OPSWAT Metascan è una tecnologia avanzata di rilevamento e prevenzione delle minacce che esegue più motori antimalware contemporaneamente per massimizzare la probabilità di catturare il malware noto. Mentre un singolo motore antivirus è in grado di rilevare il 40%-80% delle minacce informatiche, Metascan consente agli specialisti della sicurezza informatica di eseguire la scansione dei file con oltre 30 motori antimalware leader di mercato in sede (sono supportati Windows e Linux) e nel cloud (MetaDefender Cloud) per ottenere tassi di rilevamento superiori al 99%(vedi il nostro report). La nostra soluzione non solo aumenta i tassi di rilevamento, riduce i tempi di rilevamento dei focolai, ma fornisce anche resilienza alle soluzioni anti-malware di un singolo fornitore. Metascan è uno dei moduli software critici di OPSWAT MetaDefender Core e viene continuamente migliorato valutando e aggiungendo i più efficaci fornitori di antivirus (AV) al nostro elenco di fornitori di motori. Siamo sempre alla ricerca di nuovi partner di sicurezza da aggiungere alla nostra soluzione di multiscansione per proteggere meglio i nostri clienti da crimini informatici sempre più sofisticati. In questo blog tratteremo i processi di valutazione tecnica degli AV prima di essere aggiunti a Metascan.
I processi di valutazione passano attraverso quattro fasi distinte: convalida dei requisiti del pacchetto, verifica dei componenti di terze parti, integrazione rapida e test di automazione.
La prima fase della valutazione è la convalida dei requisiti del pacchetto SDK (software development kit). Sulla base della nostra esperienza di integrazione con oltre 30 motori antimalware leader del settore, abbiamo elaborato una serie di requisiti standard e semplici:
- Per facilitare l'integrazione, il pacchetto SDK deve essere in interfaccia C o C++. Normalmente, un processo di scansione con CLI (Command Line Interface) prevede tre fasi: inizializzazione (compreso il caricamento dell'intero database), scansione e deinizializzazione. L'intero processo avviene per ogni file scansionato, rallentando il processo di scansione. Con l'integrazione in C++, invece, il sistema deve essere inizializzato una sola volta e attende la scansione dei file in arrivo. È necessario deinizializzare il sistema solo quando si arresta l'intero servizio del prodotto.
- Il motore qualificato deve avere file di modulo del motore e file di definizione separati per facilitare la consegna come un piccolo pacchetto e non deve essere aggiornato involontariamente.
- Inoltre, serviamo molti settori di infrastrutture critiche con ambienti protetti dall'aria, quindi i motori forniti devono supportare l'aggiornamento offline dei file di definizione.
- Per fornire ai nostri clienti una soluzione avanzata di prevenzione delle minacce, abbiamo bisogno di diversi altri requisiti per gli AV aggiunti, come la sicurezza dei thread, un elevato throughput e un SDK autonomo senza processo di installazione.
Se tutti i requisiti del pacchetto sono soddisfatti, si passa alla seconda fase della valutazione, che consiste nell'esaminare la conformità del pacchetto. Viene scansionato con uno strumento di terze parti per rilevare tutte le vulnerabilità o i problemi di licenza. Se vengono riscontrati problemi, informiamo il fornitore di AV affinché li risolva prima di continuare il processo di valutazione.
La terza fase del requisito è una verifica dell'integrazione per vedere se il motore può essere integrato senza problemi e se funziona correttamente. Sulla base del codice di esempio o della guida all'integrazione, si avviano le funzioni di base come l'inizializzazione e la scansione. Quindi si esegue un test rapido per garantire che l'integrazione sia corretta, analizzando il file di prova dell'antivirus EICAR e il file pulito. Per il controllo della sicurezza dei dati, durante il test utilizziamo un programma di monitoraggio della rete per garantire che il motore non invii alcun dato al proprio server domestico.
Inoltre, abbiamo sviluppato un framework di test completo per misurare le metriche delle prestazioni, tra cui throughput, memory leaking, consumo di CPU e sicurezza dei thread. Come mostrato nella figura seguente, abbiamo condotto un test con 2 scenari: scansione a thread singolo e scansione a thread multipli (20 thread in questo test). In base alla misurazione delle prestazioni, è possibile identificare gli errori o i problemi esistenti dell'AV durante il processo di scansione.
Utilizziamo migliaia di file campione, tra cui file noti dannosi e benigni, e li facciamo scansionare dal motore in esame per misurare il tasso di rilevamento (sia per i falsi positivi che per i falsi negativi). Il framework monitora anche l'impronta dell'AV per scoprire potenziali perdite di memoria o un consumo di CPU superiore a quello desiderato. Ad esempio, nella demo di test sopra riportata, l'utilizzo della memoria è aumentato in quattro diverse ispezioni, rivelando una possibile perdita di memoria. Allo stesso modo, il risultato del test ha rivelato il throughput del motore e qualsiasi errore durante il processo di scansione, che è stato registrato per ulteriori indagini.
Successivamente, abbiamo eseguito uno stress test, che è stato eseguito per un giorno con un set di dati molto più grande, per esaminare ulteriormente le prestazioni e la stabilità dell'AV. Abbiamo costruito un ambiente di test di integrazione in un container docker. Se durante questa fase si riscontrano problemi, li condividiamo con il fornitore dell'AV insieme al container di test per mantenere ambienti di test coerenti.
Dopo aver valutato attentamente l'integrazione e le prestazioni dell'AV, se l'integrazione ufficiale con Metascan supera tutti i nostri rigorosi test, confermiamo l'accordo di partnership e annunciamo ai nostri clienti l'aggiunta di un nuovo motore anti-malware.
Il nostro meticoloso processo di valutazione degli AV garantisce ai nostri clienti un prodotto di sicurezza impeccabile, dinamico ed efficiente. Inoltre, stabilisce una collaborazione stretta e di successo tra OPSWAT e i nostri partner tecnologici per proteggere insieme i nostri clienti da attacchi informatici sempre più avanzati. Siamo costantemente alla ricerca di nuovi fornitori AV che si uniscano alla nostra soluzione di multiscansione. Per una possibile partnership con OPSWAT, contattateci subito. Siamo sempre felici di rispondere a qualsiasi domanda.
