برخی از تحلیلگران اعلام کرده‌اند که شناسایی و نابود کردن ویروس‌ها، اسب‌های تروا، نرم‌افزارهای جاسوسی و سایر کدهای مضر توسط برنامه‌های ضدویروس متداول که در آن‌ها ارزیابی کدها با یک امضای دیجیتالی انجام می‌شود، کارایی لازم را ندارد. این تحلیلگران بر این باورند که شیوه شناسایی مبتنی بر امضای دیجیتالی، قابلیت مقابله با موج ویروس‌های گوناگونی که توسط خلافکاران منتشر می‌شود را ندارند و عرضه‌کنندگان برنامه‌های ضدویروس مغلوب این خلافکاران شده‌اند. آن‌ها معتقدند: زمان اتخاذ رویکردهای جدیدی همچون whitelisting یا behavior-bloking برای حفاظت از دسکتاپ و سرورها فرا رسیده است.

تحلیلگران معتقدند که سیستم مبتنی بر نشانه‌گذاری ضدویروس‌های قدیمی توانایی حفاظت از گنجینه اطلاعاتی شرکت‌ها را ندارند و پاسخ این مشکل را در فناوری مسدودکننده whitelisting می‌دانند.Robin Bloor، یکی از اعضای کانون مشاوره Hurwitz & Associates، معتقد است: «اکنون در ابتدای پایان دوران ضدویروس‌ها هستیم.» او یک سال قبل، جنبشی را با شعار «ضدویروس مرده است» آغاز کرده و اکنون بیش از پیش به این شعار ایمان دارد.

وی می‌گوید: «من همچنان به فعالیت خود ادامه می‌دهم. رویکردی که فروشندگان برنامه‌های ضدویروس اتخاذ کرده‌اند، کاملاً اشتباه است.» خلافکاران به قصد تهاجم به کامپیوتر آن دسته از کاربران که برنامه‌های ضدویروس را نصب کرده‌اند، به طور مداوم ویروس‌های گوناگونی را منتشر می‌کنند. آن‌ها از نحوه کار برنامه‌های ضدویروس و نحوه ایجاد گونه‌های مختلف ویروس‌ها کاملاً آگاهی دارند.

Bloor می‌گوید: «مشکل اصلی ویروس‌ها نیستند، بلکه برنامه‌هایی هستند که روی کامپیوترها اجرا می‌شوند.»
او معتقد است که کاربران به جای استفاده از برنامه‌های ضدویروس باید روی یک نرم‌افزار مسدودکننده whitelisting سرمایه‌گذاری کنند تا فرآیند اجرای ویروس‌ها را متوقف کند؛ چراکه این نرم‌افزارها تنها امکان اجرای برنامه‌های مجاز را فراهم می‌کنند.

نرم‌افزارهای whitelisting تاکنون توسط شرکت‌های SecureWave ،Bit9،Savant ،AppSense و CA به بازار عرضه شده‌اند. به نظر Bloor، این شرکت‌ها اولین فروشندگان برنامه‌های ضدویروس هستند که متوجه واقعیت شده‌اند.

افراد دیگری نیز در حال پیوستن به Bloor هستند. Andrew Jaquith، یکی از تحلیلگران امنیتی مؤسسه Yankee Group، در ماه دسامبر یک سند تحقیقاتی را با عنوان «برنامه‌های ضدویروس مرده‌اند: زنده باد نرم‌افزارهای ضد بدافزار» منتشر کرد. تحقیقات مؤسسه Yankee Group گویای این است که یک «انفجار گونه‌ای» در روند روبه رشد تنوع بدافزارها رخ داده ‌است. به طوری که تنوع ویروس‌ها در سال ۲۰۰۷ با ده برابر افزایش نسبت به سال ۲۰۰۲ به ۲۲۰هزار نوع رسیده است.

