Antivir – stačí nebo nestačí?

26. července 2022

Autor: Věra Papírníková
Doba čtení: 8 minut.

Kybernetické hrozby jsou čím dál chytřejší, cílenější a tím také nebezpečnější. Tradiční antivirové programy bohužel nedokážou s těmito hrozbami držet krok. A co je řešením? Kvalitní a komplexní ochrana Vašeho IT. Jednoduše řečeno.

Ideální je začít od sofistikovaného zabezpečení koncových bodů, které využívá nejnovější techniky a funkcionality, jako je strojové učení a aktivní zmírňování důsledků útoků. A jaké díry nám po zabezpečení koncových bodů ještě zůstanou? Pokud se spoléháte jen na antivirus, pak je tento článek vhodný právě pro Vás. Popíše Vám, na co všechno antivirové programy nestačí.

Antivirová řešení nám při řešení známých hrozeb pomáhají už dlouhou dobu a ukázala se jako velmi účinná. Naneštěstí se prostředí hrozeb neustále vyvíjí, takže spoléhání se na tradiční antivirové techniky již nestačí k jejich zastavení, například zatím neznámý malware nebo cílené a kombinované útoky, na ty prostě nestačí. Nedávný průzkum společnosti Sophos mezi IT manažery ukázal, že 68 % organizací bylo za poslední rok obětí kybernetického útoku a v průměru byly zasaženy dvakrát. Jednoduše řečeno, potřebujete ochranu koncových bodů, která kombinuje tradiční funkce s funkcemi nové generace, které jsou navrženy tak, aby zastavily nejnovější útoky.

Silné stránky tradičního antiviru

Detekce malwaru založená na signatuře je vysoce účinná při identifikaci a blokování malwaru, který byl již dříve viděn a antivir ho tedy zná (má tzv. signaturu.). Je účinný proti spustitelným souborům, ale může být použit i k detekci škodlivých JavaScriptů na webových stránkách.

Uzamčení aplikace zastaví škodlivé chování aplikací, jako je například příkaz PowerShell, který se pokouší nainstalovat jinou aplikaci a spustit ji.

Webová ochrana a kontrola identifikuje a blokuje známé škodlivé webové stránky a umožňuje správcům řídit, které typy souborů mohou uživatelé stahovat. Blokuje také komunikaci se známými C2 (příkazové a řídicí servery).

Prevence ztráty dat detekuje soubory, které se útočníci pokoušejí tajně stáhnout a zablokuje je. Dělá to pomocí monitoringu různých typů citlivých dat.

Problémové oblasti pro tradiční antivirus

Neznámý malware, tedy malware bez signatury (včetně polymorfního a metamorfního*), je schopen změnit svou signaturu, aby se vyhnul na nich založené ochraně. Některá tradiční antivirová řešení mají techniky, které pomáhají detekovat tento typ malwaru, nejsou ale příliš spolehlivá. Rychlost, s jakou je produkován nový, dosud neviděný malware, je obrovská a tento problém se dále zhoršuje, pro tradiční antiviry je tak téměř nemožné udržet s vývojem malware krok.

A co ještě potřebujete? Funkce strojového učení, které dokážou identifikovat a blokovat malware bez signatury. Strojové učení se dívá na chování souboru a porovnává jeho „DNA“ s miliony vzorků, aby pochopilo, které chování je škodlivé a které neškodné. Takže i když škodlivý soubor nikdy předtím neviděl, může být usvědčen a zablokován. Tento automatizovaný přístup je vysoce účinný při detekování velkého množství nového malwaru.

Útoky bez souborů – založené na paměti jsou mimořádně nebezpečné pro řešení spoléhající na detekci založenou na signaturách a pravidlech. Protože nepřicházejí jako spustitelný soubor, je pro tuto detekci obtížné je identifikovat. Zde vstupuje do hry Host Intrusion Prevention Systems (HIPS), který je ale méně účinný než moderní postupy. Tyto typy útoků jsou stále rozšířenější a častější, jak ukazují nedávné příklady včetně Emotet, Trickbot a Ryuk.

*)
Polymorfní virus je typ malware, který sám sebe šifruje podle variabilního šifrovacího klíče a žádná jeho kopie není stejná. Detekuje se pomocí algoritmu vstupního bodu a technologie generického popisu. Příklady: WannaCry, CryptoLocker, Virlock nebo CryptXXX.

Metamorfní virus se nemění na základě šifrovacího klíče, ale sám přepisuje svůj kód, a tak se pokaždé zobrazí jinak, je také s každou verzí sofistikovanější. Obecně se dá říct, že metamorfní vir je složitější vytvořit a k jeho rozpoznání se používá geometrická detekce a emulátory pro sledování.

Ochrana proti polymorfním a metamorfním malware:

  1. Opravte zranitelnosti, o kterých víte – nahraďte jednoduchá hesla, nebo jedno heslo, které se používá pro přístup do všeho a pokud nemáte, zaveďte 2faktor.
  2. Proškolte sebe i zaměstnance! Je důležité, aby zaměstnanci věděli, jak rozpoznat a odolat phishingu, který otevírá dveře pro polymorfní a metamorfní malwarové útoky.
  3. Aktualizujte pravidelně všechny SW, včetně operačních systémů, a pořiďte si kvalitní a aktuální antivir.
  4. Kontaktujte profesionální IT firmu, která udělá analýzu rizik a navrhne komplexní sadu nástrojů pro Vaše bezpečné IT.