Körbejárta a világsajtót a neves Symantec vírusírtó cég alelnökének minap tett sarkos nyilatkozata: a vírusirtás halott. Valójában azonban az antivírus-megoldásoknak már 15 éve halottnak kellene lenniük. Legalábbis dr. Alan Solomon, az egyik úttörő vírusirtó cég megalapítója már ekkor ugyanezt a kijelentést tette. A valóság persze sokkal árnyaltabb.
Körbejárta a világsajtót a neves Symantec vírusírtó cég alelnökének minap tett sarkos nyilatkozata: a vírusirtás halott. Valójában azonban az antivírus-megoldásoknak már 15 éve halottnak kellene lenniük. Legalábbis dr. Alan Solomon, az egyik úttörő vírusirtó cég megalapítója már ekkor ugyanezt a kijelentést tette. A valóság persze sokkal árnyaltabb.
Bármikor, amikor új típusú kártevők jelennek meg, néhányan rámutatnak az antivírustermékek hibáira, és a kritikus gyengeségeiket okolják. A hangadók között találhatunk akár neves biztonsági szakembereket is. De a vírusirtás még mindig él és virul, hiába jósolták halálát sokan.
A hagyományos, a kártevőket azok visszafejtése alapján felismerő (úgynevezett szignatúra alapú) vírusirtás szerepe valóban csökkent az idő során. Akár azt is kijelenthetjük, hogy amikor az első, a vírusokat azok viselkedése alapján felismerő (úgynevezett heurisztikus) technológiák megjelentek, akkor a kizárólag hagyományos technológiákat alkalmazó vírusirtó szoftverek korszakának vége szakadt.
A két megközelítés közötti fő különbség az, hogy a szignatúra alapú felismeréshez pontosan ismerni kell magát a kártevőt (mintát kell belőle szerezni, majd ennek működését visszafejteni, és az ellenszert elkészíteni), míg a heurisztikus működésnek „csak” annyit kell felismernie, hogy egy adott kód úgy viselkedik, ahogyan a vírusok szoktak.
Alapvető védelmi vonal
A vírusirtás halott fogalmazás könnyen félreértelmezhető, ha rossz összefüggésbe helyezzük. Ez a kijelentés a Symantec üzleti ügyfelek felé irányuló marketingstratégiájának része volt. Valójában semmi újdonság nincs abban, hogy az antivírus-megoldások az alapvető védekezést jelentik a közönséges fenyegetések ellen. De Brian Dye egyáltalán nem úgy értette, hogy az antivírus-megoldások feleslegesek. Csak annyit mondott, hogy egy cég informatikai infrastruktúrájának megvédéséhez többre van szükség, mint egy vírusirtóra. És ez kétségtelenül igaz. Ma a vállalati biztonság megtervezésében a vírusirtó szoftver használata egy kisebb, de alapvetően szükséges tételként szerepel, és a hálózat védelmét, a hálózati forgalom figyelését több rendszer intelligens együttműködésével lehet megvalósítani.
Az ingyenes akár megtévesztő is lehet
Egészen más a helyzet a magánfelhasználók értelmezésében. Ebben az esetben a vírusirtás halott kijelentés a régimódi, de még mindig erős alapokon nyugvó szignatúra alapú felismerésre utal. Néhány évtizeddel ezelőtt az antivírustermékek egy (vagy kettő) keresőmotorra támaszkodtak, amelyek szignatúrákat használtak a kártékony kódok megkereséséhez. Ezeknek az időknek valóban vége. Ahogy a fenyegetések egyre bonyolultabbakká váltak, a keresőtechnológiák alkalmazkodtak az új kihívásokhoz. Ma már minden főbb antivírustermék kombinálja a hagyományos, szignatúra alapú felismerést a bonyolultabb dinamikus védelemmel. A német G Data termékei például magukban foglalják a webforgalom szűrését, az adathalászat elleni védekezést, az e-mail védelmet és a viselkedésblokkolót is, több felhő alapú technológia mellett.
Sajnálatos tény, hogy a felhasználók többsége nincs tisztában azzal, hogy az ingyenes vírusirtó szoftverek többségéből ezek a technológiák részben hiányoznak. Márpedig webszűrő vagy rootkit-védelem nélkül egyetlen vírusirtó szoftver sem nyújt teljes védelmet. Így mialatt az ingyenes vírusirtó szoftvereket tapasztalatlan otthoni felhasználók tömege használja, valójában olyan hozzáértők kezébe valók, akik a hiányzó funkciókat képesek más szoftverekkel pótolni.
A fent említett általános védekezési technológiák mellett pedig sorra jelennek meg azok a kiegészítő eljárások, melyek a speciális fenyegetések elleni védelmet biztosítják. Ilyen például a trójaiak ellen a böngészők felügyeletével védelmet nyújtó BankGuard, az ExploitProtection vagy a KeyloggerProtection. A vírusirtás halott kijelentés tehát csak az olyan termékek esetében igaz, amelyeknél a gyártó nem változtatott a felismerési módszereken az elmúlt években, de egyáltalán nem igaz az élvonalbeli vírusirtó szoftverekre.
Ha nem a vírusirtó, akkor mi?
Úgy tűnik, hogy van egy alapvető bizalmatlanság az antivírus-megoldások hatásosságával kapcsolatban. Néhányan azt mondják, hogy a vírusirtók hasztalanok vagy akár veszélyesek is. Ez egyáltalán nem igaz.
Az internetezők folyamatosan számos fenyegetésnek vannak kitéve. Hogy hiheti bárki is, hogy jobb lenne leengedett páncéllal számítógépezni? A vírusirtó cégek naponta átlagosan 300 ezer gyanús mintát dolgoznak fel. Az eredmények bekerülnek a reaktív szignatúra alapú felismerésbe, valamint a proaktív viselkedési szabályok közé. A vírusirtó megoldások gyártói szintén figyelnek és elemeznek egy szélesebb fenyegetettségi térképet, és speciális megoldásokat fejlesztenek, amelyek hatékonyan védenek a nagyobb támadások ellen. Ezres nagyságrendekben mérhető támadást blokkolnak minden egyes nap, és nem ritka, hogy a gyártók egymással is együttműködnek. Emellett néha persze hibázhatnak is, de az esetek többségében megelőzik a támadásokat.
hirado