فروشندگان برنامه‌های ضدویروس توان مقابله با این تعداد ویروس را ندارند. Jaquith می‌گوید: «برخی از مدیران لابراتوارهای توسعه برنامه‌های ضدویروس، به طور خصوصی نارضایتی خود را از افزایش گونه‌های ویروس‌ها اعلام کرده‌اند؛ چراکه مقابله با این تنوعِ گونه‌ای، مستلزم تغییر امضای دیجیتالی برنامه ضدویروس در هر ده دقیقه است و به همین نسبت موجب افزایش تعداد حملات ممانعتی بر ضد آن‌ها می‌شود.»

Jaquith می‌گوید: «عملکرد اغلب لابراتوارهای تولیدکننده برنامه‌های ضدویروس به همین صورت است؛ تعداد نمونه‌های دریافتی روزانه این لابراتوارها بیش از تعداد مواردی است که در یک روز قادر به اداره آن هستند. این ویروس‌ها بر اساس قابلیت آن‌ها در آسیب‌رسانی، طبقه‌بندی می‌شوند. نویسندگان برنامه‌های ضد ویروس به مانند افرادی هستند که قصد دارند با یک تور ماهیگیری، ماهی بزرگی را صید کنند. بنابراین اگر فرد خلافکاری هستید، چنانچه مایلید به یک ماهی کوچک تبدیل شوید و از سوراخ‌های تور عبور کنید.»

Jaquith می‌گوید: «مزیت امضای دیجیتالی برنامه‌های ضدویروس در این است که دقیقند و تعداد اشتباهات آن‌ها بسیار اندک است. اما هدف از نگارش مقاله “برنامه‌های ضدویروس مرده‌اند” معطوف کردن ذهن همگان به این نکته است که: برنامه‌های ضدویروس، از سیستم کاربران محافظت می‌کنند و این امر موجب حل مسئله برنامه‌های مضر خواهد شد.»

Jaquith می‌گوید: به فناوری‌های مسدودکننده‌ای که به همراه سیستم Primary Response محصول شرکت Sana Security و سامانه Prevx1 محصول شرکت Previx ارایه شده‌اند، علاقمند است.

نرم‌افزار‌هایی که مانع عملکرد ویروس‌ها می‌شوند موسوم به (behavior-blocker) با بررسی رفتار برنامه‌های در حال اجرا و مسدود کردن روند اجرای رفتارهایی که احتمال مضر بودن آن‌ها وجود دارد، عمل می‌کنند. Don Listwin، مدیرعامل شرکت Sana Security، می‌گوید: «برنامهPrimary Response، تعداد ۲۲۶ خصوصیت نرم‌افزارها را که احتمال مضر بودن آن‌ها وجود دارد، بررسی می‌نماید و از اجرای کد مربوطه جلوگیری می‌کند.»

وی می‌گوید: «ما این رفتارها را متهم می‌نماییم و از اجرای آن‌ها جلوگیری می‌کنیم.» با وجود این، Listwin اعتراف می‌کند که احتمال بروز اشتباه نیز وجود دارد. به علاوه، می‌افزاید که اسکن برنامه‌های ضدویروس یک «عملیات تکمیلی» برای برنامه مسدودکننده شرکت Sana Security است.

John Pescatore، یکی از تحلیلگران مؤسسهGartner ، می‌گوید: «هنوز هم وجود یک برنامه ضدویروس در کامپیوترهای دسکتاپ، هرچند به‌ عنوان ابزاری برای پاک کردن ویروس‌ها، ضروری است.» او می‌گوید مؤسسه متبوع وی به مشتریان خود توصیه می‌کند از برنامه‌های ضدویروسی استفاده کنند که دارای یک سیستم یکپارچه IPS یا intrusion-preversion system باشد. برای مثال، شرکت‌های مک‌آفی، سیمانتک و برخی دیگر، برای مسدودکردن اجرای برنامه‌های مضری که امضای دیجیتالی مربوط به آن‌ها وجود خارجی ندارد، سیستم IPS را به محصولات خود ضمیمه کرده‌اند.

