پایگاه دانش آلما / سیمانتک بررسی المان های الگوریتم محتوایی سیمانتک Symantec

بررسی المان های الگوریتم محتوایی سیمانتک Symantec

بررسی المان های الگوریتم محتوایی سیمانتک Symantec

پروکسی: اند پوینت ها  ضروری یک پروکسی وب، شکلی از نقطه پایان، یک سرویس قرنطینه برای ترافیک وب فراهم می‌کند. 100٪ از ترافیک بین کاربران و سایت‌های HTTP/HTTPS را بررسی می‌کند و همه URL‌ها را دسته‌بندی می‌کند تا سایت‌ها یا صفحات مخرب شناسایی و مسدود شوند، در حالی که URLهای خوب طبق سیاست‌ها در دسترس باقی می‌مانند. از آنجایی که پروکسی نقطه پایان را فراهم می کند، می تواند از این مزیت برای ارسال فایل های مشکوک به سایر ابزارهای امنیتی مانند تجزیه و تحلیل محتوا برای بازرسی بیشتر استفاده کند.

استقرار امنیت شبکه غیر پروکسی و سایر فناوری‌ها مانند فایروال‌های نسل بعدی (NGFWS، از جمله استقرار پورت TAP یا SPAN)، به طور موثر ترافیک را خاتمه نمی‌دهند. با دستگاه های پورت TAP یا SPAN، Gateway در کنار شبکه قرار می گیرد و به جای رهگیری و پایان دادن به آن، ترافیک را در حین عبور مشاهده می کند.

NGFWها از روش‌های تشخیص مبتنی بر جریان داده استفاده می‌کنند و ترافیک را هنگام عبور از سیم بررسی می‌کنند. این استقرارها یک نقص خاص دارند. بدافزار یا سایر تهدیدها می توانند به شبکه داخلی نفوذ کنند.

gateway یا NGFW تهدید را به موقع تشخیص نمی دهد یا بسته بازنشانی TCP را به موقع ارسال نمی کند تا جریان ترافیک را مختل کند. همچنین، به دلیل ماهیت اسکن مبتنی بر جریان داده، بدافزارها می توانند با استفاده از بسته های تکه تکه شده در یک دوره زمانی تحویل داده شوند و شناسایی نشده باقی بمانند. یک پروکسی در ذات خود منتظر می ماند تا یک شیء کامل مونتاژ و اسکن شود قبل از اینکه اجازه تحویل آن را بدهد.

در محیط وب سریع، جایی که هکرها اغلب تاکتیک‌های خود را تغییر می‌دهند، یک استراتژی دفاعی عمیق برای استقرار Symantec ProxySG همراه با NGFW برای ارائه حفاظت بهینه ضروری است. ProxySG برای مقاومت در برابر تکنیک های فرار طراحی شده است، و آن را به یک مکمل کامل برای NGFW تبدیل می کند. فناوری وب پروکسی پیشرو آن محتوای وب مخرب را شناسایی و مسدود می کند، و معماری باز آن امکان ادغام با بهترین محصولات را برای یک وضعیت امنیتی پیشرفته فراهم می کند. برای اطلاعات بیشتر در مورد اینکه چگونه یک پروکسی می تواند مکمل NGFW باشد، 10 مزیت برتر استقرار پروکسی را در ارتباط با فایروال نسل بعدی بخوانید.Symantec ProxySG، راه حل پروکسی پیشرو در صنعت، در 12 سال گذشته توسط گارتنر به عنوان یک رهبر معرفی شده است و یک قطعه کلیدی در معماری امنیت شبکه یک سازمان است.

 ProxySG از ترافیک وب محافظت می کند، شهرت URL، رمزگشایی SSL، طبقه بندی و کنترل خط مشی، و مسدود کردن بلادرنگ را فراهم می کند. پس از مرحله 1، هر چیزی که فوراً از طریق Proxy مسدود نشده باشد برای بازرسی و بررسی به قسمت تجزیه و تحلیل محتوا منتقل می شود.

CA: خوشنامی خدمات Hash و اعتبار فایل پس از اینکه ProxySG تمام ترافیک مبتنی بر وب را تجزیه و تحلیل و دسته بندی کرد، هش فایل های ناشناخته از پروکسی ارسال می شود و سپس برای تعیین صلاحیت شناخته شده تجزیه و تحلیل می شود. آنها با پایگاه داده ای با بیش از پنج میلیارد رکورد که روزانه به روز می شود مقایسه می شوند. با استفاده از لیست‌های سفید و لیست‌های سیاه و استفاده از فایل‌های بسیاری از فروشندگان، از جمله شبکه جهانی اطلاعات ما، تجزیه و تحلیل محتوا، برنامه‌ها و شناسایی فایل‌ها را در زمان واقعی real time انجام می‌دهد. این فایل ها از 1 تا 10 امتیاز «اعتماد» دریافت خواهند کرد.

 

تجزیه و تحلیل محتوا فایل‌های «قابل قبول» شناخته شده را به کاربران منتقل می‌کند و آن‌هایی را که به‌عنوان «بد شناخته‌شده» شناسایی شده‌اند مسدود می‌کند. این فیلتر تعداد فایل‌هایی را که به مراحل پایین‌دستی بازرسی ضد بدافزار و sandboxing منتقل می‌شوند، کاهش می‌دهد.

