بسیاری از ما از آنتیویروسها برای مقابله با بدافزارها استفاده میکنیم. با ما همراه باشید تا ببینیم که چرا آنتیویروسها به اندازهای که باید، قابل اطمینان نیستند.
محققان فناوری، روزانه با بیش از ۳۵۰ هزار بدافزار جدید روبهرو میشوند؛ بدافزارهایی که برای آسیب به رایانهها یا سرقت اطلاعات شخصی طراحی شدهاند. کاربران و کسبوکارها گمان میکنند که آنتیویروسها، به اندازه کافی مقابل تهدیدات مقاوم هستند اما اینطور نیست.
واقعیت این است که روشهای امروزی مقابله با بدافزارها به طور ناامیدانهای ناکارآمد بوده و شرکتهای آنتیویروس این حقیقت را سر به مهر نگه میدارند. خوشبختانه تهدیدی که به علت افزایش بدافزارهای پیچیده پدید آمدهاست، قابل برطرفشدن است. اما برای فائق آمدن بر آن، شرکتهای آنتیویروس باید بر روی فناوریهایی کار کنند که کاربران را واقعاً امن نگه میدارند.
بر کسی پوشیده نیست که خطرات ناشی از بدافزارها، به شکل برقآسایی در حال تشدید است. حتی در شرکتهای صاحب نامی نظیر یاهو (Yahoo)، اوبر (Uber) و اکویفکس (Equifax) نیز رخنههای امنیتی به موضوعی شایع بدل شدهاست.
با این حال شرکتهای آنتیویروس همچنان با اعتماد به نفس به تبلیغ محصولات گرانقیمتشان میپردازند. این شرکتها از شعارهایی مانند «حفاظت کامل»، «جلوگیری از تهدیدات» و حتی «شناسایی بالای ۹۹% بدافزارها» استفاده میکنند.
این ادعاها فقط ناشی از اعتماد به نفس کاذب این شرکتها نبوده بلکه نشان از فریبکاری این شرکتها دارد.
۹۹ درصد به اندازه ظاهرش خوب نیست. تصور کنید که آنتیویروس شما واقعا ۹۹ درصد خطرات را شناسایی میکند. اگرچه ۹۹ درصد عدد چشمگیری است اما یک درصد خطای آنتیویروس به معنای آسیبپذیری مقابل بیش از ۱.۳ میلیون ویروس خطرناک در سال است که هرکدام از این ویروسها، به تنهایی قادر به نابودی یک کسبوکار و افشای میلیونها هویت است.
علاوه بر این، ادعاهای مرتبط با نرخ شناسایی بالای آنتیویروسها، حتی در صورت معتبر بودن، نرخ واقعی شناسایی بدافزارها را نمایش نمیدهند. چیزی که این ارقام نشان میدهند در واقع نرخ شناسایی بدافزارهایی است که قبلا توسط سرویس VirusTotal گوگل (سرویسی متکی بر مردم که موتورهای آنتیویروس بیش از ۷۰ شرکت را جمعآوری کرده است) شناسایی شدهاند.
یک درصد خطای آنتیویروس به معنای آسیبپذیری مقابل بیش از ۱.۳ میلیون ویروس خطرناک در سال است
شرکتهای آنتیویروس با عضویت در VirusTotal، تجهیزات نرمافزاری خود را جهت اسکن فایلهای کاربران به این سرویس قرض میدهند. اما بسیاری از اعضا با اتکا بر شناسایی بدافزار این سرویس اقدام به برطرف کردن نقاط ضعف محصولات خود کرده و از این سرویس سوءاستفاده میکنند.
این کار هیچ فرقی با استفاده از جستجوی گوگل برای پیدا کردن پاسخ سؤالهای سخت و سپس کسب درآمد از این پاسخها ندارد.
فاجعه بزرگتر آن است که این شرکتها از اعتراف به مشکلات و نقصهای روش فعلی خود، سر باز میزنند. امروزه، بیشتر نرمافزارهای آنتیویروس، از روشی دو مرحلهای استفاده کرده که با شناسایی شروع شده و به خنثیسازی (ابتدا جداسازی و سپس حذف) ختم میشود.
