OPSWAT Metascan是一种先进的威胁检测和防御技术,可同时运行多个反恶意软件引擎,最大限度地提高捕获已知恶意软件的可能性。单个反病毒引擎可检测到 40%-80% 的恶意软件,而 Metascan 可使网络安全专家利用 30 多个市场领先的反恶意软件引擎扫描内部文件(支持 Windows 和 Linux)和云文件(支持 MetaDefender)。MetaDefender Cloud)扫描文件,检测率超过 99%(请参阅我们的报告)。我们的解决方案不仅能提高检测率、缩短爆发检测时间,还能为单一供应商的反恶意软件解决方案提供弹性。Metascan 是 OPSWAT MetaDefender Core的重要软件模块之一,通过评估最有效的反病毒(AV)提供商并将其添加到我们的引擎供应商列表中,该模块不断得到增强。我们一直在寻找新的安全合作伙伴加入我们的多重扫描解决方案,以更好地保护我们的客户免受日益复杂的网络犯罪的侵害。在本博客中,我们将介绍 AV 加入 Metascan 之前的技术评估流程。
评估过程分为四个不同阶段:软件包需求验证、第三方组件检查、快速集成和自动化测试。
评估的第一阶段是 SDK(软件开发工具包)软件包需求验证。根据我们与 30 多个领先反恶意软件引擎集成的经验,我们提出了一套标准而简单的要求:
- 为便于集成,SDK 软件包需要采用 C 或 C++ 接口。通常,使用 CLI(命令行界面)的扫描过程有三个步骤:初始化(包括加载整个数据库)、扫描和去初始化。整个过程针对每一个扫描文件,因此会减慢扫描进程。而使用 C++ 集成系统时,系统只需初始化一次,然后等待进入的文件进行扫描。我们只需在停止整个产品服务时取消初始化系统。
- 合格的引擎应具有单独的引擎模块文件和定义文件,以便于作为一个小软件包交付,并且不应在无意中进行更新。
- 此外,我们为许多关键基础设施行业提供服务,这些行业的环境都是空中封闭的,因此所提供的引擎必须支持定义文件的离线更新。
- 为了向客户提供先进的威胁防御解决方案,我们对新增的反病毒软件还提出了其他一些要求,如线程安全、高吞吐量和无需安装过程的独立 SDK。
如果所有软件包要求都得到满足,我们就进入评估的第二阶段,即检查软件包的合规性。我们会使用第三方工具对软件包进行扫描,以检测所有漏洞或许可证问题。如果发现任何问题,我们会通知反病毒软件供应商解决,然后再继续评估流程。
需求的第三阶段是集成检查,以确定引擎能否无缝集成并顺利运行。根据示例代码或集成指南,我们启动初始化和扫描等基本功能。然后进行快速测试,通过扫描 EICAR 反病毒测试文件和干净文件来确保集成正确无误。为确保数据安全,我们在测试过程中使用了网络监控程序,以确保引擎不会向其主服务器发送任何数据。
此外,我们还开发了一个综合测试框架,用于测量吞吐量、内存泄漏、CPU 消耗和线程安全等性能指标。如下图所示,我们进行了两种情况的测试:单线程扫描和多线程扫描(本次测试中有 20 个线程)。根据性能测量结果,我们可以发现 AV 在扫描过程中存在的错误或问题。
我们使用数以千计的样本文件,包括已知的恶意和良性文件,并让评估中的引擎对它们进行扫描,以衡量检测率(假阳性和假阴性)。该框架还监控反病毒软件的足迹,以发现潜在的内存泄漏或超出预期的 CPU 消耗。例如,在上面的测试演示中,内存使用量在四次不同的检查中都有所增加,这表明可能存在内存泄漏。同样,测试结果还显示了引擎吞吐量以及扫描过程中出现的任何故障,并将其记录下来以作进一步调查。
随后,我们使用更大的数据集进行了为期一天的压力测试,以进一步考察 AV 的性能和稳定性。我们在 docker 容器中构建了一个集成测试环境。如果在这一阶段发现任何问题,我们会将发现的问题连同测试容器与 AV 供应商共享,以保持测试环境的一致性。
在对 AV 的集成和性能进行仔细评估后,如果通过了我们所有的严格测试,我们就会部署与 Metascan 的正式集成,确认合作协议,并向客户宣布增加了一个新的反恶意软件引擎。
我们一丝不苟的 AV 评估流程旨在确保为客户提供无懈可击、动态和高效的安全产品。它还在OPSWAT 和我们的技术合作伙伴之间建立了紧密而成功的合作关系,共同保护我们的客户免受日益先进的网络攻击。我们不断寻找新的 AV 供应商加入我们的多重扫描解决方案。如需与OPSWAT 建立合作伙伴关系,请立即联系我们。我们随时乐意回答您的任何问题。
