OBALAMY MITY NA TEMAT OCHRONY ANTYWIRUSOWEJ – CZ.1
Kolejny raz w Akademii Internetu EXTEL BIZNES+ możemy nauczyć się czegoś od specjalistów z firmy G Data. Poniższy tekst jest początkiem cyklu wpisów dotyczących ochrony antywirusowej. Zapraszamy do lektury!
Jeszcze kilkanaście lat temu, złośliwe oprogramowanie określane jako aplikacje do umyślnego wyrządzania szkód na komputerach, było całkiem inaczej rozpoznawane przez antywirusy niż ma to miejsce dziś. Wirus, który został zainstalowany bez zgody właściciela urządzenia, czy oprogramowanie szpiegujące, które gromadzi informacje o użytkowniku, a także metadane o plikach – to typowe przykłady złośliwych programów, na które składają się także robaki, spyware, rootkity, itp. Jednak w porównaniu do poprzedniej dekady, współczesny malware jest dużo bardziej skuteczny i destrukcyjny w swoim działaniu. Jest to spowodowane zarówno powszechnym dostępem do Internetu jak i znacznie bardziej wyrafinowanymi atakami i metodami obejścia zabezpieczeń systemów, przeglądarek i programów antywirusowych.
Dzisiaj, najczęściej wykorzystywanymi narzędziami do ochrony przed wirusami są oczywiście skanery antywirusowe, których metody ochrony oparte są już nie tylko na detekcji złośliwego kodu na podstawie sygnatur (sygnatury określają charakterystyczną dla każdego złośliwego oprogramowania sekwencję bajtów), ale także na inteligentnych technologiach, sztucznej inteligencji oraz komputerowej sieci neuronowej.
Nie ma wątpliwości, że detekcja nieznanych zagrożeń na podstawie sygnatur zupełnie nie sprawdzi się w obecnym czasie, jednak jeszcze 15-20 lat temu była jedyną metodą wykrywania wirusów. I wbrew pozorom wcale nie taką zawodną. Mała liczba znanych złośliwych programów i jeszcze mniejsza liczba tych nieznanych nie wymagała od twórców programów antywirusowych zbyt wzmożonego wysiłku. Jednakże takie podejście do ochrony miało co najmniej 4 słabe punkty:
- Precyzyjne opracowanie wielu sygnatur wiązało się z zatrudnieniem odpowiedniej liczby osób w działach bezpieczeństwa.
- Nieznane szkodliwe oprogramowanie nie mogło zostać wykryte, jeśli nie opracowano odpowiedniej sygnatury.
- Czas pomiędzy wykryciem zagrożenia, a opracowaniem sygnatury działał na niekorzyść użytkowników. W tym czasie szkodliwe oprogramowanie mogło infekować tysiące komputerów na całym świecie i robić to dalej, do czasu dostarczenia sygnatury na komputer lokalny.
- Jeszcze w latach dziewięćdziesiątych XX wieku wirusy polimorficzne spędzały sen z powiek zespołom bezpieczeństwa firm antywirusowych. Nie istniała skuteczna metoda wykrywania szkodnika, który z każdym następnym uruchomieniem wykonywał za pomocą deskryptora zaszyfrowaną instrukcję w pamięci operacyjnej, infekował kolejne pliki i zmieniał swój kod źródłowy. Z kolei wirusy metamorficzne posiadały jeszcze bardziej złożone mechanizmy szyfrowania, co jak na ironię wpłynęło na opracowanie technologii emulowania podejrzanych aplikacji w systemie operacyjnym.
Współczesne metody do wykrywania szkodliwego kodu
Wykrywalność wirusów na podstawie sygnatur już dawno odeszła do lamusa, jednak nadal powtarzane są pewne stereotypy, jakoby antywirusy były nieskuteczne, a ich ochrona nie radziła sobie z zagrożeniami, które nie są znane producentowi oprogramowania zabezpieczającego.
Ochrona, która opiera się wyłącznie na bazie danych znanych wirusów, a więc pewnych kluczowych wzorcach, którymi mogą być np. konkretny fragment kodu lub też wynik analizy behawioralnej, już dawno przestała odgrywać pierwsze skrzypce. Jeszcze 20 lat temu, kiedy dostęp do internetu miały tylko nieliczne osoby, a wirusy na system operacyjny Windows 95 (wydany w sierpniu 1995 roku) były raczej wynikiem „sprawdzenia swoich sił” domorosłego hakera niż spowodowania szkód materialnych, metoda detekcji na podstawie sygnatur całkiem dobrze radziła sobie z ówczesnymi zagrożeniami.
Obecnie producenci AV podchodzą do ochrony zupełne inaczej. Po pierwsze, stworzono technologie do emulowania statycznego i dynamicznego „zachowania” w systemie nieznanych plików. Opracowano też metody ochrony, które czerpią pełnymi garściami z chmury obliczeniowej współgrając z lokalnie zainstalowanym antywirusem. Działanie takiego systemu jest bardzo skuteczne i wykorzystywane już niemal przez wszystkich producentów antywirusów. Serwery, które zawierają informacje o zagrożeniach, stronach phishingowych, a także witrynach, które dystrybuują szkodliwe oprogramowanie, wypełniają definicję systemów rozproszonych dając użytkownikom dostęp do najnowszych informacji o zagrożeniach (zanim te zostaną pobrane na lokalny dysk).
Większa moc obliczeniowa wielordzeniowych procesorów wpłynęła na opracowanie technologii wirtualizacji, która jest obecnie znacznie wydajniejsza i szybsza niż miało to miejsce jeszcze kilkanaście lat temu. Ponadto wielu dostawców produktów antywirusowych, mając na uwadze dobro użytkowników i walkę ze zorganizowanymi grupami cyberprzestępczymi, współpracuje ze sobą wymieniając się informacjami o zagrożeniach.
wszystkie części: 1 2
Jeśli chcesz dowiedzieć się więcej o G Data wejdź na www.gdata.pl
Akademia Internetu EXTEL BIZNES+ jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do kadry IT oraz zajmującej się zamówieniami usług dla biur. O nowych artykułach informujemy poprzez newsletter. Napisz do nas