برای جلوگیری از اسکن و تجزیه و تحلیل غیرضروری روی فایل‌هایی با شهرت مشخص، می‌توانید فهرستی از هش‌های SHA1 را به تجزیه و تحلیل محتوا اضافه کنید. در طول پردازش فایل، تجزیه و تحلیل محتوا قبل از دسترسی به سرویس شهرت فایل مبتنی بر ابر، این لیست ها را بررسی می‌کند. پیکربندی دستی لیست سفید/لیست سیاه منجر به یک "مجاز" یا "انکار" سریع بدون نیاز به تجزیه و تحلیل بیشتر می شود. اگر هش در هر یک از لیست ها وجود داشته باشد، فایل بدون پردازش بیشتر مجاز یا رد می شود.

 

تجزیه و تحلیل فایل پیش بینی کننده: یادگیری ماشینی در مرحله تجزیه و تحلیل فایل پیش بینی کننده، محتوا تجزیه و تحلیل کد استاتیک و یادگیری ماشین پیشرفته را اجرا می کند تا مشخص کند که آیا هر چیزی در کد فایل به عنوان مخرب علامت گذاری شده است یا خیر. کد فایل را برای مقایسه با بیش از 5 میلیون نقطه داده از داده های نامناسب یا کد بد شناخته شده تجزیه و استخراج می کند. سیمانتک با ترکیب دانش عمیق تهدیدات و فایل‌ها با پیشرفته‌ترین یادگیری ماشینی می باشد.

یادگیری ماشین پیشرفته (AML) می‌تواند ویژگی‌های فایل‌ها را درک کند و یک امتیاز احتمالی برای تعیین ایمن یا مخرب بودن یک فایل ایجاد کند. این امتیاز احتمالی، تعیین می کند که تجزیه و تحلیل محتوا در مرحله بعد با فایل چه کاری انجام دهد.

فایل‌هایی که احتمال مخرب بودن آن‌ها زیاد است، کاملاً مسدود می‌شوند (محکوم می‌شوند).

فایل هایی که محکوم نشده اند برای تجزیه و تحلیل بیشتر به پشته امنیتی باقی مانده ارسال می شوند.

AML شامل کنترل های اضافی برای تعیین آستانه و تهاجمی است که در آن مسدود کردن فایل AML رخ می دهد. با حساسیت تشخیص بالا، AML در تعیین اینکه آیا یک فایل ممکن است یک تهدید باشد یا خیر، در خطر مسدود کردن فایل‌هایی که ممکن است واقعاً مخرب نباشند، تهاجمی خواهد بود. با حساسیت کمتر، AML فایل‌های کمتری را مسدود می‌کند، اما خطر شناسایی نشدن برخی تهدیدها را در پی دارد.

 

به جای استفاده از امضا برای مطابقت با الگوها، یادگیری ماشینی از روش های آماری اثبات شده، به خوبی آزمایش شده استفاده می کند. این به AML اجازه می دهد تا در مورد فایل ها به روشی یاد بگیرد که امضاها نمی توانند. با استفاده از این رویکرد می‌توان تهدیدهای جدید و ناشناخته قبلی را متوقف کرد. حتی زمانی که حمله تغییر می کند، از طریق مکانیسم های تکرار، مکانیسم های توزیع یا خود بار، AML برای متوقف کردن موثر تهدیدها کار می کند.

 

CA: ضد بدافزار/آنتی ویروس تجزیه و تحلیل محتوا می تواند ترکیبی از دو موتور سیمانتک، کسپرسکی، سوفوس یا مک آفی را به کار گیرد. امضاها برای شناسایی فایل های بد شناخته شده ارزیابی می شوند و فایل های بد مسدود می شوند. آزمایش داخلی سیمانتک افزایش 12 درصدی در قابلیت تشخیص را هنگام استفاده از دو موتور به جای یک موتور شناسایی کرده است. پایگاه داده امضا هر 5 دقیقه به روز می شود و اندازه فایل تا 5 گیگابایت را پشتیبانی می کند.

استفاده از چندین موتور AV بیش از مسدود کردن بیشتر بدافزارها و ویروس ها، مزایای دیگری نیز دارد. با موتورهای متعدد، این مزیت وجود دارد که به یک برنامه به روز رسانی وابسته نیستید یا به یک فناوری اسکن محدود نمی شوید. انتخاب موتورهای AVمی تواند بهترین راهبرد دفاعی ایده آل را داشته باشد. اگر از یک موتور ضد بدافزار/ضد ویروس برای اسکن نقاط پایانی استفاده کنید، استفاده از یک فروشنده متفاوت در سطح شبکه می تواند به طور تدریجی موثر باشد.

سندباکس: قابلیت Sandboxing پیشرفته Symantec نیز با تجزیه و تحلیل محتوا در دسترس است. سازمان‌ها به سادگی می‌توانند این قابلیت sandboxing را در همان دستگاه تجزیه و تحلیل محتوا یا به عنوان یک سرویس sandboxing میزبانی شده از Symantec مجوز دهند. سندباکس تجزیه و تحلیل محتوا دارای بسیاری از ویژگی های پیشرفته است که آن را در مقایسه با رقبا به گزینه ای جذاب تر برای sandboxing تبدیل می کند. این ویژگی‌ها به تجزیه و تحلیل سریع و اولویت‌بندی بدافزارهای پیشرفته و تهدیدات روز صفر برای اصلاح و بهبود مستمر امنیت کمک می‌کنند.

بازخوردها
    مطالب مرتبط