شناسایی - خنثیسازی یک استراتژی شکستخورده است. اسکن در آنتیویروسها تنها قابلیت شناسایی ویروسهای شناخته شده را دارد و لازم است اشاره شود که بیش از ۳۵۰ هزار بدافزار ناشناخته وجود دارد. حتی جدیدترین ابزارهای هوش مصنوعی نیز از شناسایی بسیاری از ویروسها عاجز بوده و علاوه بر آن نتایج اسکن این ابزارها مملو از موارد مثبت کاذب است.
هکرها در مقابل آنتیویروسها، دست بالاتر را دارند
به زبان سادهتر، هکرها در مقابل آنتیویروسها، دست بالاتر را دارند و این برتری درحال تقویت شدن است.
شرکتهای فعلی آنتیویروس متوجه ناکارآمدی روش فعلی خود هستند اما ترجیح میدهند که به جای اعتراف به عدم توانایی در حفظ امنیت مشتریان، پشت آمار شناسایی ۹۹ درصدی خود قایم شوند.
با این حساب یک کارآفرین برای محافظت از کسبوکار خود چه کارهایی میتواند انجام دهد؟ سه مورد را در اینجا مشاهده میکنید:
بدون برنامه پیش نروید. یک خط مشی امنیتی داشته باشید تا شما را هدایت کند. شما میتوانید در زمینه نرمافزار، سرویسها و پرسنل، سرمایهگذاری امنیتی کرده و از آن سود ببرید.
گسترهی حضور فایلهای حیاتی شرکت خود را بدانید - بر روی LAN، وب و یا در کلود (Cloud).
از خود بپرسید که به شناسایی بدافزارها بیشتر اهمیت میدهید یا امنیت واقعی.
راههای گوناگونی برای حفاظت از محیط کاری وجود دارد. منظور صرفاً فایروال ، تنظیمات روتر و بررسی ترافیک شبکه نیست. بیشتر نفوذها از نوع حملات جستجوی فراگیر (brute-force) نیستند بلکه از درون سازمان میآیند. کلاه سیاهها تلاش میکنند تا بدافزار را از طریق ایمیلهای فیشینگ یا دانلودهای آلوده وارد شبکه شما کنند.
برای مقابله با این روش از «Default-Deny» و «Auto-Containment» استفاده کنید تا به حداکثر امنیت دست پیدا کنید.
Auto-Containment (مهار خودکار) به کاربران اجازه میدهد تا فایلها و اسکریپتهای ناشناس را درون یک محیط شبیهسازی شده اجرا کنند. این روش به طور چشمگیری ریسک آسیبپذیری را کاهش میدهد. در این روش، حتی اگر فایل مخرب قصد تغییر منابع حیاتی سیستم را داشته باشد، نهایتا توان ایجاد تغییر در سیستمی فرضی را دارد. همچنین کاربران میتوانند در حین پروسهی ارزیابی که مبتنی بر سیستمهای ابری، هوش مصنوعی و آنالیزگرهای انسانی صورت میگیرد، به کارهای عادی خود برسند.
Default-Deny (رد کردن به صورت پیشفرض)، تکنیک امنیتی دیگری است که از سیستم مقابل تهدیدات حفاظت میکند. این تکنیک مدت مدیدی مورد علاقه خبرگان فناوری بوده است زیرا به هیچ فایلهای ناشناسی اجازه بازشدن یا اجرا شدن نمیدهد. سابقاً این روش مانع از کارایی لازم سیستم میشد اما امروزه با ترکیب این روش با Auto-Containment، کار کاربر مختل نشده و سیستم نیز امن میماند.
چه زمانی شرکتهای آنتیویروس، بالاخره به اشتباه خود اعتراف کرده و روش جدیدی را در دستور کار خود قرار میدهند؟
کاربران تأمین امنیت سیستم خود را معمولاً برعهدهی آنتیویروسها میگذارند. اما این نرمافزارها با استراتژیهای شناسایی محور و شکست خوردهی خود، به طور واضحی عرصه را از دست دادهاند.
باید منتظر بمانیم و ببینیم که چه زمانی شرکتهای آنتیویروس، بالاخره به اشتباه خود اعتراف کرده و روش جدیدی را در دستور کار خود قرار میدهند.