A vírusirtás halott – ezúttal a Symantec alelnöke szerint. Valójában azonban az antivírus-megoldásoknak már 15 éve halottnak kellene lenniük. Legalábbis dr. Alan Solomon, az egyik úttörő vírusirtó cég megalapítója már ekkor ugyanezt a kijelentést tette. A valóság azonban ennél sokkal árnyaltabb – hívja fel a figyelmet a G Data.

Bármikor, amikor új típusú kártevők jelennek meg, néhányan rámutatnak az antivírustermékek hibáira, és a kritikus gyengeségeiket okolják. A hangadók között találhatunk akár neves biztonsági szakembereket is. Azonban csodák-csodája, a vírusirtás még mindig él és virul, hiába jósolták halálát olyan sokan.

A hagyományos, a kártevőket azok visszafejtése alapján felismerő (úgynevezett szignatúra alapú) vírusirtás szerepe valóban csökkent az idő során. Akár azt is kijelenthetjük, hogy amikor az első, a vírusokat azok viselkedése alapján felismerő (úgynevezett heurisztikus) technológiák megjelentek, akkor a kizárólag hagyományos technológiákat alkalmazó vírusirtó szoftverek korszakának vége szakadt. A két megközelítés közötti fő különbség az, hogy a szignatúra alapú felismeréshez pontosan ismerni kell magát a kártevőt (mintát kell belőle szerezni, majd ennek működését visszafejteni, és az ellenszert elkészíteni), míg a heurisztikus működésnek „csak” annyit kell felismernie, hogy egy adott kód úgy viselkedik, ahogyan a vírusok szoktak.

„Néhány nappal ezelőtt, amikor Brian Dye, a Symantec információbiztonsági alelnöke a The Wall Street Journalnak adott interjúja során kijelentette, hogy a vírusirtás halott, valójában ugyanarra gondolt, amire Alan Solomon is rámutatott 15 évvel ezelőtt: a vírusirtás mindig is a fejlődés állapotában van, és gyakran kerül sor technológiaváltásra” – hangsúlyozza Eddy Willems, a G Data biztonsági evangélistája, az AMTSO és az EICAR szervezetek igazgatótanácsának tagja.

Alapvető védelmi vonal 

Sajnálatos módon azonban a vírusirtás halott főcím könnyen félreértelmezhető, ha rossz összefüggésbe helyezzük. Ez a kijelentés a Symantec üzleti ügyfelek felé irányuló marketingstratégiájának része volt. Valójában semmi újdonság nincs abban, hogy az antivírus-megoldások az alapvető védekezést jelentik a közönséges fenyegetések ellen. De Brian Dye egyáltalán nem úgy értette, hogy az antivírus-megoldások feleslegesek. Csak annyit mondott, hogy egy cég informatikai infrastruktúrájának megvédéséhez többre van szükség, mint egy vírusirtóra. És ez kétségtelenül igaz. Ma a vállalati biztonság megtervezésében a vírusirtó szoftver használata egy kisebb, de alapvetően szükséges tételként szerepel, és a hálózat védelmét, a hálózati forgalom figyelését több rendszer intelligens együttműködésével lehet megvalósítani.

Az ingyenes akár megtévesztő is lehet 

Azonban a szituáció teljesen más a privát felhasználók értelmezésében. Ebben az esetben a vírusirtás halott kijelentés a régimódi, de még mindig erős alapokon nyugvó szignatúra alapú felismerésre utal. Néhány évtizeddel ezelőtt az antivírustermékek egy (vagy kettő) keresőmotorra támaszkodtak, amelyek szignatúrákat használtak a kártékony kódok megkereséséhez. Ezeknek az időknek valóban vége! Ahogy a fenyegetések egyre bonyolultabbakká váltak, a keresőtechnológiák alkalmazkodtak az új kihívásokhoz. Ma már minden főbb antivírustermék kombinálja a hagyományos, szignatúra alapú felismerést a bonyolultabb dinamikus védelemmel. A német G Data termékei például magukban foglalják a webforgalom szűrését, az adathalászat elleni védekezést, az e-mail védelmet és a viselkedésblokkolót is, több felhő alapú technológia mellett.

Sajnálatos tény, hogy a felhasználók többsége nincs tisztában azzal, hogy az ingyenes vírusirtó szoftverek többségéből ezek a technológiák részben hiányoznak. Márpedig webszűrő vagy rootkit-védelem nélkül egyetlen vírusirtó szoftver sem nyújt teljes védelmet. Így mialatt az ingyenes vírusirtó szoftvereket tapasztalatlan otthoni felhasználók tömege használja, valójában olyan hozzáértők kezébe valók, akik a hiányzó funkciókat képesek más szoftverekkel pótolni.

A fent említett általános védekezési technológiák mellett pedig sorra jelennek meg azok a kiegészítő eljárások, melyek a speciális fenyegetések elleni dedikált védelmet biztosítják. Ilyen például a trójaiak ellen a böngészők felügyeletével védelmet nyújtó BankGuard, az ExploitProtection vagy a KeyloggerProtection. A vírusirtás halott kijelentés tehát csak az olyan termékek esetében igaz, amelyeknél a gyártó nem változtatott a felismerési módszereken az elmúlt években, de egyáltalán nem igaz az élvonalbeli vírusirtó szoftverekre.

Ha nem a vírusirtó, akkor mi? 

A médiában könnyű főcímeket gyártani sarkos kijelentésekkel, és úgy tűnik, hogy van egy alapvető bizalmatlanság az antivírus-megoldások hatásosságával kapcsolatban. Néhányan azt mondják, hogy a vírusirtók hasztalanok vagy akár veszélyesek is. Ez egyáltalán nem igaz.

Az internetezők folyamatosan számos fenyegetésnek vannak kitéve. Hogy hiheti bárki is, hogy jobb lenne leengedett páncéllal számítógépezni? A vírusirtó cégek naponta átlagosan 300 ezer gyanús mintát dolgoznak fel. Az eredmények bekerülnek a reaktív szignatúra alapú felismerésbe (naponta körülbelül 8-10 ezer új szignatúrát tölt le a védelmi szoftverünk), valamint a proaktív viselkedési szabályok közé. A vírusirtó megoldások gyártói szintén figyelnek és elemeznek egy szélesebb fenyegetettségi térképet, és speciális megoldásokat fejlesztenek, amelyek hatékonyan védenek a nagyobb támadások ellen.

Ezres nagyságrendekben mérhető támadást blokkolnak minden egyes nap, és nem ritka, hogy a gyártók egymással is együttműködnek. Emellett néha persze hibázhatnak is, de az esetek többségében megelőzik a támadásokat. Úgyhogy ki lehet jelenteni, hogy a teljes körű, naprakész antivírustermékek jelentik a kártevők elleni legjobb védekezést, amelyhez ma egy felhasználó hozzájuthat. Az antivírustermékek evolúciója pedig tovább folytatódik.