توفر هذه المقالة نظرة عامة عامة على سياسة Cato لمكافحة البرمجيات الضارة لمحركات مكافحة البرمجيات الضارة وجيل الجيل التالي (NG). لمزيد من المعلومات حول تخصيص السياسة، انظر إعداد سياسة مكافحة البرمجيات الضارة.
توفر سياسة Cato لمكافحة البرمجيات الضارة طبقتين من الحماية لمنع دخول الملفات الخبيثة إلى الشبكة: مكافحة البرمجيات الضارة وNG مكافحة البرمجيات الضارة. يقوم كلا الطبقتين بفحص الملفات التي تصل من حركة مرور WAN وحركة مرور الإنترنت في نفس الوقت.
- تحمي طبقة مكافحة البرمجيات الخبيثة ضد تهديدات البرامج الضارة بناءً على توقيعات الملفات المعروفة ومن خلال التحليل الاستدلالي.
- مكافحة البرمجيات الخبيثة NG هي طبقة ثانية تعتمد على تقنية اكتشاف البرامج الضارة عبر التعلم الآلي وتستخدم نماذج تنبؤية لتصنيف الملفات كبريئة أو مشبوهة أو خبيثة. تفحص هذه الطبقة الملف وتبحث عن خصائص تشير إلى ما إذا كان الملف خبيثًا. تستطيع هذه النماذج اكتشاف البرمجيات الخبيثة غير المعروفة وليوم الأول.
يقوم محركا مكافحة البرمجيات الضارة وفحصها بفحص الاتصالات بشكل تسلسلي للتحقق من تطابق حركة المرور مع قاعدة. القاعدة النهائية في قاعدة القواعد هي قاعدة حظر ANY - ANY - إذا لم تتوافق حركة المرور مع قاعدة، فسيتم فحص الملف تلقائيًا. القاعدة النهائية في قاعدة القواعد هي قواعد حظر ANY - ANY الافتراضية للملفات الخبيثة والمريبة - لذا بالنسبة لحركة المرور التي لا تتوافق مع قاعدة، يتم فحص الملف تلقائيًا، وتصف الملفات بهذه الأحكام.
يمكنك مراجعة إعدادات القواعد الافتراضية في قسم القواعد الافتراضية في نهاية قاعدة القواعد. لا يمكن تحرير إعدادات القواعد هذه.
تعتبر القواعد التي تكون في أعلى قاعدة القواعد ذات أولوية أعلى لأنها تطبق على الاتصالات قبل القواعد الأدنى في قاعدة القواعد. على سبيل المثال، إذا كانت الاتصال تتطابق مع القاعدة رقم 2، يتم تطبيق الإجراء على الاتصال، وتتجاهل محركات مكافحة البرامج الضارة أو مكافحة البرامج الضارة المتقدمة القواعد رقم 3 وما دونها.
يقوم محرك مكافحة البرمجيات الخبيثة بفحص كل ملف تم تنزيله للبحث عن توقيع فريد ويقارن ذلك التوقيع مع قاعدة بيانات للملفات الخبيثة المعروفة. يتم تحديث قاعدة البيانات كل 30 دقيقة بتوقيعات ملفات جديدة. يستخدم هذا المحرك أيضًا التحليل الاستدلالي لفحص شفرة المصدر ومقارنتها بالفيروسات المعروفة. إذا تطابقت الشفرة مع شفرة من فيروسات أخرى، يتم تحديد الملف كخبيث. هذه الطبقة هي الحماية الأساسية ضد تهديدات البرمجيات الخبيثة.
تطبق شركة Cato محرك SentinelOne NG مكافحة البرمجيات الضارة لتوفير طبقة ثانية من حماية التهديدات. يستخدم هذا المحرك نموذج الذكاء الاصطناعي الذي يكتشف التهديدات في الملفات القابلة للتنفيذ المحمولة وملفات PDF ومستندات Microsoft Office. يتم تطوير نموذج الذكاء الاصطناعي من خلال استخراج الخصائص من ملايين عينات البرامج الضارة في مستودع البرامج الضارة. ثم يتم استخدام تعلم الآلة الموجّه (SML) لتحديد وربط الخصائص المختلفة للملفات الآمنة والخبيثة. ثم يستخدم المحرك هذا النموذج لتحديد الخصائص المماثلة في الملفات غير المعروفة، والتي تم تصنيفها كالتالي:
- ملف خبيث - على الأرجح برمجيات ضارة
- ملف مشبوه - يظهر الملف أو السلوك سمات مرتبطة بالبرامج الضارة، لكن لا يمتلك ثقة أو بيانات كافية لتصنيفه بشكل قاطع كملف آمن أو ضار.
