14.1.1. Known vs Unknown Threats

Dastlabki dizaynida antivirus dasturi o‘z ishini va qarorlarini signatures’ga asoslaydi. Signature’ning maqsadi ma'lum bir malware’ni noyob tarzda aniqlashdir. Signature’lar tur va xususiyatlar jihatidan farq qilishi mumkin, ular juda umumiy file hash summary’dan tortib, aniqroq binary sequence match’gacha bo‘lishi mumkin. Keyingi bo‘limda ko‘rib chiqamizki, AV turli engines’lardan iborat bo‘lib, ular ishlayotgan tizimning muayyan komponentlarini aniqlash va tahlil qilish uchun javobgardir.

Har bir AV engine uchun ko‘pincha signature language aniqlanadi va shunday qilib, signature malware’ning turli jihatlarini ifodalashi mumkin, bu AV engine’ga bog‘liq. Masalan, bir xil turdagi malware’ga qarshi ikkita signature ishlab chiqilishi mumkin: biri diskdagi malware faylini nishonga olish uchun, ikkinchisi esa uning network communication’ni aniqlash uchun. Bu ikki signature’ning semantikasi ular ikki xil AV engine uchun mo‘ljallanganligi sababli keskin farq qilishi mumkin. 2014-yilda YARA nomli signature language ochiq manba sifatida taqdim etildi, bu tadqiqotchilarga VirusTotal platformasida so‘rovlar yuborish yoki o‘zlarining malware signature’larini AV mahsulotlariga integratsiya qilish imkonini berdi. VirusTotal – bu malware qidiruv tizimi bo‘lib, foydalanuvchilarga ma'lum malware’ni qidirish yoki yangi namunalarni yuklash va ularni bir qator AV mahsulotlari bilan skanerlash imkonini beradi.

Signature’lar known threats asosida yozilganligi sababli, AV mahsulotlari dastlab faqat tekshirilgan va hujjatlashtirilgan malware’ni aniqlay va ularga reaksiya qila olardi. Biroq, zamonaviy AV yechimlari, jumladan Windows Defender, tizimda noma'lum fayl aniqlanganda so‘rov yuboriladigan Machine Learning (ML) engine bilan birga keladi. Bu ML engine’lar unknown threats’ni aniqlay oladi. ML engine’lar cloud’da ishlashi sababli, ular faol internet aloqasini talab qiladi, bu ko‘pincha ichki korporativ serverlarda imkonsizdir. Bundan tashqari, AV’ni tashkil etuvchi ko‘plab engine’lar tizimning qolgan qismidan juda ko‘p hisoblash resurslarini olishi mumkin emas, chunki bu tizimning foydalanish qulayligiga ta'sir qilishi mumkin.

Ushbu AV cheklovlarini bartaraf etish uchun so‘nggi yillarda Endpoint Detection and Response (EDR) yechimlari rivojlandi. EDR dasturi xavfsizlik voqealari telemetriyasini yaratish va uni Security Information and Event Management (SIEM) tizimiga yo‘naltirish uchun javobgardir, bu tizim kompaniyaning har bir host’idan ma'lumotlarni yig‘adi. Bu voqealar SIEM tomonidan ko‘rsatiladi, shunda xavfsizlik tahlilchilari jamoasi tashkilotga ta'sir qilayotgan o‘tgan yoki davom etayotgan har qanday hujum haqida to‘liq tasavvurga ega bo‘ladi.

Ba'zi EDR yechimlari AV komponentlarini o‘z ichiga olgan bo‘lsa-da, AV va EDR bir-birini istisno qilmaydi, chunki ular bir-birini yaxshilangan ko‘rinish va aniqlash bilan to‘ldiradi. Oxir-oqibat, ularni joylashtirish tashkilotning ichki tarmoq dizayni va joriy xavfsizlik holatiga qarab baholanishi kerak.

1(Wikipedia, 2022), https://en.wikipedia.org/wiki/YARA [↩︎]

2(VirusTotal, 2019), https://www.virustotal.com/#/home/upload [↩︎]

3(Microsoft, 2022), https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-windows?view=o365-worldwide [↩︎]

4(Microsoft, 2022), https://www.microsoft.com/security/blog/2017/08/03/windows-defender-atp-machine-learning-detecting-new-and-unusual-breach-activity/ [↩︎]

5(Wikipedia, 2022), https://en.wikipedia.org/wiki/Endpoint_detection_and_response [↩︎]

6(Wikipedia, 2022), https://en.wikipedia.org/wiki/Security_information_and_event_management [↩︎]