Behavior-based Algorithms): این الگوریتمها به جای بررسی الگوهای خاص، رفتار ویروسها و بدافزارها را تحلیل میکنند. آنها از تغییرات و رفتار غیرمعمول فایلها و فرآیندها برای تشخیص تهدیدات استفاده میکنند. این الگوریتمها میتوانند ویروسهای تازه و ناشناخته را نیز شناسایی کنند، اما ممکن است به شکل غیر دقیق نتایجی ارائه کنند.
- الگوریتمهای بر پایه هیوریستیک (Heuristic-based Algorithms): این الگوریتمها بر اساس الگوها، روشها و قوانین احتمالی تشخیص تهدیدات را انجام میدهند. آنها از قوانین و الگوهای آماری و احتمالی برای شناسایی الگوهای مشترک و رفتارهای مشکوک استفاده میکنند. این روش میتواند به تشخیص ویروسهای جدید کمک کند، اما ممکن است نتایج نادقیقی تولید کند و به عنوان خطای نادراستفادهکننده (False Positive) معروف باشد.
- الگوریتمهای بر پایه یادگیری ماشین (Machine Learning-based Algorithms): این الگوریتمها از الگوریتمهای یادگیری ماشین مانند شبکههای عصبی، درخت تصمیم و ماشین بردار پشتیبان استفاده میکنند تا الگوهای تهدیدات را شناسایی کنند. برای آموزش این الگوریتمها، از دادههای آموزشی که حاوی نمونههای مثبت (نمونههایی که حاوی تهدیدات هستند) و نمونههای کاذب (نمونههایی که بدون تهدید هستند) استفاده میشود. پس از آموزش، الگوریتمها قادر به تشخیص تهدیدات جدید و ناشناخته با استفاده از الگوهایی که در فرآیند آموزش یافتهاند، میباشند.
این الگوریتمها و الگوهای تشخیصی میتوانند به صورت جداگانه یا به صورت ترکیبی در یک آنتیویروس تحت شبکه استفاده شوند. همچنین، برخی از روشهای پیشرفته مانند یادگیری عمیق (Deep Learning) نیز ممکن است در آنتیویروس تحت شبکه به کار گرفته شوند.
آنتیویروس تحت شبکه چه ویژگیهایی باید داشته باشد؟
اولین مورد تشخیص ویروسها و بدافزارها است. آنتیویروس تحت شبکه باید قابلیت شناسایی و تشخیص ویروسها، بدافزارها و تهدیدات امنیتی دیگر را داشته باشد. این فرآیند شامل استفاده از الگوریتمها و الگوهای تشخیصی برای تحلیل ترافیک شبکه و تشخیص نشانههای مشخصه تهدیدات است. مورد بعد سرعت عمل است. یک آنتیویروس تحت شبکه باید بر روی ترافیک شبکه به صورت لحظهای و به سرعت عمل کند، زیرا ترافیک شبکه ممکن است بسیار پیچیده باشد و نیاز به تشخیص سریع تهدیدات امنیتی دارد.
- اسکن درونزمینه (Background Scanning): آنتیویروس تحت شبکه باید بتواند ترافیک شبکه را به صورت مداوم و در پس زمینه اسکن کند، بدون ایجاد تاخیر قابل توجه در عملکرد شبکه. این ویژگی امکان تشخیص و رفع تهدیدات بدون نیاز به دخالت کاربر را فراهم میکند.
بهترین آنتیویروسهای تحت شبکه
هنگام انتخاب یک آنتیویروس تحت شبکه، باید به عوامل زیادی توجه کنید از جمله قابلیتها، کارایی، قابلیت هماهنگی با زیرساخت شبکه و قابلیت ارائه پشتیبانی مناسب. بر همین اساس در ادامه به معرفی چند مورد از آنتیویروسهای تحت شبکه معتبر میپردازیم.
- Cisco Advanced Malware Protection (AMP) for Networks: این آنتیویروس تحت شبکه توسط شرکت سیسکو ارائه میشود و قابلیت شناسایی و حذف تهدیدات امنیتی را دارد. از قابلیتهای آن میتوان به شناسایی و حذف بدافزارها، رمزنگاری ترافیک، و تحلیل رفتار فایلها اشاره کرد.
- Symantec Endpoint Protection: توسط شرکت سیمانتک ارائه میشود و قابلیتهای متنوعی را برای تشخیص و جلوگیری از تهدیدات امنیتی فراهم میکند. از قابلیتهای آن میتوان به شناسایی و حذف بدافزارها، پیشگیری از حملات فیشینگ و مدیریت مرکزی اشاره کرد.
- McAfee Network Security Platform: همانند نمونههای یادد شده قابلیتهایی مانند شناسایی حملات شناخته شده و ناشناخته، جلوگیری از حملات جستجوی فراگیر و تحلیل رفتار شبکه را فراهم میکند.
- Fortinet FortiGate: یک راهکار یکپارچه امنیتی است که شامل آنتیویروس تحت شبکه نیز میشود. این راهکار امکاناتی مانند شناسایی و مسدودسازی تهدیدات امنیتی، بررسی ترافیک شبکه و بررسی پروتکلهای شبکه را فراهم میکند.
- Trend Micro Deep Security: مجموعهای از ابزارهای امنیتی را در اختیار شما قرار میدهد که شامل شناسایی تهدیدات امنیتی، محافظت از سرورها و ماشینهای مجازی و کنترل دسترسی به برنامهها و سرویسها است.