OPSWAT Metascan, bilinen kötü amaçlı yazılımları yakalama olasılığını en üst düzeye çıkarmak için aynı anda birden fazla kötü amaçlı yazılımdan koruma motoru çalıştıran gelişmiş bir tehdit algılama ve önleme teknolojisidir. Tek bir antivirüs motoru kötü amaçlı yazılımların %40-%80'ini tespit edebilirken, Metascan siber güvenlik uzmanlarının 30'dan fazla pazar lideri kötü amaçlı yazılımdan koruma motoruyla şirket içinde (Windows ve Linux desteklenir) ve bulutta (MetaDefender Cloud) %99'dan daha yüksek tespit oranlarına ulaşmak için(Raporumuza bakın). Çözümümüz yalnızca tespit oranlarını artırmakla, salgın tespit sürelerini azaltmakla kalmaz, aynı zamanda tek tedarikçili kötü amaçlı yazılımdan koruma çözümleri için esneklik sağlar. Metascan, aşağıdaki kritik yazılım modüllerinden biridir OPSWAT MetaDefender Core ve en etkili antivirüs (AV) sağlayıcılarını değerlendirerek ve motor tedarikçi listemize ekleyerek sürekli olarak geliştirilmektedir. Müşterilerimizi her geçen gün daha da karmaşıklaşan siber suçlardan daha iyi korumak için çoklu tarama çözümümüze ekleyebileceğimiz yeni güvenlik ortakları arayışındayız. Bu blogda, Metascan'a eklenmeden önce AV'ler için teknik değerlendirme süreçlerini ele alacağız.
Değerlendirme süreçleri dört farklı aşamadan geçer: paket gereksinim doğrulaması, üçüncü taraf bileşen kontrolü, hızlı entegrasyon ve otomasyon testi.
Değerlendirmenin ilk aşaması SDK (yazılım geliştirme kiti) paketi gereksinim doğrulamasıdır. Önde gelen 30'dan fazla kötü amaçlı yazılımdan koruma motoruyla entegrasyon deneyimimize dayanarak, standart ve basit bir dizi gereksinim belirledik:
- Entegrasyonu kolaylaştırmak için SDK paketinin C veya C++ arayüzünde olması gerekir. Normalde, CLI (Komut Satırı Arayüzü) ile bir tarama işleminin üç adımı vardır: başlatma (tüm veritabanının yüklenmesi dahil), tarama ve deinitializasyon. Tüm bu süreç taranan her dosya için gerçekleşir ve bu da tarama sürecini yavaşlatır. Oysa C++ entegrasyonu ile sistemin sadece bir kez başlatılması ve gelen dosyaların taranmasını beklemesi gerekir. Sadece tüm ürün hizmetini durdururken sistemi deinitialize etmek zorundayız.
- Nitelikli motor, küçük bir paket olarak teslimatı kolaylaştırmak için ayrı motor modülü dosyalarına ve tanım dosyalarına sahip olmalı ve istenmeden güncellenmemelidir.
- Ayrıca, hava boşluklu ortamlara sahip birçok kritik altyapı endüstrisine hizmet veriyoruz, bu nedenle sağlanan motorlar tanım dosyalarının çevrimdışı güncellenmesini desteklemelidir.
- Müşterilerimize gelişmiş bir tehdit önleme çözümü sunmak için, eklenen AV'ler için iş parçacığı güvenli, yüksek verim ve yükleme işlemi olmayan bağımsız bir SDK gibi diğer bazı gereksinimleri zorunlu kılıyoruz.
Tüm paket gereksinimleri karşılanıyorsa, paketin uygunluğunu inceleyen ikinci değerlendirme aşamasına geçiyoruz. Tüm güvenlik açıklarını veya lisans sorunlarını tespit etmek için üçüncü taraf bir araçla taranır. Herhangi bir sorun bulunursa, değerlendirme sürecine devam etmeden önce bunu çözmesi için AV tedarikçisini bilgilendiririz.
Gereksinimin üçüncü aşaması, motorun sorunsuz bir şekilde entegre edilip edilemeyeceğini ve sorunsuz çalışıp çalışmadığını görmek için bir entegrasyon kontrolüdür. Örnek koda veya entegrasyon kılavuzuna dayanarak, başlatma ve tarama gibi çok temel işlevlere başlarız. Ardından, EICAR anti-virüs test dosyası ve temiz dosya taranarak entegrasyonun doğru olduğundan emin olmak için hızlı bir test yapılır. Veri güvenliği kontrolü için, motorun ana sunucusuna herhangi bir veri göndermediğinden emin olmak için test sırasında bir ağ izleme programı kullanıyoruz.
Ayrıca, verim, bellek sızıntısı, CPU tüketimi ve iş parçacığı güvenliği dahil olmak üzere performans ölçümlerini ölçmek için kapsamlı bir test çerçevesi geliştirdik. Aşağıdaki şekilde gösterildiği gibi, 2 senaryolu bir test gerçekleştirdik: tek iş parçacıklı tarama ve çok iş parçacıklı tarama (bu testte 20 iş parçacığı). Performans ölçümüne dayanarak, tarama işlemi sırasında AV tarafından yapılan mevcut hataları veya sorunları belirleyebiliriz.
Hem bilinen kötü amaçlı hem de iyi huylu dosyaları içeren binlerce örnek dosya kullanıyoruz ve algılama oranını ölçmek için (hem yanlış pozitifler hem de yanlış negatifler için) değerlendirme altındaki motor tarafından taranmalarını sağlıyoruz. Çerçeve ayrıca potansiyel bellek sızıntılarını veya istenenden daha yüksek CPU tüketimini keşfetmek için AV'nin ayak izini de izler. Örneğin, yukarıdaki test demosunda, bellek kullanımı dört farklı incelemede artmış ve bu da olası bir bellek sızıntısını ortaya çıkarmıştır. Benzer şekilde, test sonucu motor veriminin yanı sıra tarama işlemi sırasında daha fazla araştırma için günlüğe kaydedilen herhangi bir arızayı ortaya çıkardı.
Daha sonra, AV'nin performansını ve kararlılığını daha fazla araştırmak için çok daha büyük bir veri kümesiyle bir gün boyunca çalıştırılan bir stres testi gerçekleştirdik. Bir docker konteynerinde bir entegrasyon test ortamı oluşturduk. Bu aşamada herhangi bir sorun tespit edilirse, tutarlı test ortamları sağlamak için tespit edilen sorunları test konteyneriyle birlikte AV tedarikçisiyle paylaşıyoruz.
AV'nin entegrasyonunu ve performansını dikkatlice değerlendirdikten sonra, tüm titiz testlerimizi geçerse Metascan ile resmi entegrasyonu kuruyor, ortaklık anlaşmasını onaylıyor ve müşterilerimize yeni bir kötü amaçlı yazılımdan koruma motorunun eklendiğini duyuruyoruz.
Titiz AV değerlendirme sürecimiz, müşterilerimize kusursuz, dinamik ve verimli bir güvenlik ürünü sunulmasını sağlamak içindir. Aynı zamanda OPSWAT ile teknoloji ortaklarımız arasında, müşterilerimizi giderek daha gelişmiş siber saldırılara karşı birlikte korumak için sıkı ve başarılı bir işbirliği kurar. Çoklu tarama çözümümüze katılmaları için sürekli olarak yeni AV tedarikçileri aramaktayız. OPSWAT ile olası bir ortaklık için lütfen şimdi bizimle iletişime geçin. Sorularınızı yanıtlamaktan her zaman mutluluk duyarız.
