حفاظت در برابر بدافزار پیشرفته«Advanced malware protection» به منظور جلوگیری، شناسایی و کمک به حذف اثربخش تهدیدها از سیستمهای رایانهای طراحی شده است. تهدیدها ممکن است به شکل ویروسهای نرمافزاری و دیگر بدافزارها همچون باجافزارها«ransomware»، کرمها«worms»، تروجانها«Trojans»، جاسوسافزار«spyware»، آگهیافزار«adware» و بدافزارهای بدون فایل ظاهر شوند.
به طور کلی، هدف بدافزار پیشرفته عبارتست از نفوذ به یک سیستم و جلوگیری از شناسایی. بدافزار پیشرفته معمولاً یک هدف خاص (اغلب یک سازمان یا شرکت) به قصد کسب منفعت مالی را دارد. همچنین ممکن است سازمانهای مشابه در همان صنعت، مثل چند شرکت در حوزهی بیمه یا امور مالی، را هدف قرار دهد. بدافزار پیشرفته میتواند به شکل بدافزاری متداول ظاهر شود که به منظور افزایش قابلیت آلودهسازی، تغییراتی در آن صورت گرفته است.
پس از اینکه بدافزار پیشرفته روی یک سیستم رایانهای بارگذاری شد، میتواند خود را تکثیر کند و در برنامهها یا فایلهای دیگر درج نماید و در این فرآیند آنها را آلوده سازد. بدافزار پیشرفته حتی میتواند برای مدتی نهفته باشد. همچنین میتواند شرایط یک سَندباکس«sandbox» که برای مسدودسازی فایلهای مخرب در نظر گرفته شده را تست کند و تلاش کند نرمافزار امنیتی را فریب داده تا سیگنال عدم وجود بدافزار ارسال کند. سندباکس در واقع راهکاری است که امکان اجرای برنامهها را در یک بستر امن فراهم میکند، در واقع به یک محیط آزمایش جداگانهای گفته میشود که به کاربران امکان میدهد برنامهها را بدون اینکه به برنامه یا سیستم آسیبی برساند و یا هرگونه تاثیری داشته باشد اجرا کنند.
حفاظت در برابر بدافزار پیشرفته اساساً برای کمک به سازمانها طراحی شده تا از رخنههای امنیتی «breaches» ناشی از بدافزار پیشرفته جلوگیری شود. صدمات ناشی از چنین نقضهایی میتواند از نابودی یک نقطهی پایانی واحد گرفته تا از کار افتادن کل زیرساخت فناوری اطلاعات (IT) متغیر باشد، و به از دست دادن بهرهوری برای کارکنان و اساساً اختلال در خدمات مشتریان و فروش و پشتیبانی محصول منجر میشود.
نرمافزار آنتیویروس سنتی(AV)، برای تشخیص و پیشگیری از صدمهی ناشی از بدافزار به تشخیص امضاء یا الگوی باینری یک ویروس متکی است. ولی اکثر نویسندگان بدافزار با نوشتن ویروسهای "oligomorphic"، "polymorphic" و نوع جدیدتر آن یعنی "metamorphic"، یک قدم جلوتر از چنین نرمافزارهایی هستند؛ چون این نوع بدافزارها از تکنیکهای ابهامآفرینی/مبهمسازی«obfuscation»مانند رمزگذاری بخشهایی از خود استفاده میکنند یا اینکه خودشان را تغییر میدهند تا با امضاهای ویروس در پایگاهدادهی آنتیویروس مطابقت نداشته باشند.
امنیت نقطهی پایانی که حفاظت در برابر بدافزار پیشرفته را اعمال میکند، بدافزارهای شناختهشده را به طور دقیق و مؤثر و بدون اینکه صرفاً به امضاءها متکی باشد مسدود میکند. برعکس، راهکارهای AV قدیمی ممکن است بدافزارهایی در فرمت فشرده و سایر فرمتها و نیز بدافزارهای بدون فایل را تشخیص ندهند و نتوانند تهدیدهای پیشرفته را شناسایی کنند.
حدود سال 2013 تمرکز صنعت امنیت به منظور حفاظت آنتیویروس، به سوی رویکردهای فاقد امضاء تغییر مسیر داد. راهکارهای آنتیویروس سنتی ممکن است در شناسایی دقیق تهدیدات کمنفوذ«low-prevalence» مشکلاتی داشته باشند. ولی امنیت نقطهی پایانی که نظارت مستمر بر تمام فعالیتهای فایل را اعمال میکند به تشخیص سریعتر تهدیدات جدید ختم میشود.
قابلیتهای آنتیویروس جدید توسعه یافتند تا حملات zero-day و سایر بدافزارهای پیچیدهتر را شناسایی کرده و کاهش دهند. بعضی از این قابلیتهای پیشرفته عبارتند از:
تشخیص بدافزار مبتنی بر رفتار«behavior-based malware detection»، که یک فضای کامل پیرامون هر مسیر اجرای فرآیند در زمان واقعی را ایجاد میکند
مدلهای یادگیری ماشینی، الگوهایی را شناسایی میکنند که با ویژگیهای بدافزار شناختهشده و سایر اشکال مختلف هوش مصنوعی مطابقت دارند
امروزه روشهای پاسخدهی کارآمدتری در راهکارهای حفاظت در برابر بدافزار پیشرفته یافت میشوند، مانند تشخیص و پاسخ نقطهی پایانی «endpoint detection and response»(EDR) و مورد جدیدتر یعنی ابزارهای تشخیص و پاسخ گسترده«extended detection and response»(XDR). راهکارهای حفاظت در برابر بدافزار پیشرفته برخلاف امنیت نقطهی پایانی سنتی، امنیت گذشتهنگر«retrospective security» را ارائه میدهند که تهدید را در نخستین نشانه از رفتار مخرب سریعاً مهار میکنند.
استفاده از آنتیویروس قدیمی غالباً مستلزم پیکربندی و مدیریت پیچیده است. راهکارهای حفاظت در برابر بدافزار پیشرفته تمام آیتمهای پیشگیری، تشخیص و پاسخ را در یک راهکار ارائه میدهند و عموماً بسیار خودکار هستند. همچنین پلتفورمهای داخلی و باز آنها روندهای کاری بسیار سادهتر و کارآمدتر را میسر میسازند.