ضدبدافزارها به تنهایی مؤثر نیستند: پس چرا هنوز از آن استفاده می‌کنید؟

از زمانی که شرکت‌ها به راهکارهای ضدبدافزاری جهت شناسایی، جلوگیری و مقابله با کدهای مخرب رو آورده‌اند سال‌ها می‌گذرد. اما امروز دیگر ضدبدافزارها به تنهایی قابلیت جلوگیری از سیل بدافزارهای متنوع و پیچیده مانند کی‌لاگر‌ها1 ، درهای ‌پشتی2 ، روت‌کیت‌ها3 ، تروجان‌ها ، کرم‌ها ، و نرم‌افزارهای جاسوسی را ندارند.

نیل مک‌دونالد، نایب رئیس و تحلیل‌گر برجسته‌ی شرکت مشاوره و تحقیقات فناوری اطلاعات Gartner در مصاحبه‌ای با وب‌گاه Networkworld درباره‌ی کم‌اهمیت شدن ضدبدافزارها می‌گوید:

«واضح است که اثربخشی راهکارهای ضدبدافزاری مبتنی بر امضاء (Signature) به سرعت روندی نزولی را طی می‌کند. زمانی که به شرکتِ هدف یک حمله‌ی جدی و پیشرفته انجام می‌شود، ضدبدافزار هیچ توانی برای مقابله با این تهدید ندارند. همچنین، معمولاً کاربران رایانه‌های شخصی مجوز کاربری مدیر را دارند، و زمانی که مورد هدف حمله‌ای قرار گیرند، کافیست با یک فریب، تروجانی را اجرا کنند تا کنترل کل رایانه به دست مهاجم بیفتد و ضدبدافزارهای سنتی هم نتوانند کاری کنند.» 

 پس چرا شرکت‌ها هنوز از آن استفاده می‌کنند؟

دلایل متعددی وجود دارند که باعث می شوند شرکت‌ها همچنان به ضدبدافزارها به عنوان راهکار امنیتی اصلی تکیه داشته باشند. اصلی‌ترین علت استفاده از ضدبدافزارها اجبارها و ملاحظات قانونی است.

آدریان سنابریا،‌ تحلیل‌گر ارشد امنیت شرکت‌ها در 451 Research می‌گوید: «"ضدبدافزار" هنوز بخش اصلی تمهیدات امنیت سایبری  شرکت‌ها را می‌سازند.»

او اضافه می‌کند: «کسب‌وکارهای قاعده محور چاره‌ای جز قبول مقررات سنتی ندارند. در مقابل، کسب‌وکارهای کوچک‌تر هم از این قاعده مستثنی نیستند و اگر استفاده از ضدبدافزار را در دستور کار قرار ندهند، این اقدام از سوی دیگران بی‌مسئولیتی تلقی می‌شود و ممکن است جریمه‌ی قانونی هم برایشان در نظر گرفته شود. همچنین، در صورتی که رخنه‌ای به شبکه‌هایشان انجام شود، هنگام ادعای خسارت از شرکت بیمه کننده دچار مشکل می‌شوند.» پس فعلاً شرکت‌ها گزینه‌ای جز استفاده از ضدبدافزار ندارند.

دلیل دوم این است که ضدبدافزار، با وجود ضعف‌های بسیاری که در مقابل تهدیدات گسترده دارد، باز هم سطحی از امنیت را فراهم می‌کند و به قول معروف بهتر از هیچی است.

چارلز کولاجی یکی از مشاوران و تحلیل‌گران شرکت بین‌المللی اطلاعات4 (IDC) در این رابطه توضیح می‌دهد: «هنوز به ضدبدافزارها نیاز داریم، چون بدافزارهای بیشماری در اینترنت وجود دارند. بر اساس نتایج مطالعات شرکت مایکروسافت، رایانه‌هایی که ضدبدافزار بر آن‌ها نصب نشده چندین برابر بیشتر از رایانه‌های همراه با ضدبدافزار آلوده می‌شوند، حالا فرقی هم نمی‌کند از ضدبدافزار چه شرکتی استفاده می‌کنند.»

او در ادامه اضافه می‌کند: «اگر کاربری بدون استفاده از ضدبدافزار در اینترنت گشت‌وگذار کند، احتمال بسیار بالایی وجود دارد که در همان ساعات اولیه با بدافزار ساده‌ای آلوده شود، حال آن‌که ضدبدافزار حداقل می‌تواند جلوی این تهدیدات کوچک را بگیرد.»

به توصیه‌ی کولاجی «ضدبدافزارهای استاندارد مبتنی بر امضاء باید در کنار راهکارهای امنیتی جامع‌تر استفاده شوند.» 

این تحلیل‌گر امنیتی در مورد یکی دیگر از سناریو‌هایی که استفاده از ضدبدافزار می‌تواند مناسب و کافی باشد می‌گوید: «در نقاط پایانی‌ای که به دلایلی مثل اهداف دستگاه‌های متصل، نوع اتصال آن‌ها به شبکه و راهکارهای امنیتی اضافه موجود در آن‌ها با تهدید کمتری مواجه هستند، استفاده از ضدبدافزار می‌تواند نیازهای امنیتی را تا اندازه‌ی زیادی برطرف کند.»

