Odpowiedź na to pytanie powinien dzisiaj znać każdy, kto obcuje z komputerami. Odpowiadając, oprogramowanie potocznie nazywane „antywirem”, to nic innego jak specjalistyczna aplikacja instalowana na stacjach roboczych, które jak wskazuje sama nazwa z założenia powinna chronić nas przed złośliwym oprogramowaniem – potocznie nazywanym w środowisku użytkowników „wirusem”. Wydaje się to nieprawdopodobne, ale pierwszy wirus, z zasięgiem o dużej skali, powstał na platformie Apple II. Wirus miał nazwę Elk Cloner i w 1982 roku rozprzestrzeniał się infekując przechowywany na dyskietkach system operacyjny. Uruchomienie komputera z zainfekowanej dyskietki aktywowało kopię wirusa. Ten nie miał niszczycielskiego działania. Infekował wkładane do stacji dyskietki oraz wyświetlał na ekranie różne informacje.
Z biegiem lat wirusy przybierały różne formy i metody działania. Pojawiały się takie, które potrafiły robić psikusy użytkownikom wyświetlając na ekranie różne linie, obrazki itp. Były też takie, które niszczyły i kradły dane oraz szpiegowały użytkowników umożliwiając atakującemu przejęcie zdalnej kontroli nad komputerem (tzw. koń trojański zwany trojanem komputerowym). W Polsce pierwsze wirusy komputerowe zaczęły się pojawiać w latach 90’tych. Wtedy jeszcze mało kto wiedział i myślał o bezpieczeństwie. Wśród użytkowników komputerów zaczęła dopiero pojawiać się świadomość ich występowania. Każdy kto chciał wtedy chronić komputer zapewne doskonale pamięta początki słynnego polskiego antywirusa MKS-Vir wydanego w 1987r. na system operacyjny MS-DOS. Antywir był zainstalowany na dyskietkach, które wkładało się do komputera w celu przeskanowania go pod kątem wystąpienia wirusów. Jaką wtedy czuliśmy wielką ulgę, kiedy po skanowaniu dowiedzieliśmy się, że naszemu drogocennemu komputerowi nic już nie zagrażało. Od tego czasu oczywiście wiele się z zmieniło zarówno po jednej (wirusy) jak i drugiej (antywitusy) stronie. Wirusy stały się coraz bardziej groźne, wysublimowane, targetowane na określone aplikacje, czy wręcz oprogramowanie antywirusowe. Swoją drogą najciekawsze wirusy jakie teraz powstają to nie te, które używają najnowszych metod, lecz zmodyfikowane stare wirusy napisane w assemblerze.
Historia robi swoje i przyzwyczajenie niestety też. Dlatego współczesne bezpieczeństwo na komputerze dla wielu z nas kojarzy często się tylko i wyłącznie z antywirusem i nie mamy pojęcia o innych bardzo groźnych zagrożeniach, które niekoniecznie mogą być wychwycone przez antywirusa.
W artykule Living off the Land opisywaliśmy współczesne metody ataków jakie obrali współcześni cyberprzestępcy. Takie działania wymuszają na Działach bezpieczeństwa w firmach stosowania coraz bardziej wyspecjalizowanego i dziedzinowego oprogramowania do wykrywania różnych metod ataków. Antywirusy stanowią jedynie ich część.
Współczesne antywirusy w firmach
Współczesne programy antywirusowe (AV) to już nie zwykłe programy, a rozbudowane systemy, które posiadają komponenty realizujące wyspecjalizowane funkcje wykrywania złośliwego oprogramowania np. sandboxing, EDR, HIPS, czy ATP. Oprogramowanie antywirusowe, które używamy w domu na komputerze stanowi jedynie wycinek takiego systemu i zapewnia podstawowe zabezpieczenie systemu operacyjnego. Dodatkowe komponenty antywirusów dostępne są w specjalnych wersjach dla korporacji (tzw. wersje Enterprise). Jako zwykli użytkownicy komputerów możemy liczyć jedynie na minimalną ochronę w postaci podstawowego antywirusa zawierającego najczęściej dwa moduły:
– Skaner, który bada pliki na żądanie lub co jakiś czas. Przeszukuje zawartość dysku i może typować pliki zawierające podejrzany kod na podstawie heurystyki.
– Monitor, który w sposób automatyczny bada pliki i służy do kontroli bieżących operacji komputera.
Oprogramowanie antywirusowe dowiaduje się o nowych zagrożeniach na podstawie aktualizacji definicji nowo odkrytych wirusów (tzw. bazy sygnatur), które często wykonuje na bieżąco przez pobranie ich z Internetu. Niektóre AV’y posiadają zaszczepione funkcje uczenia maszynowego pozwalające wyszukać podejrzane wzorce zachowań procesów/programów w systemie.
Ponadto AV’y często także posiadają zaporę sieciową, moduły do kontroli załączników w poczcie elektronicznej i plików pobieranych z sieci, moduł wykrywania i zapobiegania włamaniom, skaner pamięci i zabezpieczenia MBR. Te dodatkowe moduły w celu zwiększenia ochrony są często rozbudowywane w firmach o osobne rozwiązania instalowane w infrastrukturze IT.
Współczesne programy antywirusowe korzystają również z chmury obliczeniowej, co umożliwia im przyspieszoną reakcję na nowe zagrożenia jeszcze przed wydaniem zaktualizowanej definicji wirusów.
Jeśli chodzi o producentów programów antywirusowych to jest ich kilkunastu na rynku. Mamy tutaj naprawdę duży wybór. Producenci prześcigają się głównie w dodatkowych funkcjonalnościach oferowanych w modułach (np. sandboxing, EDR i inne) i współpracą z innymi komponentami do bezpieczeństwa w taki sposób, aby jeszcze bardziej zapewnić bezpieczeństwo infrastruktury IT.