Jak pokonać cyberprzestępcę programem antywirusowym?

Codziennie powstają dziesiątki tysięcy nowych zagrożeń, a niebezpieczeństwo czai się w Internecie niemal na każdym kroku. Program antywirusowy w dzisiejszych czasach nie tylko musi sobie radzić z wykrywaniem i leczeniem coraz bardziej skomplikowanych infekcji, ale także zapewniać codzienną ochronę przed tym, co jeszcze nieznane. Cóż więc z tego, że baza sygnatur zawiera miliony starych wpisów, jeśli program nie jest w stanie wykryć żadnej nowej modyfikacji danego trojana? Cóż z tego, że w bazach sygnatur znajdują się informacje o danym wirusie, jeśli program antywirusowy nie potrafi go wyleczyć ani usunąć szkód, które wyrządził? Wreszcie, jaki pożytek z programu, który zna sygnatury zagrożeń, ale nie potrafi zapobiec ich instalacji w systemie? 

W tym świetle skanowanie na podstawie sygnatur – choć nadal powszechnie stosowane przez wszystkie rozwiązania antywirusowe – jest tylko kroplą w morzu i samo z siebie nie jest w stanie zapewnić odpowiedniej ochrony. Powoli również staje się jasne, że jeśli nowych zagrożeń będzie wciąż przybywać w podobnym tempie, bazy sygnatur szybko urosną do monstrualnych rozmiarów, a dodawanie nowego rekordu dla każdego z nich stanie się niemal niewykonalne.

Już teraz można zauważyć, że środek ciężkości powoli przesuwa się w stronę mechanizmów heurystycznych i ochrony proaktywnej, wchodzą też w życie zupełnie nowe, alternatywne metody protekcji, takie jak na przykład sandboxing, czyli uruchamianie aplikacji w bezpiecznym środowisku. 

Inną dyskusyjną kwestią jest metodologia wykonywania testów skanowania na żądanie. Bazy antywirusów zawierają obecnie miliony sygnatur, które chronią przed setkami milionów zagrożeń. Aby test można było nazwać rzetelnym, konieczne byłoby przeprowadzenie go na odpowiednio dużej, „reprezentatywnej” kolekcji wirusów. Powinna ona zawierać zagrożenia aktualne, z różnych rejonów świata, różnorodne ale o podobnym stopniu szkodliwości. Każdy plik powinien zostać zweryfikowany pod względem funkcjonalności – niedziałające próbki w ogóle nie powinny być brane pod uwagę.

Jednak przygotowanie takiej kolekcji byłoby niezmiernie czasochłonne, więc w kolekcjach wirusów używanych przez testerów często można znaleźć duży odsetek plików uszkodzonych, tekstowych, bądź fałszywych alarmów – słowem: niegroźnych śmieci. Ponadto nawet w przypadku najbardziej starannej kolekcji i najbardziej profesjonalnej metodyki trzeba się liczyć z wystąpieniem „błędu statystycznego”, nie można też zapominać o fakcie, że skanowanie na podstawie sygnatur jest jedną z wielu składowych kompleksowej ochrony.

Polecamy: Jakie są wady i zalety chmury antywirusowej?

Współczesny Internet obfituje w różnego rodzaju zagrożenia. Od współczesnych rozwiązań antywirusowych oczekuje się więc dużo więcej, niż prostego zabezpieczenia przed wirusami. Kompleksowa ochrona komputera powinna być wyposażona w moduł heurystyczny i proaktywny, obejmować takie elementy, jak zapora sieciowa, filtr antyspamowy, kontrola rodzicielska czy ochrona tożsamości, a także posiadać inne przydatne funkcje, np. przywracania systemu i danych bądź, uruchamiania aplikacji w bezpiecznym środowisku.

Wszystkie te elementy, a także wiele innych – mniej ważnych (interfejs, dokumentacja, pomoc techniczna), powinny być brane pod uwagę przy testowaniu tego rodzaju oprogramowania.

Polecamy: Jakie są plusy i minusy VOiP?