راه حل آنتی ویروس نسل بعدی (NGAV) با نظارت، پاسخ به تاکتیک ها، تکنیک ها و رویه های مهاجم (TTP) از انواع حملات شناخته شده و ناشناخته جلوگیری می کند.

آنتی ویروس نسل بعدی ، نرم افزار آنتی ویروس سنتی را به سطح جدید و پیشرفته ای از حفاظت از نقطه پایانی می رساند. که فراتر از امضاهای بدافزار مبتنی بر فایل و اکتشافی است. زیرا آنتی ویروس نسل بعدی یک رویکرد سیستم محور و مبتنی بر ابر می باشد . NGAV از تجزیه و تحلیل پیش‌بینی‌کننده مبتنی بر علم تشخیص رفتار ، الگوریتم های یادگیری ماشین و هوش مصنوعی استفاده می‌کند و با هوش تهدید ترکیب می‌شود .بدین ترتیب قابلیت های زیر را پوشش می دهد :

• شناسایی و جلوگیری از حملات بدافزار و Fileless non-malware
• شناسایی رفتارهای مخرب و TTP ها از منابع ناشناخته
• جمع آوری و تجزیه و تحلیل داده های نقطه پایانی جامع برای تعیین علل ریشه ای
• پاسخ به تهدیدات جدید و نوظهوری که قبلاً شناسایی نشده بودند

رویکرد آنتی ویروس های سنتی در حال منسوخ شدن است زیرا مهاجمان راه‌هایی را برای دور زدن دفاع‌های قدیمی AV پیدا کرده‌اند، مانند استفاده از حملات بدون فایل که از ماکروها، موتورهای برنامه‌نویسی، حافظه داخلی، اجرا و غیره برای انجام حملات استفاده می‌کنند.

آنتی ویروس های سنتی سازمان‌ها را در حالت Reactive mode قفل می‌کند و تنها قادر به دفاع در برابر بدافزارها و ویروس‌های شناخته‌شده فهرست‌بندی شده در پایگاه داده ارائه‌دهنده AV است. این رویکرد در گذشته بهترین روش موجود بود، اما امروزه، زمانی که تهدیدهای ناشناخته باید با همان سختگیری تهدیدات شناخته شده مورد توجه قرار گیرند، به شدت ناکافی است.

• امنیت نقطه پایانی چیست؟
• تهدیدات سایبری جدید، آنچه کسب و کارها باید بدانند

NGAV این کاستی‌ها را برطرف می‌کند زیرا ادغام روش‌های پیشگیری پیچیده‌تر مانند یادگیری ماشینی، تشخیص رفتاری، و هوش مصنوعی تنها اتکا به امضاها برای شناسایی فعالیت‌های مخرب را از بین می‌برد. NGAV در برابر تهدیدات ناشناخته و همچنین تهدیدات شناخته شده که با افزایش استفاده از حملات بدون فایل در میان مهاجمان، اهمیت فزاینده ای پیدا کرده اند ، محافظت کاملی ارائه می دهد. NGAV هر دو نوع تهدید را قادر می‌سازد تا در زمان واقعی آشکار شوند و در کمک به سازمان‌ها برای جلوگیری از این تهدیدها با سرعتی بسیار بیشتر از گذشته و بسیار مؤثرتر می باشد.

Legacy AV همچنین از نظر معیارهای نسبت زمان به ارزش ، نمره خوبی ندارد و میانگین استقرار سه ماه طول می کشد. این بازه زمانی ضروری است زیرا AV قدیمی اغلب به سخت افزاری برای نصب در محل فیزیکی متکی است. علاوه بر این، پس از نصب، اکثر راه‌حل‌های قدیمی نیاز به تنظیم و پیکربندی کامل دارند تا کاملاً کاربردی باشند.

با این حال، استقرار یک راه‌حل واقعی NGAV بومی ابری به این اندازه دست و پا گیر نیست و اجرای کامل آن تنها چند ساعت طول می‌کشد. از آنجایی که NGAV در فضای ابری مستقر است، هیچ سخت‌افزار یا نرم‌افزار اضافی برای تهیه، هیچ زیرساختی برای استقرار، بدون نیاز به معماری راه‌حل جدید وجود ندارد .

پس از راه‌اندازی و اجرا، ردپای AV قدیمی در نقطه پایانی می‌تواند به دلیل ناکارآمد بودن برخی از قابلیت‌های امنیتی آن بر عملکرد تأثیر منفی بگذارد. علاوه بر این، اتکای آنتی ویروس سنتی به امضا به این معنی است که پایگاه‌های اطلاعاتی Signature باید دائماً به روز شوند تا جدیدترین موارد اضافه شده را در بر گیرند. این به‌روزرسانی‌ها منابع و زمان زیادی را مصرف می‌کنند و لحظه‌ای که یک به‌روزرسانی کامل می‌شود، از تاریخ گذشته  است.

راه‌حل‌های NGAV کمترین تأثیر منفی را بر نقطه پایانی دارد.

