Bármikor, amikor új típusú kártevők jelennek meg, néhányan rámutatnak az antivírus-termékek hibáira, és a kritikus gyengeségeiket okolják. A hangadók között találhatunk akár neves biztonsági szakembereket is. Azonban csodák-csodája, a vírusirtás még mindig él és virul, hiába jósolták halálát olyan sokan.
A hagyományos, a kártevőket a visszafejtésük alapján felismerő (szignatúra alapú) vírusirtás szerepe valóban csökkent az évek során. Akár azt is kijelenthetjük, hogy amikor az első, a vírusokat a viselkedésük alapján felismerő (heurisztikus) technológiák megjelentek, akkor a kizárólag hagyományos módszereket alkalmazó vírusirtó szoftverek korszakának vége szakadt. A két megközelítés közötti fő különbség az, hogy a szignatúra alapú felismeréshez pontosan ismerni kell magát a kártevőt (mintát kell belőle szerezni, majd ennek működését visszafejteni, és az ellenszert elkészíteni), a heurisztikus működésnek „csak” annyit kell felismernie, hogy egy adott kód úgy viselkedik, ahogyan a vírusok szoktak.
„Néhány nappal ezelőtt, amikor Brian Dye, a Symantec információbiztonsági alelnöke a The Wall Street Journalnak adott interjújában kijelentette, hogy a vírusirtás halott, valójában ugyanarra gondolt, amire Alan Solomon is rámutatott 15 évvel ezelőtt: a vírusirtás mindig is a fejlődés állapotában van, és gyakran kerül sor technológiaváltásra” – hangsúlyozza Eddy Willems, a G Data biztonsági evangélistája.
Alapvető védelmi vonal
Sajnálatos módon azonban a vírusirtás halott főcím könnyen félreértelmezhető, ha rossz összefüggésbe helyezzük. Ez a kijelentés része volt a Symantec üzleti ügyfelei felé irányuló marketingstratégiájának. Valójában semmi újdonság sincs abban, hogy az antivírus-megoldások az alapvető védekezést jelentik a közönséges fenyegetések ellen. De Brian Dye egyáltalán nem úgy értette, hogy az antivírus-megoldások feleslegesek. Csak annyit mondott, hogy egy cég informatikai infrastruktúrájának megvédéséhez többre van szükség, mint egy vírusirtóra. És ez kétségtelenül igaz. Ma a vállalati biztonság megtervezésében a vírusirtó szoftver használata egy kisebb, de alapvetően szükséges tételként szerepel, és a hálózat védelmét, a hálózati forgalom figyelését több rendszer intelligens együttműködésével lehet megvalósítani.
Az ingyenes akár megtévesztő is lehet
Teljesen más a helyzet az egyéni használók értelmezésében. Ebben az esetben „a vírusirtás halott” kijelentés a régimódi, de még mindig erős alapokon nyugvó szignatúra alapú felismerésre utal. Néhány évtizeddel ezelőtt az antivírus-termékek egy (vagy két) keresőmotorra támaszkodtak, amelyek szignatúrákat használtak a kártékony kódok megkereséséhez.
Ezeknek az időknek valóban vége!
Ahogy a fenyegetések egyre bonyolultabbakká váltak, a keresőtechnológiák alkalmazkodtak az új kihívásokhoz. Ma már minden főbb antivírus-termék kombinálja a hagyományos, szignatúra alapú felismerést a bonyolult, dinamikus védelemmel. A német G Data termékei például magukban foglalják a webforgalom szűrését, az adathalászat elleni védekezést, az e-mail védelmet és a viselkedésblokkolót is – felhő alapú technológiák mellett.
A számítógép-használók többsége, sajnos, nincs tisztában azzal, hogy az ingyenes vírusirtó szoftverek többségéből ezek a technológiák részben hiányoznak. Márpedig webszűrő vagy rootkit-védelem nélkül egyetlen vírusirtó szoftver sem nyújt teljes védelmet. Így mialatt az ingyenes vírusirtó szoftvereket tapasztalatlan otthoni használók tömege telepíti az eszközeire, valójában olyan hozzáértők kezébe valók, akik a hiányzó funkciókat képesek más szoftverekkel megoldani.
Az említett általános védekezési technológiák mellett pedig sorra jelennek meg azok a kiegészítő eljárások, melyek a speciális fenyegetések elleni dedikált védelmet biztosítják. Ilyen például a trójaiak ellen a böngészők felügyeletével védelmet nyújtó BankGuard, az ExploitProtection vagy a KeyloggerProtection. „A vírusirtás halott” kijelentés tehát csak az olyan termékek esetében igaz, amelyeknél a gyártó nem változtatott a felismerési módszereken a múlt években, de egyáltalán nem igaz az élvonalbeli vírusirtó szoftverekre.
Ha nem a vírusirtó, akkor mi?
A médiában könnyű főcímeket gyártani sarkos kijelentésekkel, és úgy tűnik föl, hogy van egy alapvető bizalmatlanság az antivírus-megoldások hatásosságával kapcsolatban. Néhányan azt mondják, hogy a vírusirtók hasztalanok vagy akár veszélyesek is.
Ez egyáltalán nem igaz.
Az internetezők folyamatosan számtalan fenyegetésnek vannak kitéve. A vírusirtó cégek naponta átlagosan 300 ezer gyanús mintát dolgoznak fel. Az eredményeket beillesztik a reaktív szignatúra alapú felismerésbe (naponta körülbelül 8-10 ezer új szignatúrát tölt le a védelmi szoftverünk), valamint a károkozás-megelőző viselkedési szabályok közé. A vírusirtó megoldások gyártói szintén figyelnek és elemeznek egy szélesebb fenyegetettségi térképet, és speciális megoldásokat fejlesztenek, amelyek hatékonyan védenek a nagy támadások ellen. Ezerszámra blokkolják a vírustámadásokat; nem ritkaság, hogy a gyártók egymással is együttműködnek.
Emellett néha persze hibázhatnak is, de az esetek többségében megelőzik a támadásokat. Kijelenthető, hogy a teljes körű, naprakész antivírus-termékek védenek a leghatásosabban a kártevők ellen, miközben az antivírus-termékek fejlődése töretlenül folytatódik.
Ismert védekezési technológiák
# Szignatúra alapú (hagyományos) védelem
# Heurisztikus védelem
# Magatartás alapú védelem
# Felhő alapú, fájlreputáción alapuló védelem
# Felhő alapú, terjedési mintákon alapuló kitörésvédelem
# Böngészők integritásának védelme (BankGuard)
# ExploitProtection (sérülékenységek elleni védelem)
# Billentyűzetnaplózás elleni védelem
# Rootkitvédelem
# Kémprogramvédelem
# Webszűrés (webes forgalom vizsgálata)
# Adathalászat elleni védelem (felhő alapú)
# Tűzfalas védelem a hackertámadások ellen
# Levélszemét (spam) elleni védelem
# Azonnali üzenetküldés védelme
# Biztonsági tuning (biztonsági rések bezárás a számítógépen)