زمان خداحافظی از برنامه‌های ضدویروس‌

اگر دوران استفاده از ضدویروس‌ها به سر آمده است، باید زمان خداحافظی از این برنامه‌ها را بدانیم. مقاله Jaquith گویای این است که «محصولات ضدویروس جایگاه متمایزی را در بودجه شرکت‌ها به‌ خود اختصاص داده‌اند و میزان استفاده از هیچ محصول امنیتی دیگری به این اندازه نیست. به‌ طوری که تقریباً صددرصد شرکت‌ها و مؤسسات از برنامه‌های ضدویروس استفاده می‌کنند.»

طبق اظهارنظر مؤسسه تحقیقاتی IDC، انتظار می‌رود بازار برنامه‌های ضدویروس درآمدی معادل ۱/۲ میلیارد دلار از مصرف‌کنندگان عادی و ۱/۳ میلیارد دلار از طرف شرکت‌ها و مؤسسات تجاری داشته باشد. همچنین انتظار می‌رود این مبالغ تا سال ۲۰۱۰ به ترتیب تا ۳ و ۵/۴ میلیارد دلار رشد کنند.
در حالی که فروشندگان برنامه‌های ضدویروس سنتی مایلند وعده‌هایی مبنی بر انجام بهبود در برنامه‌ها بدهند، با انتشار خبر پایان دوران برنامه‌های ضدویروس توسط تحلیلگران صنعتی، تا حدی از موضع خود عقب‌نشینی کردند.

John Maddison، مدیرکل خدمات امنیتی شبکه در شرکت Trend Micro، می‌گوید: «این نظریه تا حدی افراطی است.» وی در حال حاضر برنامه‌ای برای استفاده از فناوری Whitelisting یا behavior-blocking ندارد.

شرکت Trend Micro برای بررسی آدرس‌های IP و ایمیل به منظور تشخیص اعتبار مرجع کد ورودی، ابتکار جدیدی موسوم به خدمات اعتباری را در اختیار می‌گذارد. Maddison می‌گوید: «اگر از مردم بخواهید برنامه‌های ضدویروس را کنار بگذارند، تعداد اندکی این کار را انجام می‌دهند.»
بسیاری از مدیران امنیتی شرکت‌ها با این عقیده موافقند.

Doug Sweetman، کارمند ارشد فناوری در بخش امنیت اطلاعات شرکت‌ها از مؤسسه State Street، می‌گوید: «اجازه نمی‌دهم روند کنترل برنامه‌ها با استفاده از امضای دیجیتالی از بین برود.» وی اضافه می‌کند: «مؤسسه State Street از پنج فروشنده برنامه‌های ضدویروس گواهینامه دریافت کرده است؛ چراکه در زمان انجام مذاکرات، بازار رقابتی سودبخش بود.« وی ادامه می‌دهد: «این یک مزیت است.»

Sweetman می‌گوید: مؤسسه State Street به نوعی «قفل دسکتاپ» مجهز شده است که از اجرای برنامه‌های غیرمجاز روی کامپیوتر کارمندان جلوگیری می‌کند.

Kathy Larkin، مدیر امنیت اطلاعات در مؤسسه Prudential Financial، نیز هیچ دلیل قاطعی را برای اثبات پایان دوران برنامه‌های ضدویروس به دست نیاورده است. او می‌گوید: «فکر می‌کنم برنامه‌های ضدویروس ارزشمندند و مدت زیادی مورد استفاده قرار خواهند گرفت.»

برخی از فروشندگان برنامه‌های ضدویروس در پاسخ به این سؤال که مدت زمان مورد نیاز برای کشف امضای دیجیتالی یک ویروس چقدر است، می‌گویند: تعیین این زمان بسیار دشوار است.

Brian Foster، سرپرست ارشد بخش مدیریت محصول در شرکت سیمانتک، می‌گوید: «کشف امضای دیجیتالی بین دو تا چهار ساعت طول می‌کشد.» وی اضافه می‌کند، تعیین زمان مورد نیاز برای انجام هیچ کاری را نمی‌توان پیش‌بینی کرد. انواع کدهای مضرِ ردیابی شده توسط شرکت سیمانتک بسیار متنوع است. Foster در این مورد می‌گوید: «وقتی کسی یک قسمت از کد را تغییر می‌دهد، نوع ویروس نیز تغییر می‌کند.»

