روش‌های تشخیص بدافزار در Veeam Backup & Replication 13

نسخه 13 Veeam Backup & Replication (برای Linux Appliance و Windows) شامل بهبودهای مهمی در زمینه تشخیص بدافزار نسبت به نسخه 12.3 است و چند قابلیت جدید نیز به آن اضافه شده است. روش‌های مختلف تشخیص بدافزار در این نسخه، اگرچه از نظر عملکرد و هدف متفاوت هستند، اما می‌توانند به‌صورت ترکیبی برای افزایش سطح امنیت استفاده شوند. این روش‌ها بسته به زمان اجرا (حین بکاپ یا بعد از آن) و نوع تحلیل، نتایج متفاوتی ارائه می‌دهند.

نقش قابلیت‌های تشخیص بدافزار

تشخیص بدافزار یکی از بخش‌های کلیدی مکانیزم‌های امنیتی و ضدباج‌افزار در این نسخه محسوب می‌شود. با این حال باید توجه داشت که این قابلیت‌ها بیشتر برای شناسایی آلودگی پس از وقوع طراحی شده‌اند و جایگزین راهکارهای پیشگیرانه امنیتی نیستند. برای محافظت کامل، باید از لایه‌های مختلف امنیتی به‌صورت همزمان استفاده شود.

روش‌های تشخیص بدافزار به دو دسته اصلی تقسیم می‌شوند:

1. تشخیص در حین بکاپ (Inline)

در این روش، داده‌ها هنگام پردازش و انتقال بررسی می‌شوند و در صورت مشاهده رفتار مشکوک، هشدار صادر می‌شود.

2. تشخیص پس از بکاپ (Post-Processing)

در این حالت، نقاط بازیابی ذخیره‌شده مورد تحلیل قرار می‌گیرند تا آلودگی‌هایی که ممکن است هنگام بکاپ فعال نبوده‌اند شناسایی شوند.

روش‌های مختلف تشخیص بدافزار

در نسخه ۱۳، چندین روش برای شناسایی تهدیدات در دسترس است:

Guest Indexing Data Scan

این روش فعالیت‌های سیستم فایل را هنگام بکاپ بررسی می‌کند. مواردی مانند:

• فایل‌های مشکوک
• تغییر پسوند فایل‌ها
• حذف گسترده فایل‌ها
• نشانه‌های غیرعادی در ساختار فایل

در صورت شناسایی این موارد، وضعیت «مشکوک» ثبت می‌شود.

Inline Scan (تحلیل آنتروپی)

در این روش، بلاک‌های داده از نظر سطح آنتروپی تحلیل می‌شوند. افزایش غیرعادی آنتروپی می‌تواند نشانه رمزگذاری گسترده توسط باج‌افزار باشد. همچنین لینک‌های Onion و یادداشت‌های باج‌افزار نیز قابل شناسایی هستند. نتیجه این بررسی نیز معمولاً «مشکوک» خواهد بود.

Scan Backup و Secure Restore مبتنی بر YARA

در این روش از قواعد YARA برای بررسی نقاط بازیابی استفاده می‌شود. این بررسی می‌تواند:

• آخرین نقطه بازیابی سالم را شناسایی کند
• فایل‌های آلوده را در هنگام بازیابی تشخیص دهد

در صورت تأیید آلودگی، وضعیت «Infected» ثبت می‌شود.

Scan Backup و Secure Restore با Veeam Threat Hunter

این روش مبتنی بر امضا (Signature-based) است و تهدیدات شناخته‌شده را بر اساس دیتابیس امضاها تشخیص می‌دهد. در صورت شناسایی بدافزار، نقطه بازیابی آلوده علامت‌گذاری می‌شود.

استفاده از آنتی‌ویروس شخص ثالث

در این حالت، هنگام بازیابی یا اسکن بکاپ از موتور آنتی‌ویروس انتخاب‌شده توسط کاربر استفاده می‌شود. نتیجه اسکن می‌تواند وضعیت آلوده بودن Restore Point را مشخص کند.

Veeam Incident API

این قابلیت امکان یکپارچه‌سازی با راهکارهای امنیتی دیگر را فراهم می‌کند. اگر یک سیستم امنیتی خارجی تهدیدی را شناسایی کند، می‌تواند از طریق API نتیجه را به Veeam اعلام کند تا نقطه بازیابی آلوده علامت‌گذاری شود.

نحوه بررسی نتایج

اگر نتیجه یک اسکن «مشکوک» باشد، به معنای وجود رفتار غیرعادی است و نه لزوماً آلودگی قطعی. در چنین شرایطی باید بررسی تکمیلی انجام شود:

• فایل‌های رمزگذاری‌شده باید با ابزارهای تحلیلی دقیق‌تر بررسی شوند.
• لینک‌های Onion یا یادداشت‌های باج‌افزار نیاز به تحلیل مبتنی بر قواعد دارند.
• جزئیات تغییرات فایل، حذف‌ها و شاخص‌های نفوذ در فایل‌های لاگ سرور بکاپ ثبت می‌شوند.

قابلیت‌های جدید در نسخه ۱۳

Proactive Investigation

این قابلیت به‌صورت خودکار موارد مشکوک را با اسکن مبتنی بر امضا بررسی می‌کند. اگر هیچ تهدیدی یافت نشود، Restore Point به‌عنوان «پاک» علامت‌گذاری می‌شود. این ویژگی باعث کاهش نیاز به بررسی دستی و افزایش سرعت تصمیم‌گیری می‌شود.

یکپارچه‌سازی Recon Scanner

ابزار Recon Scanner که پیش‌تر به‌صورت جداگانه ارائه می‌شد، اکنون در پلتفرم به‌صورت یکپارچه در دسترس است و امکان تحلیل پیشرفته‌تر تهدیدات را فراهم می‌کند.

جمع‌بندی

نسخه ۱۳ مجموعه‌ای کامل از روش‌های تشخیص بدافزار را ارائه می‌دهد که هم در حین بکاپ و هم پس از آن فعال هستند. این روش‌ها از تحلیل رفتار و آنتروپی گرفته تا اسکن مبتنی بر امضا و یکپارچه‌سازی با ابزارهای امنیتی دیگر را پوشش می‌دهند. قابلیت‌هایی مانند Proactive Investigation نیز فرآیند شناسایی و مدیریت تهدیدات را خودکارتر و کارآمدتر کرده‌اند.