OPSWAT Metascan é uma tecnologia avançada de deteção e prevenção de ameaças que executa vários mecanismos anti-malware em simultâneo para maximizar a probabilidade de apanhar malware conhecido. Enquanto um único motor antivírus pode detetar 40%-80% do malware, o Metascan permite aos especialistas em cibersegurança analisar ficheiros com mais de 30 motores anti-malware líderes de mercado no local (Windows e Linux são suportados) e na nuvem (MetaDefender Cloud) para atingir taxas de deteção superiores a 99%(Ver o nosso relatório). Nossa solução não só aumenta as taxas de deteção, diminui os tempos de deteção de surtos, mas também fornece resiliência para soluções anti-malware de um único fornecedor. O Metascan é um dos módulos críticos de software do OPSWAT MetaDefender Core e é continuamente melhorado, avaliando e adicionando os fornecedores de antivírus (AV) mais eficazes à nossa lista de fornecedores de motores. Estamos sempre à procura de novos parceiros de segurança para adicionar à nossa solução de análise múltipla, de modo a proteger melhor os nossos clientes de cibercrimes cada vez mais sofisticados. Neste blogue, abordaremos os processos de avaliação técnica dos AVs antes de serem adicionados à Metascan.
Os processos de avaliação passam por quatro fases distintas: validação dos requisitos do pacote, verificação de componentes de terceiros, integração rápida e teste de automatização.
A primeira fase da avaliação é a validação dos requisitos do pacote SDK (kit de desenvolvimento de software). Com base na nossa experiência de integração com mais de 30 dos principais motores anti-malware, criámos um conjunto de requisitos padrão e simples:
- Para facilitar a integração, o pacote SDK tem de estar numa interface C ou C++. Normalmente, um processo de digitalização com CLI (Command Line Interface) tem três passos: inicialização (incluindo o carregamento de toda a base de dados), digitalização e desinicialização. Todo este processo ocorre para cada ficheiro digitalizado, o que torna o processo de digitalização mais lento. Enquanto que com a integração C++, o sistema precisa de ser inicializado apenas uma vez e espera que os ficheiros de entrada sejam digitalizados. Só temos de desinicializar o sistema quando pararmos todo o serviço do produto.
- O motor qualificado deve ter ficheiros de módulos de motor e ficheiros de definição separados para facilitar a entrega como um pequeno pacote e não deve ser atualizado involuntariamente.
- Além disso, servimos muitas indústrias de infra-estruturas críticas com um ambiente de ar comprimido, pelo que os motores fornecidos devem suportar a atualização offline dos ficheiros de definição.
- Para fornecer uma solução avançada de prevenção de ameaças aos nossos clientes, necessitamos de vários outros requisitos para os AVs adicionados, tais como segurança de thread, alto rendimento e um SDK autónomo sem processo de instalação.
Se todos os requisitos do pacote forem cumpridos, passamos à segunda fase da avaliação, que consiste em examinar a conformidade do pacote. Este é analisado com uma ferramenta de terceiros para detetar todas as vulnerabilidades ou problemas de licença. Se for encontrado algum problema, notificamos o fornecedor de AV para o resolver antes de continuar o processo de avaliação.
A terceira fase do requisito é uma verificação da integração para ver se o motor pode ser integrado sem problemas e funciona corretamente. Com base no código de amostra ou no guia de integração, iniciamos funções muito básicas, como a inicialização e a verificação. Em seguida, é efectuado um teste rápido para garantir que a integração está correcta, analisando o ficheiro de teste antivírus EICAR e o ficheiro limpo. Para o controlo da segurança dos dados, utilizamos um programa de monitorização da rede durante o teste para garantir que o motor não envia quaisquer dados para o seu servidor doméstico.
Além disso, desenvolvemos uma estrutura de teste abrangente para medir as métricas de desempenho, incluindo a taxa de transferência, a fuga de memória, o consumo de CPU e a segurança dos fios. Tal como se mostra na figura seguinte, realizámos um teste com 2 cenários: análise de um único segmento e análise de vários segmentos (20 segmentos neste teste). Com base na medição do desempenho, podemos identificar os erros existentes ou os problemas causados pelo AV durante o processo de análise.
Utilizamos milhares de ficheiros de amostra, incluindo ficheiros conhecidos como maliciosos e benignos, e submetemo-los à análise do motor em avaliação para medir a taxa de deteção (tanto para falsos positivos como para falsos negativos). A estrutura também monitora a pegada do AV para descobrir possíveis vazamentos de memória ou consumo de CPU maior do que o desejado. Por exemplo, na demonstração de teste acima, a utilização de memória aumentou em quatro inspecções diferentes, o que revela uma possível fuga de memória. Da mesma forma, o resultado do teste revelou o rendimento do motor, bem como quaisquer falhas durante o processo de análise, que foram registadas para investigação posterior.
Posteriormente, executámos um teste de esforço, que foi realizado durante um dia com um conjunto de dados muito maior, para investigar melhor o desempenho e a estabilidade do AV. Criámos um ambiente de teste de integração num contentor docker. Se forem encontrados problemas durante esta fase, partilhamos os problemas identificados com o fornecedor do AV, juntamente com o contentor de teste, para manter ambientes de teste consistentes.
Depois de avaliarmos cuidadosamente a integração e o desempenho do AV, implementamos a integração oficial com a Metascan se passar todos os nossos testes rigorosos, confirmamos o acordo de parceria e anunciamos a adição de um novo motor anti-malware aos nossos clientes.
O nosso meticuloso processo de avaliação de AV destina-se a garantir que é fornecido aos nossos clientes um produto de segurança impecável, dinâmico e eficiente. Estabelece também uma colaboração estreita e bem sucedida entre OPSWAT e os nossos parceiros tecnológicos para, em conjunto, proteger os nossos clientes contra ciberataques cada vez mais avançados. Estamos constantemente à procura de novos fornecedores de AV para se juntarem à nossa solução de análise múltipla. Para uma possível parceria com OPSWAT, contacte-nos agora. Teremos todo o gosto em responder a quaisquer questões.
