روش‌های مناسب برای تحلیل بدافزار

امروزه واقعیت پیش روی صنعت امنیت سایبری این است که به‌محض این‌که محافظان شبکه راه‌حل جدیدی برای پیدا کردن بدافزارها توسعه می‌دهند، حریفان سایبری هم به‌سرعت راهی برای دور زدن آن پیدا می‌کنند. با رشد هرروزه‌ی مهاجمان سایبری، زمان بین استقرار یک روش محافظتی و پیدا کردن راهی برای دور زدن آن توسط یک عامل بد کوتاه‌تر هم شده است.

 

خوشبختانه، صنعت امنیت سایبری روش‌های مختلفی را برای تجزیه‌وتحلیل بدافزار توسعه داده است که هرکدام مجموعه نقاط قوت و ضعف خود را دارند. این به این معنی است که درحالی‌که استفاده از فقط یک روش تجزیه‌وتحلیل بدافزار می‌تواند یک شبکه را در معرض خطر قرار دهد، اجرای روش‌های تجزیه‌وتحلیل‌ متعدد با ترتیب درست، می‌تواند با احتمال بالاتری از نفوذ بدافزارها به شبکه جلوگیری کند. حتی برای نمونه‌هایی از بدافزارها که قبلاً شناسایی نشده باشند هم این موضوع صدق می‌کند.

 

در این گزارش می‌خواهیم به بررسی انواع تحلیل بدافزار که امروزه در دسترس هستند بپردازیم و ببینیم که چگونه زمانی که این روش‌ها به‌صورت متوالی اجرا می‌شوند، گروه امنیتی را قادر می‌سازند که اکثریت ‌قریب‌به‌اتفاق تهدیدها را به‌طور خودکار مدیریت کنند. این موضوع باعث می‌شود منابع گروه آزاد شود و گروه امنیتی بتواند تهدیدات پیشرفته‌تر را جستجو کند.

 

همه‌ این روش‌های تجزیه‌وتحلیل بدافزار بر روی یک جریان اطلاعاتی از داده‌های تهدید، برای آموزش الگوریتم‌ها و مدل‌ها عمل می‌کنند بنابراین عملکردشان با دسترسی به داده‌های باکیفیت بالا بهبود می‌یابد.  با یک ورودی ثابت و مداوم از اطلاعات در مورد مسیرهای جدید تهدید، خانواده بدافزارها و پویش‌های حملات، دستگاه‌ها و گروه‌های امنیتی تصمیم‌های آگاهانه‌تری در مورد دفاع از شبکه خود می‌گیرند.

 

بدون دسترسی به یک توده از اطلاعاتِ تهدید، امنیت سایبری بیش‌تر مانند یک بازی حدس و گمان و تفکر است که بالاخره در یکجا محکوم‌ به شکست می‌شود و درواقع مدلی اجرایی نیست که هرکسی با اطمینان بتواند آن را پیشنهاد دهد.

 

تحلیل ایستا

در یک محیط تحلیل بدافزار، تجزیه‌وتحلیل ایستا، خط اول دفاع است که شامل شکستن یک پرونده‌ی ناشناخته به مولفه‌هایی برای بررسی آن و بدون خراب شدن پرونده است. از طریق تجزیه‌وتحلیل ایستا، سامانه می‌تواند تعیین کند که آیا پرونده دارای نشانگر بالقوه و یا الگوهایی که نشان دهد یک بدافزار وجود دارد، هست یا خیر. (به‌عنوان‌مثال، اسکریپت‌های اجرایی تعبیه‌شده و یا اتصال به یک کارگزار ناشناخته و یا مشکوک). تجزیه‌وتحلیل ایستا یک‌راه فوق‌العاده سریع و دقیق برای تشخیص بدافزارهای شناخته‌شده و انواع دیگر است که بخش عمده‌ای از حملاتی که معمولاً در سازمان‌ها دیده‌شده را تشکیل می‌دهد.

 

تحلیل با استفاده از یادگیری ماشین

برخی از سامانه‌ها تجزیه‌وتحلیل ایستا را در سطح بعدی با اضافه کردن پشتیبانی برای یادگیری ماشین به کار می‌گیرند. «یادگیری ماشین» شامل ایجاد و خودکارسازی یک سامانه برای طبقه‌بندی رفتارهای مخرب به گروه‌های متفاوت است. این گروه‌ها می‌توانند برای شناسایی محتوای مخرب در آینده بدون نیاز به ساخت الگوی دستی مورداستفاده قرار گیرند.

 

اگر شباهت‌های بین محتوای مشکوک به‌اندازه کافی زیاد باشد سامانه به‌طور خودکار یک امضاء بدافزار ایجاد می‌کند و در سراسر شبکه آن را به بخش‌های اقدام علیه آن می‌فرستد. هرچه نمونه بدافزارهای بیشتری مورد بررسی قرار گیرد و فهرست شود، توانایی سامانه برای تشخیص حملات در طول زمان رشد می‌کند. در جهان امروز حملات سایبری که در آن حتی دشمنان غیرماهر می‌توانند پویش‌های حمله ایجاد کنند، تجزیه‌وتحلیل با استفاده از یادگیری ماشین یکی از بهترین روش‌های رسیدگی گروه‌های امنیتی به هزاران هشدار تهدیدی است که شبکه‌ها روزانه دریافت می‌کنند.

 

تحلیل‌های پویا

اگر یک پرونده مشکوک نتواند از طریق تجزیه‌وتحلیل ایستا مدیریت شود، باید جزئیات بیشتری از آن همراه با رفتار میزبان و شبکه مورد بررسی قرار گیرد. آنچه عموماً به‌عنوان «تحلیل پویا» شناخته می‌شود معمولاً شامل ارسال یک نمونه مشکوک به یک محیط مبتنی بر ماشین مجازی و سپس فعال کردن آن در یک محیط کاملاً کنترل‌شده (بانام مستعار جعبه شنی) است که رفتار آن مشاهده می‌شود و از آن اطلاعاتی استخراج می‌شود. در موارد پیشرفته، بدافزارهای آگاه از ماشین مجازی، ممکن است تجزیه‌وتحلیل عمیق‌تری لازم باشد. تجزیه‌وتحلیل پویا به‌خصوص در پیدا کردن بهره‌برداری‌های روز-صفرم در بدافزارها مناسب است. 

 

ازآنجا که تجزیه‌وتحلیل ایستا و یادگیری ماشین هر دو نیاز به درجه‌ای از آشنایی قبلی با بدافزار دارند، برای آن‌ها شناسایی فعالیت‌های مخرب کاملاً جدید دشوار است. چالش تجزیه‌وتحلیل پویا مقیاس‌پذیری آن است که نیاز به محاسبات عظیم، ذخیره‌سازی و خودکارسازی دارد. گفته می‌شود اگر هر دو تجزیه‌وتحلیل ایستا و یادگیری ماشین انجام‌شده باشد آن‌ها به‌ احتمال ‌زیاد  بخش عمده‌ای از بدافزارها را شناسایی کرده‌اند. تجزیه‌وتحلیل پویا تنها زمانی که به‌عنوان بخشی از یک سامانه‌ی خودکار مبتنی بر ابر استفاده شود، به‌طور مؤثر بارِ مقیاس و تلاش دستی را حذف می‌کند.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید