Interview: Den traditionelle signaturbaserede antivirus-bekæmpelse bliver med jævne mellemrum erklæret for død.
Det er nok en overdrivelse, at der ikke længere skal være lokal software på de enkelte computere, som bliver forsynet med signatur-opdateringer. Men set i lyset at de mange it-trusler er det langt fra nok med en sikkerhedsopdatering en gang om ugen eller måneden.
Læs også: Ineffektiv og gammeldags: Har antivirus overhovedet nogen fremtid?
Derfor har mange af sikkerhedsfirmaerne også valgt at rykke skyen ind som et supplement til den gode gamle signaturbaserede antivirusbeskyttelse.
Fordelen ved at anvende cloud-baseret sikkerhed er, at regnekraften er enorm, og at sikkerhedsopdateringer kan distribueres meget hurtigt ud på de enkelte klienter.
Ulempen er, at en pc også anvendes uden internet-adgang. Online-tilstedeværelsen er ellers et ret naturligt krav i forbindelse med cloud-sikkerheden.
Derfor er antivirusbeskyttelse fra de fleste producenter også baseret på en kombination af de to teknologier.
Der er således stadig en lokal klient, der opdateres i samspil med den enorme pulje af sikkerhedstiltag, man kan hente ude af skyen.
Computerworld har talt med sikkerhedsfirmaet Bitdefender om, hvordan en software-leverandør løser opgaven. Andre producenter anvender naturligvis deres egen teknologi, men med mange af de samme kendetegn og arbejdsrutiner.
Du kan i øvrigt selv vurdere de forskellige antivirusprodukter ud fra denne test: Stortest af 22 programmer: Her er det bedste antivirusprogram lige nu.
Lokale værktøjer
Der er mange forskellige teknologier tilknyttet opdagelsen og destruktionen af ondsindet kode, men på lokalmaskinen er det primært to hovedområder, der jagter malware.
"Man skal nemlig skelne mellem de lokale - og cloud-teknologierne," fortæller Bo Skeel, der kalder sig selv for sikkerheds-evangelist i firmaet Bitdefender.
De lokale programmer er baseret på den ældste teknologi.
"Det er vigtigt, at se på hvordan brugeren opfører sig. Når der startes en proces af operativsystemet, som man ikke kender fra tidligere, kan man gelejde den hen i en virtuel maskine eller sandkasse, hvor man kan analysere under sikre forhold. "
Typisk tildeles uregelmæssigheder points - som man kender det fra spam - efter en sikkerhedsskala, der så kan udløse en handling.
"Hvis en operation udgør en fare - det kunne være at skanne efter tilgængelige filområder - så bliver operativsystemet instrueret om at blokere den."
Det handler altså om at være en lille smule foran operativsystemets arbejde.
"Ved at være på forkant kan antivirusprogrammet fortælle operativsystemet, at der skal lukkes for ondsindede handlinger."
Ligeledes er det normalt at have en mere traditionel signaturbaseret løsning på lokalmaskinen.
Det er en stopklods for den malware, der allerede er kendt, og så giver den en offline-beskyttelse af maskinen eksempelvis i forbindelse med, at en USB-nøgle sættes i porten.
"Det er overvågning i realtid ud fra kendte parametre, men det er ikke en rigtig proaktiv handling, som en cloud-tjeneste er det," siger Bo Skeel.
"Men det er eksempelvis effektivt i forbindelse med ransomware. Programmet kan således også overvåge, om filområder bliver gennemsøgt, om der sker en kryptering og eventuelt stoppe den. Man kan godt stoppe en proces, der er i gang."
Så signaturen er ikke død?
"Når man kender en malware, så bliver den registreret, og maskinen bliver beskyttet ud fra den viden. Som enkeltstående sikkerhedsmodel er den død, men den anvendes i samspil med anden teknologi."
Læs også: Sikkerheds-mareridt venter: Dine pivåbne it-systemer kan hverken lappes eller opgraderes
Machine learning i skyen
Ved at koble skyen på den lokale maskine åbnes for en række fordele på sikkerhedssiden.
Man kan tilføje en masse teknologi, regnekraft og en hurtig distributionskanal.
Det nederste lag i sky hierarkiet er en række webtjenester, der registrerer og informerer omkring skadeligt indhold på internettet.
"For eksempel kan vi nu registrere og advare mod enhver spambølge på nettet indenfor ti sekunder. Vi modtager også alle nye links, som Google indekserer og undersøger derefter om disse sider indeholder phishing forsøg eller andet tvivlsomt, således at vi få sekunder efter kan advare vores brugere."
Lidt mere avanceret er det næste lag kaldet machine learning eller kunstig intelligens, om man vil.
Det handler om, at software bliver klogere ud fra tidligere erfaringer og kan drage konklusioner ud fra den viden i samspil med algoritmer.
De forskellige producenter anvender deres egne algoritmer, som de vogter over som en vagthund.
"Det handler samlet set om at tage nogle beslutninger eller forudsigelser uden at følge en statisk programinstruktion," forklarer sikkerhedsmanden.
Det er en automatiseret proces, der kan udnyttes med skyens regnekraft i baghånden.
Den malware, der analyseres i skyen, samles blandt andet sammen via 'kode-magneter', som sikkerhedsfirmaerne planter på nettet. De tiltrækker alt, hvad de kan komme i nærheden af.
Ligeledes trækker man også informationer fra de enkelte maskiner ud i skyen, og analyserer på dem.
Typisk vil brugerne af et antivirusprogram også acceptere at dele disse data med producenterne.
"Når der uploades eksempler, er det ikke hele Word-filen, men kun den bid, der ser mystisk ud. På den måde holdes datatrafikken i kort snor. For vores vedkommende bliver det dog alligevel til 400 terabyte data i døgnet."
Enorme databaser på vej ud
Udfordringen for producenterne er så at skabe logik og fornuft ud af de indsamlede data.
"Den enkelte computer kan altså lave en forespørgsel i skyen. Når man fanger et uønsket mønster fra en adressat (afsender, red.), kan man så lukke ned for problemet med det samme via nettet," fortæller Bo Skeel.
En af udfordringerne ved de mange data er, at de databaser, som informationerne gemmes i, bliver enorme.
Derfor arbejder sikkerhedsfirmaerne ofte med at behandle de enkelte forespørgsler løbende uden at gemme alle data.
"I dag er det faktisk hurtigere og mere sikkert at spørge skyen end at spørge lokalt."
Moderne sikkerhed i skyen handler altså om at analysere data fra internettet og brugerne (næsten) i realtid i skyen.
De forskellige producenter adskiller sig så fra hinanden ved at udvikle forskellige algoritmer til databehandling og beslutningstagning.