مک‌دونالد هم با موافقت با این‌که ضدبدافزارها نقشی مثبت در امنیت رایانه‌ها دارند، معتقد است: «اگر ضدبدافزاری که دارید توانایی شناسایی و مقابله با حمله‌‌ی سایبری را دارد، در استفاده از آن شک نکنید. اما مسلّم است که همیشه این‌طور نیست. باید فرض را بر این بگذارید که حداقل چند درصدی احتمال دور زدن سازوکار سنتی مبتنی بر امضاء توسط مهاجم وجود دارد و به همین دلیل است که به حفاظت جامع‌تری نیاز دارید. برای مثال، حضور نرم‌افزاری برای نظارت بر رفتارهای مشکوکی که نشان‌دهنده‌ی رخنه هستند، اولین اقدام در جهت تکمیل اقدامات امنیتی علیه مهاجمان است.»

خدمات‌دهندگانِ ضدبدافزارهای سنتی چگونه خود را سازگار می‌کنند؟

یکی از سؤالات اساسی از توسعه‌دهندگان ضدبدافزارهای رایج این است که چه اجزایی را برای جامع‌تر کردن محصولات خود در نظر گرفته‌اند.

کولاجی در پاسخ به این سؤال می‌گوید: «گمان نمی‌کنم دیگر بحث فقط ضدبدافزار مطرح باشد. البته قبول دارم که ضدبدافزارهایِ صِرف      

همچنان به حیات خود ادامه خواهند داد، اما اکثریت کاربران به دنبال محصولی با قابلیت‌های بازدارندگی کامل‌تری هستند.»

امروزه، نرم‌افزارهای ضدبدافزار به سمت استفاده در رایانه‌های شخصی، شناسایی نفوذ به میزبان، دیوار آتش برای رایانه‌های رومیزی، کنترل نرم‌افزارها و نظارت بر آسیب‌پذیری‌ها حرکت می‌کنند.

اگرچه بخش اعظم بازار ضدبدافزارها به دست شرکت‌های تازه‌ تأسیس اداره می‌شود، شرکت‌های کهنه‌کارتر مانند سیمانتک، مک‌آفی، کسپرسکی، بیت‌دیفندر، سوفس، و ترند مایکرو هم دست به سینه ننشسته‌اند!

کولاگی درباره‌ی دشواری کار برای گنجاندن فناوری امنیتی پیشرفته در نقاط پایانی توضیح داد: «چالش اصلی توسعه‌دهندگان این است که باید راهکارها و تغییرات جدید را بر کد پایه‌ی نرم‌افزارهای کنونی خود اعمال کنند، به‌ گونه‌ای که هم مؤثر بوده و هم با کنسول‌های مدیریتی قبلی سازگاری داشته باشند.»

آیا راهکاری جایگزین وجود دارد؟

به اعتقاد سنابریا بازار ضدبدافزارها به سه دسته‌ی اصلی تقسیم می‌شود: سنتی، حفاظت از نقطه‌ی پایانی، و پاسخ به حمله. «دسته‌ی نرم‌افزارهای سنتی هیچ شانسی در مقابل "آدم بد‌ها" ندارند، اما "آدم بدها" این ضدبدافزارها را به خوبی می‌شناسند و مراقبند بدافزارشان در تیررس آن‌ها قرار نگیرند.»

دسته‌ی نرم‌افزارهای حفاظت از نقاط پایانی به مراتب در جلوگیری از نفوذ بدافزارها مؤثرتر عمل می‌کنند، اما «معمولاً در خنثی کردن آن‌ها موفق نیستند، به همین دلیل است که نمی‌توانند مدعی خوبی برای جایگزینی ضدبدافزارهای سنتی باشند.»

به همین ترتیب، محصولات متمرکز بر پاسخ به حمله هم توان بالایی در پیشگیری از وقوع حادثه ندارند، به همین دلیل معمولاً از ‌آن‌ها به عنوان یک مکمل در کنار دیگر دسته‌های ضدبدافزارها بهره برداری می‌شود.

«ما هنوز به طور قطع نمی‌دانیم بازار ضدبدافزارها چه رویکردی را برای پاسخ به نیاز کاربران پیش رو می‌گیرد، اما حدس می‌زنم ضدبدافزارها ویژگی‌های تشخیصی و پاسخ جدیدی را یا با توسعه‌ی داخلی خود نرم‌افزارها یا با ادغام محصولات دیگر شرکت‌ها به محصولات خود اضافه کنند. ما روزهای آخر ضدبدافزارها به معنای سنتی‌شان را شاهد هستیم، با این وجود، شرکت‌ها همچنان از همین فناوری قدیمی در کنار فناوری‌های جدید‌تر استفاده خواهند کرد.»

 

اخبار مرتبط:

 

  • 1. Key Logger
  • 2. Backdoor
  • 3. Rootkit
  • 4. International data corporation
0
هنوز هیچ ستاره‌ای موجود نیست.