یک راه‌حل مؤثر NGAV از فناوری‌های نوآورانه برای جلوگیری از تاکتیک‌ها، تکنیک‌ها و رویه‌های به‌سرعت در حال تغییر استفاده می‌کند که توسط دشمنان برای نفوذ به سازمان‌ها، از جمله بدافزارهای روز صفر و حتی حملات پیشرفته بدون بدافزار ( Advanced Malware-free) استفاده می‌شود. در یک راه‌حل مؤثر NGAV قابلیت های پیشگیری وجود دارد که باید به دنبال آنها باشید:

•  جلوگیری از بدافزارهای شناخته شده و ناشناخته

  • Signature-less malware protection :

حفاظت در برابر بدافزار بدون امضا از الگوریتم‌های یادگیری ماشینی برای تعیین احتمال مخرب بودن یک فایل استفاده می‌کند. تهدیدهای جدید فورا متوقف می شوند و نسبت معیار زمان به ارزش به صفر می رسد.

• • Machine learning :

الگوهای یادگیری ماشین می توانند بدافزار شناخته شده و ناشناخته را در نقاط پایانی، چه در شبکه و چه خارج از شبکه، شناسایی و از آن جلوگیری نمایند. بدین وسیله امکان کشف سریع‌تر و کامل‌تر شاخص‌های حمله را فراهم ، باج‌افزار را حذف و شکاف‌های باقی مانده توسط AV قدیمی را پر می‌کنند.

•  جلوگیری از حملات بدون بدافزار :

  • شاخص های حمله (IOAs) :

IOA ها رویدادهای نقطه پایانی را برای شناسایی فعالیت های مخفی که نشان دهنده فعالیت مخرب هستند، مرتبط می کنند. راه حل آنتی ویروس های قدیمی بر یافتن IOAها با تجزیه و تحلیل آفلاین گذشته نگر متکی است، بنابراین نمی تواند با تهدیدات نوظهور همگام شود و برای مدیریت به منابع زیادی نیاز دارد. الگوریتم‌های آنلاینی که از یادگیری ماشینی استفاده می‌کنند و برای انجام یک تحلیل مفید به کل مجموعه داده نیاز ندارند، سریع‌تر، کارآمدتر و مؤثرتر هستند.

• • Exploit blocking :

بدافزار همیشه در یک فایل ارائه نمی شود. حملاتی که از ماکروها، اجرا، حافظه داخلی و سایر تکنیک های بدون فایل استفاده می کنند در حال افزایش هستند. مسدودسازی اکسپلویت، بهره برداری را در صورت وقوع شناسایی و مسدود می کند.

•  ادغام اطلاعات تهدید :

اطلاعات یکپارچه تهدید، ارزیابی فوری منشأ، تأثیر و شدت تهدیدات در محیط را امکان پذیر می کند و همچنین راهنمایی هایی را در مورد نحوه بهترین واکنش و اصلاح ارائه می دهد.

• Cloud-Native :

معماری ابری جزء حیاتی در ارائه نسل بعدی AV واقعی است. NGAV مبتنی بر ابر می‌تواند در عرض چند ثانیه کاملاً عملیاتی شود، بدون نیاز به راه‌اندازی مجدد، به‌روزرسانی امضا، پیکربندی یا خرید زیرساخت. الگوریتم‌ها می‌توانند فعالیت نقطه پایانی را همانطور که اتفاق می‌افتد پردازش کنند، فایل‌های مخرب و رفتارهای مشکوک را در زمان واقعی و بدون تأثیر بر عملکرد نقطه پایانی افشا کنند.

مهاجمان امروزی دقیقاً می‌دانند که کجا می‌توانند شکاف‌ها و نقاط ضعف را در امنیت محیطی شبکه سازمان پیدا کنند . آنها به روش‌هایی در این موارد نفوذ می‌کنند که به راحتی نرم‌افزار آنتی‌ویروس سنتی را دور می‌زنند. این مهاجمان از ابزارهای بسیار توسعه یافته برای هدف قرار دادن آسیب پذیری هایی استفاده می کنند که اهرم های زیر را شامل می شوند:

• حملات مبتنی بر حافظه (Memory-based attacks)
• زبان برنامه نویسی PowerShell
• Remote logins
• Macro-based attacks

و از آنجایی که AV سنتی فقط بر روی تهدیدات مبتنی بر فایل امضا یا تعریف تمرکز می‌کند، نمی‌تواند هیچ یک از این محیط‌ها را از تهدیدات مدرن که فایل‌های جدیدی را به سیستم معرفی نمی‌کنند شناسایی کند.

با این حال، NGAV روی رویدادها ، فایل‌ها، فرآیندها، برنامه‌ها و اتصالات شبکه تمرکز می‌کند تا ببیند اقدامات یا جریان‌های رویداد در هر یک از این مناطق چگونه به هم مرتبط هستند. تجزیه و تحلیل جریان های رویداد می تواند به شناسایی اهداف، رفتارها و فعالیت های مخرب کمک کند و پس از شناسایی، مهاجمان می توانند مسدود شوند.