با این‌که نرم‌افزار شرکت سیمانتک با استفاده از روش‌های کاوشی قادر است انواع مختلفی از ویروس‌ها را شناسایی و متوقف کند، برای پاک کردن انواع خاص کد از روی کامپیوتر، یک امضای دیجیتالی مورد نیاز است.

Foster می‌گوید: «شرکت سیمانتک با ادغام فناوری‌های جدید مانند IPS با محصولات خود، در حال کسب آمادگی لازم برای مقابله با ویروس‌ها است.» وی معتقد است در آینده محصولات ضدویروس کاربردهای بیشتری از یک برنامه ساده نابودکننده ویروس خواهند داشت.

Jaquith در صورت لزوم، آمادگی پشتیبانی از فروشندگان نرم‌افزارهای ضدویروس را دارد. وی در مقاله خود شرکت‌های مک‌آفی و سیمانتک را به آن دسته از فروشندگان سنتی معرفی می‌کند که در حال ضمیمه امضای دیجیتالی و سایر فناوری‌های مسدودکننده به نرم‌افزارهای ضدویروس هستند.

جایگزینی ضدویروس‌ها

درحالی که اغلب مدیران شبکه برای جایگزینی ضدویروس‌های سنتی با برنامه‌های جدیدی که از فناوری‌هایی چون White listing و behavior-blocking بهره‌ می‌گیرند، تمایلی از خود نشان نمی‌دهند، تعداد اندکی از مدیران عملاً این برنامه‌ها را مورد استفاده قرار می‌دهند.

Brent Rickels، معاون ارشد بانک First National Bank of Bosque County، واقع در منطقه Valley Mills در تگزاس می‌گوید: «علت مسئله این طرز تفکر است که هنوز به برنامه‌های ضدویروس نیاز داریم و این برنامه‌ها یکی از ضروریات هستند. با این‌که این برنامه‌ها سالیان دراز مورد استفاده قرار گرفته‌اند، در دنیای کنونی که به سرعت در حال تغییر و تحول است، دیگر کارایی لازم را ندارند.»

این بانک که دارای شش‌هزار حساب پس‌انداز از انواع مختلف است، هنوز هم برای مقابله با ویروس‌ها از فیلترهای مبتنی بر gateway بهره‌ می‌گیرد و به‌ منظور کاهش خطر دریافت نرم‌افزاهای مضر توسط کارمندان، وبگردی آن‌ها را محدود کرده است.

با وجود این، بانک مذکور برنامه ضدویروس سنتی خود را کنار گذاشته است و برنامه Sanctuary از شرکت Secure Wave را که به گفته Rickels هزینه کمتری دارد، جایگزین آن کرده است.

Reckels می‌گوید: «این برنامه فهرستی از فایل‌های “Dynamic Link Library” مجاز تهیه می‌نماید و اگر نام فایلی در فهرست نباشد، از اجرای آن جلوگیری می‌کند.» تنها نقطه‌ضعفی که وی در مدت یک سال با آن مواجه شده، زمانگیر بودن تنظیمات نرم‌افزار Senctuary برای تشخیص برنامه‌های کاربردی بانک و کدهای به‌روزنگاری شرکت مایکروسافت است.

با این حال Rickels معتقد است جایگزینی برنامه‌های ضدویروس کار درستی بوده است. وی می‌گوید: «ما از میان حفره‌های برنامه عبور می‌کنیم، اما می‌توانیم آن‌ها را در مقابل ویروس‌های ناشناخته مسدود کنیم. به‌‌کارگیری ضدویروس‌های مبتنی بر امضای دیجیتالی مشابه سپری هستند که دارای سوراخ است.

منبع: shabakemag.com

هیچ مطلبی مرتبط با این مطلب درحال حاضر وجود ندارد.