- ملف آمن - يحتوي على خصائص الملفات الآمنة ومن المحتمل جداً أنه ليس برامج ضارة
ملاحظة
ملاحظة: يسمح نموذج الذكاء الاصطناعي لمحرك NG مكافحة البرمجيات الضارة له بالكشف عن البرمجيات الضارة غير المعروفة. ومع ذلك، قد يحدث في حالات نادرة أن ينتج هذا النموذج إشارات إيجابية خاطئة ويقوم بحظر ملفات شرعية. يمكنك إنشاء استثناء والسماح للمستخدمين بالوصول إلى الملف وتنزيله، انظر إعداد سياسة مكافحة البرمجيات الضارة.
نظرًا لأن محرك مكافحة البرامج الضارة المتقدم يعتمد على الخوارزمية ولا يستخدم الكشف المستند إلى التوقيع، فإنه لا يتطلب تحديثات متكررة عالية. تُحدَّث خوارزمية المحرك كل بضعة أشهر.
تشرح هذه القسم كيف يتم فحص الملفات بواسطة كل من طبقات الحماية مكافحة البرامج الضارة ومكافحة البرامج الضارة المتقدمة بشكل متزامن عند استخدام السياسة الافتراضية.
عند استخدام السياسة الافتراضية، تقوم محركات مكافحة البرامج الضارة ومكافحة البرامج الضارة المتقدمة بفحص جميع الملفات التي تم تنزيلها في نفس الوقت وتحظر أي ملف مصنف على أنه ضار أو مشبوه. إذا تم حظر طلب تنزيل ملف، يتم التخلص من الملف وتوليد حدث. إذا تم حظر ملف بواسطة كلا المحركين، فمن الممكن أن يتم توليد حدثيين.
يفحص محركا مكافحة البرمجيات الضارة وNG مكافحة البرمجيات الضارة حركة مرور HTTP وHTTPS وFTP.
استنادًا إلى السياسة الافتراضية، عندما يبدأ المستخدم النهائي عملية تنزيل ملف من الإنترنت أو WAN، يكون هذا هو سلوك كل محرك عندما يقومون بفحص الملفات بشكل متزامن:
-
يقوم محرك مكافحة البرامج الضارة بفحص الملف ويستخدم توقيعات الملفات والتحليل الاستدلالي لتحديد ما إذا كان الملف ضار أو آمن.
- إذا كانت النتيجة ضار، يتم حظر الملف، حذفه، وتوليد حدث. تظهر صفحة الحظر في متصفح الإنترنت للمستخدم.
- إذا كانت النتيجة آمن، يكون الملف متاحًا للتنزيل.
-
تقوم طبقة مكافحة البرامج الضارة المتقدمة بفحص الملف وتستخدم نموذج AI لتصنيف الملف كـ ضار، مشبوه، أو آمن.
- إذا كان الملف ضارًا أو مشبوهًا، فإنه يتم حظره، حذفه، ويولد حدثًا. تظهر صفحة الحظر في متصفح الإنترنت للمستخدم.
- إذا كانت النتيجة آمن، يكون الملف متاحًا للتنزيل.
ملاحظة
ملاحظة: يتم حذف الملفات التي خضعت للفحص ولا تحتفظ Cato بأي ملفات لأي حكم.
يسمح للملف بالاستمرار إلى المستخدم عندما يكون لدى كل من المحركين حكم بريء، ثم تولد الأحداث بحكم نظيف.
لا يسبب فحص مكافحة البرمجيات الضارة الموحد تأخيرًا ملحوظًا لتجربة المستخدم. يقوم المستخدمون النهائيون بتنزيل الملفات النظيفة فورًا.
تدعم محركات مكافحة البرمجيات الضارة وNG أنواع معينة من الملفات. للمزيد من المعلومات، اطلع على تنسيقات الملفات المدعومة لحماية مكافحة البرمجيات الضارة. (يجب أن تكون مسجلاً للدخول لعرض هذه المقالة)
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.