Je antivirus v dnešní době ještě k něčemu?

Často slýcháme, že antivirové programy již patří minulosti, neboť moderní škodlivé kódy (malware) je dokážou snadno obejít. Podívejme se na tuto problematiku podrobněji.

Je antivirus v dnešní době ještě k něčemu?



Tradiční antivirový software je založen na signaturách. To znamená, že každý soubor analyzovaný antivirem je porovnáván s databází signatur, aby se zjistilo, zda není v seznamu známých škodlivých kódů.

Slabina tohoto způsobu vyhodnocení je patrná. Ochrana je pouze tak účinná, jak často se aktualizuje instalace antiviru na uživatelském PC, ale především jak rychle dokáže samotný výrobce antivirového řešení reagovat na nově vznikající hrozby a zařazovat je do databáze. I když jsou však aktualizace seberychlejší, vždy bude platit, že prvních několik (desítek tisíc) napadených uživatelů padne viru za oběť.

Protože identifikace a zanesení nových hrozeb do databází antivirových společností trvá obvykle méně než jeden den, říká se těmto hrozbám zero-day threats (hrozby nultého dne).

Proti hrozbám nultého dne se antiviroví výrobci snaží bojovat jinými způsoby, než prostřednictvím signatur. Obvyklou metodou je například behaviorální analýza, tedy zkoumání chování souboru.

Vyhodnocením množství příznaků je pak soubor označen za čistý nebo za podezřelý. Mezi příznaky patří například chování souboru vůči registrům, souborovým systémům a způsob komunikace do Internetu. Dnes už tedy prakticky neexistují antivirové systémy, které by se spoléhaly pouze na signatury.

V poslední době se na trhu objevují i antivirové nástroje zcela bez signatur. Některé jsou určeny jako doplněk tradičních antivirů a dokáží s nimi fungovat souběžně, jiné si kladou jako ambice zcela tradiční antivirus nahradit.

Tyto produkty fungují na bázi umělé inteligence, která se sama učí, čímž na sebe bere pracovní zátěž spočívající dosud na bedrech analytiků – zaměstnanců antivirových firem. Bez-signaturové systémy mají i další výhody. Například nejsou závislé na četnosti stahovaných aktualizací a vyznačují se velmi malými požadavky na paměť a místo na disku.

Globální hráči na antivirovém trhu, kteří určují trendy, mají produktové portfolio vybavené tak, aby dokázalo nabídnout co nejširší možnosti pro boj s internetovými hrozbami. Kromě tradiční ochrany na bázi signatur tak nabízejí behaviorální analýzu souborů, skenování umělou inteligencí i množství preventivních nástrojů (například blokování neznámých USB disků či nechtěných aplikací).

Příkladem je britská společnost Sophos, jejíž osvědčený a oceňovaný produkt Sophos Endpoit Protection je v současné době doplněn o bez-signaturový Sophos Clean, který je možné provozovat i souběžně s konkurenčním antivirovým řešením.

Sophos Clean má pouhých 11 MB a nevyžaduje instalaci. Můžete ho spustit přímo z USB disku. Více informací a zkušební licenci najdete zde. A odpověď na úvodní otázku? Ano, tradiční antivirus je stále smysluplnou výbavou IT infrastruktury, ale musí být doplněn o další, modernější nástroje.







Komentáře