ما هو تحليل البرامج الضارة؟
هو عملية اكتشاف وتقليل التهديدات المحتملة في موقع ويب أو تطبيق أو خادم. إنها عملية حاسمة تضمن أمن الكمبيوتر بالإضافة إلى سلامة وأمن المؤسسة فيما يتعلق بالمعلومات الحساسة. يعالج تحليل البرامج الضارة نقاط الضعف قبل أن تخرج عن السيطرة.
ويستخدم تحليل البرمجيات الخبيثة من أجل فهم سلوك وغرض ملف أو عنوان تحديد موقع المعلومات (URL) مشبوه. تساعد مخرجات التحليل في الكشف عن التهديد المحتمل والتخفيف من حدته.
مزايا تحليل البرامج الضارة
- فرز الحوادث بطريقة براغماتية حسب مستوى الخطورة.
- كشف المؤشرات الخفية للاختراق التي يجب حظرها.
- تحسين فعالية تنبيهات وإشعارات اللجنة الأولمبية الدولية.
- إثراء السياق عند البحث عن التهديد.
- تحديد مصدر الهجوم.
- تحديد الضرر الناجم عن تهديد أمني.
- تحديد مستوى استغلال البرامج الضارة، ونقاط الضعف، وإعدادات التصحيح المناسبة.
أنواع تحليل البرامج الضارة
يمكن إجراء التحليل بطريقة ثابتة أو ديناميكية أو مختلطة من الاثنين.
- التحليل الثابت: لا يتطلب التحليل الأساسي الثابت تشغيل الكود بالفعل. بل يفحص التحليل الثابت الملف بحثاً عن علامات النوايا الخبيثة. قد يكون من المفيد تحديد البنية التحتية الضارة أو المكتبات أو الملفات المحذوفة.
- التحليل الديناميكي: ينفذ التحليل الديناميكي للبرامج الضارة تعليمات برمجية ضارة مشتبه بها في بيئة آمنة تسمى صندوق الحماية. يتيح هذا النظام المغلق لمحترفي الأمن مراقبة البرامج الضارة أثناء العمل دون المخاطرة بالسماح لها بإصابة نظامهم أو الهروب إلى شبكة المؤسسة.
يتم تحديد المؤشرات الفنية مثل أسماء الملفات، والتجزئة، والسلاسل مثل عناوين بروتوكول الإنترنت، والمجالات، ويمكن استخدام بيانات رأس الملف لتحديد ما إذا كان هذا الملف ضاراً أم لا. كما يمكن استخدام أدوات مثل أدوات التفكيك ومحللات الشبكة لمراقبة البرامج الضارة دون تشغيلها فعلياً من أجل جمع معلومات حول كيفية عمل البرامج الضارة.