OPSWAT Metascanは、複数のマルウェア対策エンジンを同時に実行し、既知のマルウェアを検知する可能性を最大限に高める、高度な脅威検知・防御技術です。単一のアンチウイルスエンジンでは、マルウェアの40%から80%を検出することができますが、Metascanを使用することで、サイバーセキュリティのスペシャリストは、オンプレミス(WindowsとLinuxをサポート)およびクラウド(以下のURL)で、市場をリードする30以上のアンチマルウェアエンジンを使用してファイルをスキャンすることができます。MetaDefender Cloud)でファイルをスキャンし、99%以上の検出率を達成します。MetaDefenderのソリューションは、検出率を高め、アウトブレイクの検出時間を短縮するだけでなく、シングルベンダのマルウェア対策ソリューションに耐障害性を提供します。Metascanは、次のような重要なソフトウェアモジュールの1つです。 OPSWAT MetaDefender CoreMetascanは、OPSWAT MetaDefender Core内の重要なソフトウェアモジュールの一つであり、最も効果的なアンチウイルス(AV)プロバイダを評価し、エンジンサプライヤリストに追加することによって継続的に強化されています。私たちは、より高度なサイバー犯罪からお客様を守るために、マルチスキャンソリューションに追加する新しいセキュリティパートナーを常に探しています。このブログでは、Metascanに追加される前のAVの技術評価プロセスについて説明します。
評価プロセスは、パッケージ要件の検証、サードパーティ・コンポーネントのチェック、クイック・インテグレーション、オートメーション・テストの4つの段階を経る。
評価の最初の段階は、SDK(ソフトウェア開発キット)パッケージの要件検証です。30以上の主要なマルウェア対策エンジンと統合してきた経験に基づき、私たちは標準的でシンプルな要件セットを考え出しました:
- 統合を容易にするため、SDKパッケージはCまたはC++インターフェースである必要がある。通常、CLI(コマンド・ライン・インターフェース)によるスキャン・プロセスには、初期化(データベース全体の読み込みを含む)、スキャン、初期化解除という3つのステップがある。この全プロセスは、スキャンされたファイルごとに発生するため、スキャン・プロセスが遅くなる。一方、C++の統合では、システムは一度だけ初期化され、スキャンするために入ってくるファイルを待つだけでよい。システムの初期化を解除するのは、製品サービス全体を停止するときだけです。
- 修飾されたエンジンは、小さなパッケージとして提供しやすくするために、エンジン・モジュール・ファイルと定義ファイルを別々に持つべきであり、不用意に更新されるべきではない。
- さらに、私たちは多くの重要なインフラストラクチャー産業でエアギャップ環境を提供しているため、提供されるエンジンは定義ファイルのオフライン更新をサポートする必要があります。
- 高度な脅威防御ソリューションをお客様に提供するために、私たちは、スレッドセーフ、高スループット、インストールプロセスのないスタンドアロンSDKなど、追加されるAVに必要な他のいくつかの要件を必要としています。
パッケージの要件がすべて満たされていれば、パッケージのコンプライアンスを調査する評価の第二段階に移る。サードパーティのツールでスキャンし、すべての脆弱性やライセンスの問題を検出します。問題が見つかった場合は、評価プロセスを続行する前に、AVベンダーに通知して解決してもらいます。
要件の第3段階は、エンジンがシームレスに統合され、スムーズに動作するかどうかを確認する統合チェックです。サンプルコードまたは統合ガイドに基づき、初期化やスキャンのような非常に基本的な機能を開始します。次に、EICARアンチウィルス・テスト・ファイルとクリーン・ファイルをスキャンすることで、統合が正しく行われていることを確認する簡単なテストを実施します。データのセキュリティ管理のため、テスト中にネットワーク監視プログラムを利用し、エンジンがデータをホームサーバーに送信しないことを確認します。
さらに、スループット、メモリリーク、CPU消費、スレッド安全性などの性能指標を測定するための包括的なテストフレームワークを開発した。下図に示すように、シングルスレッド・スキャンとマルチスレッド・スキャンの2つのシナリオでテストを実施した(このテストでは20スレッド)。性能測定に基づき、スキャン処理中にAVが起こした既存のエラーや問題を特定することができる。
私たちは、既知の悪意のあるファイルと良性のファイルの両方を含む何千ものサンプルファイルを使用し、(偽陽性と偽陰性の両方の)検出率を測定するために、評価中のエンジンでそれらをスキャンさせます。フレームワークはまた、AVのフットプリントを監視し、潜在的なメモリ・リークや必要以上のCPU消費を発見する。例えば、上記のテスト・デモでは、4つの異なる検査でメモリ使用量が増加しており、メモリ・リークの可能性が明らかになった。同様に、テストの結果、エンジンのスループットやスキャン・プロセス中の失敗が明らかになり、さらなる調査のためにログに記録された。
その後、AVのパフォーマンスと安定性をさらに調査するため、より大きなデータセットで1日実行するストレステストを実施した。ドッカーコンテナ内に統合テスト環境を構築しました。この段階で問題が発見された場合は、テストコンテナとともにAVベンダーと特定された問題を共有し、一貫したテスト環境を維持します。
AVの統合とパフォーマンスを慎重に評価した後、Metascanとの正式な統合を実施し、厳格なテストに合格した場合、パートナーシップ契約を確認し、新しいマルウェア対策エンジンの追加をお客様に発表します。
当社の綿密なAV評価プロセスは、非の打ちどころのない、ダイナミックで効率的なセキュリティ製品がお客様に提供されることを保証するものです。また、ますます高度化するサイバー攻撃からお客様を守るため、OPSWAT とテクノロジー・パートナーとの緊密で成功裏のコラボレーションを確立しています。私たちは、マルチスキャンソリューションに参加していただける新しいAVサプライヤーを常に探しています。OPSWAT とのパートナーシップの可能性については、今すぐご連絡ください。いつでも喜んでご質問にお答えします。
