OPSWAT Metascan este o tehnologie avansată de detectare și prevenire a amenințărilor care rulează simultan mai multe motoare anti-malware pentru a maximiza probabilitatea de detectare a programelor malware cunoscute. În timp ce un singur motor antivirus poate detecta 40%-80% din programele malware, Metascan permite specialiștilor în securitate cibernetică să scaneze fișiere cu peste 30 de motoare anti-malware de top de pe piață, la fața locului (sunt acceptate Windows și Linux) și în cloud (MetaDefender Cloud) pentru a obține rate de detecție mai mari de 99%(consultați raportul nostru). Soluția noastră nu numai că crește ratele de detectare, reduce timpul de detectare a focarelor, dar oferă, de asemenea, reziliență pentru soluțiile anti-malware ale unui singur furnizor. Metascan este unul dintre modulele software esențiale din cadrul OPSWAT MetaDefender Core și este îmbunătățit continuu prin evaluarea și adăugarea celor mai eficienți furnizori de antivirus (AV) în lista noastră de furnizori de motoare. Suntem mereu în căutare de noi parteneri de securitate pe care să îi adăugăm la soluția noastră de scanare multiplă pentru a ne proteja mai bine clienții de infracțiunile informatice din ce în ce mai sofisticate. În acest blog, vom acoperi procesele de evaluare tehnică a AV-urilor înainte de a fi adăugate la Metascan.
Procesele de evaluare trec prin patru faze distincte: validarea cerințelor pachetului, verificarea componentelor de la terți, integrarea rapidă și testul de automatizare.
Prima fază a evaluării este validarea cerințelor pachetului SDK (kit de dezvoltare software). Pe baza experienței noastre de integrare cu peste 30 de motoare anti-malware de top, am ajuns la un set standard și simplu de cerințe:
- Pentru a facilita integrarea, pachetul SDK trebuie să fie în interfață C sau C++. În mod normal, un proces de scanare cu CLI (Command Line Interface) are trei etape: inițializare (inclusiv încărcarea întregii baze de date), scanare și dezinitializare. Întregul proces are loc pentru fiecare fișier scanat, ceea ce încetinește procesul de scanare. În timp ce cu integrarea C++, sistemul trebuie inițializat o singură dată și așteaptă fișierele primite pentru a le scana. Trebuie să dezinitializăm sistemul doar atunci când oprim întregul serviciu al produsului.
- Motorul calificat ar trebui să aibă fișiere separate pentru modulele motorului și fișiere de definiție pentru a facilita livrarea sub forma unui pachet mic și nu ar trebui să fie actualizat în mod neintenționat.
- În plus, deservim multe industrii de infrastructuri critice cu un mediu aerian, astfel încât motoarele furnizate trebuie să suporte actualizarea offline a fișierelor de definiție.
- Pentru a oferi clienților noștri o soluție avansată de prevenire a amenințărilor, avem nevoie de alte câteva cerințe pentru AV-urile adăugate, cum ar fi siguranța firelor de execuție, un randament ridicat și un SDK independent, fără proces de instalare.
Dacă toate cerințele pachetului sunt îndeplinite, trecem la a doua fază a evaluării, care constă în examinarea conformității pachetului. Acesta este scanat cu un instrument terț pentru a detecta toate vulnerabilitățile sau problemele legate de licență. Dacă sunt găsite probleme, notificăm furnizorul AV să le rezolve înainte de a continua procesul de evaluare.
Cea de-a treia fază a cerinței este o verificare a integrării pentru a vedea dacă motorul poate fi integrat fără probleme și dacă funcționează fără probleme. Pe baza exemplului de cod sau a ghidului de integrare, începem funcțiile foarte de bază, cum ar fi inițializarea și scanarea. Apoi se efectuează un test rapid pentru a ne asigura că integrarea este corectă prin scanarea fișierului de test antivirus EICAR și a fișierului curat. Pentru controlul securității datelor, utilizăm un program de monitorizare a rețelei în timpul testului pentru a ne asigura că motorul nu trimite date către serverul lor de origine.
În plus, am dezvoltat un cadru de testare cuprinzător pentru a măsura parametrii de performanță, inclusiv randamentul, scurgerile de memorie, consumul de procesor și siguranța firelor. După cum se arată în figura de mai jos, am efectuat un test cu 2 scenarii: scanare cu un singur fir și scanare cu mai multe fire (20 de fire în acest test). Pe baza măsurătorilor de performanță, putem identifica erorile sau problemele existente făcute de AV în timpul procesului de scanare.
Utilizăm mii de fișiere de probă, inclusiv fișiere cunoscute ca fiind atât rău intenționate, cât și benigne, pe care le scanăm cu ajutorul motorului în curs de evaluare pentru a măsura rata de detecție (atât pentru fals-pozitive, cât și pentru fals-negative). Cadrul monitorizează, de asemenea, amprenta AV-ului pentru a descoperi potențiale scurgeri de memorie sau un consum de CPU mai mare decât cel dorit. De exemplu, în demonstrația de test de mai sus, utilizarea memoriei a crescut în patru inspecții diferite, ceea ce dezvăluie o posibilă scurgere de memorie. De asemenea, rezultatul testelor a dezvăluit randamentul motorului, precum și orice eșecuri în timpul procesului de scanare, care au fost înregistrate pentru investigații suplimentare.
Ulterior, am executat un test de stres, care a fost rulat timp de o zi cu un set de date mult mai mare, pentru a investiga în continuare performanța și stabilitatea AV. Am construit un mediu de testare a integrării într-un container docker. În cazul în care se constată probleme în timpul acestei faze, împărtășim problemele identificate cu furnizorul AV împreună cu containerul de testare pentru a menține medii de testare coerente.
După o evaluare atentă a integrării și a performanțelor AV, implementăm integrarea oficială cu Metascan dacă trece toate testele noastre riguroase, confirmăm acordul de parteneriat și anunțăm clienților noștri adăugarea unui nou motor anti-malware.
Procesul nostru meticulos de evaluare AV are rolul de a ne asigura că oferim clienților noștri un produs de securitate impecabil, dinamic și eficient. De asemenea, acesta stabilește o colaborare strânsă și de succes între OPSWAT și partenerii noștri tehnologici pentru a proteja împreună clienții noștri împotriva atacurilor cibernetice din ce în ce mai avansate. Suntem în mod constant în căutare de noi furnizori AV care să se alăture soluției noastre multiscanning. Pentru un posibil parteneriat cu OPSWAT, vă rugăm să ne contactați acum. Suntem întotdeauna bucuroși să vă răspundem la orice întrebare.
