Sådan beskytter et moderne antivirusprogram din computer

Behovet for it-sikkerhed vokser i lyntempo, og den gode gamle signaturbaserede antivirus er ikke længere god nok. Som erstatning kommer skyen til undsætning. Læs her, hvordan et moderne antivirusprogram virker.

Interview: Den traditionelle signaturbaserede antivirus-bekæmpelse bliver med jævne mellemrum erklæret for død.

Det er nok en overdrivelse, at der ikke længere skal være lokal software på de enkelte computere, som bliver forsynet med signatur-opdateringer. Men set i lyset at de mange it-trusler er det langt fra nok med en sikkerhedsopdatering en gang om ugen eller måneden.

Læs også: Ineffektiv og gammeldags: Har antivirus overhovedet nogen fremtid?

Derfor har mange af sikkerhedsfirmaerne også valgt at rykke skyen ind som et supplement til den gode gamle signaturbaserede antivirusbeskyttelse.

Fordelen ved at anvende cloud-baseret sikkerhed er, at regnekraften er enorm, og at sikkerhedsopdateringer kan distribueres meget hurtigt ud på de enkelte klienter.

Ulempen er, at en pc også anvendes uden internet-adgang. Online-tilstedeværelsen er ellers et ret naturligt krav i forbindelse med cloud-sikkerheden.

Derfor er antivirusbeskyttelse fra de fleste producenter også baseret på en kombination af de to teknologier.

Der er således stadig en lokal klient, der opdateres i samspil med den enorme pulje af sikkerhedstiltag, man kan hente ude af skyen.

Computerworld har talt med sikkerhedsfirmaet Bitdefender om, hvordan en software-leverandør løser opgaven. Andre producenter anvender naturligvis deres egen teknologi, men med mange af de samme kendetegn og arbejdsrutiner.

Du kan i øvrigt selv vurdere de forskellige antivirusprodukter ud fra denne test: Stortest af 22 programmer: Her er det bedste antivirusprogram lige nu.

Lokale værktøjer
Der er mange forskellige teknologier tilknyttet opdagelsen og destruktionen af ondsindet kode, men på lokalmaskinen er det primært to hovedområder, der jagter malware.

"Man skal nemlig skelne mellem de lokale - og cloud-teknologierne," fortæller Bo Skeel, der kalder sig selv for sikkerheds-evangelist i firmaet Bitdefender.

De lokale programmer er baseret på den ældste teknologi.

"Det er vigtigt, at se på hvordan brugeren opfører sig. Når der startes en proces af operativsystemet, som man ikke kender fra tidligere, kan man gelejde den hen i en virtuel maskine eller sandkasse, hvor man kan analysere under sikre forhold. "

Typisk tildeles uregelmæssigheder points - som man kender det fra spam - efter en sikkerhedsskala, der så kan udløse en handling.

"Hvis en operation udgør en fare - det kunne være at skanne efter tilgængelige filområder - så bliver operativsystemet instrueret om at blokere den."

Det handler altså om at være en lille smule foran operativsystemets arbejde.

"Ved at være på forkant kan antivirusprogrammet fortælle operativsystemet, at der skal lukkes for ondsindede handlinger."

Ligeledes er det normalt at have en mere traditionel signaturbaseret løsning på lokalmaskinen.

Det er en stopklods for den malware, der allerede er kendt, og så giver den en offline-beskyttelse af maskinen eksempelvis i forbindelse med, at en USB-nøgle sættes i porten.

"Det er overvågning i realtid ud fra kendte parametre, men det er ikke en rigtig proaktiv handling, som en cloud-tjeneste er det," siger Bo Skeel.

"Men det er eksempelvis effektivt i forbindelse med ransomware. Programmet kan således også overvåge, om filområder bliver gennemsøgt, om der sker en kryptering og eventuelt stoppe den. Man kan godt stoppe en proces, der er i gang."

Så signaturen er ikke død?

"Når man kender en malware, så bliver den registreret, og maskinen bliver beskyttet ud fra den viden. Som enkeltstående sikkerhedsmodel er den død, men den anvendes i samspil med anden teknologi."

Læs også: Sikkerheds-mareridt venter: Dine pivåbne it-systemer kan hverken lappes eller opgraderes

Machine learning i skyen
Ved at koble skyen på den lokale maskine åbnes for en række fordele på sikkerhedssiden.

Man kan tilføje en masse teknologi, regnekraft og en hurtig distributionskanal.

Det nederste lag i sky hierarkiet er en række webtjenester, der registrerer og informerer omkring skadeligt indhold på internettet.

"For eksempel kan vi nu registrere og advare mod enhver spambølge på nettet indenfor ti sekunder. Vi modtager også alle nye links, som Google indekserer og undersøger derefter om disse sider indeholder phishing forsøg eller andet tvivlsomt, således at vi få sekunder efter kan advare vores brugere."

Lidt mere avanceret er det næste lag kaldet machine learning eller kunstig intelligens, om man vil.

Det handler om, at software bliver klogere ud fra tidligere erfaringer og kan drage konklusioner ud fra den viden i samspil med algoritmer.

De forskellige producenter anvender deres egne algoritmer, som de vogter over som en vagthund.

"Det handler samlet set om at tage nogle beslutninger eller forudsigelser uden at følge en statisk programinstruktion," forklarer sikkerhedsmanden.

Det er en automatiseret proces, der kan udnyttes med skyens regnekraft i baghånden.

Den malware, der analyseres i skyen, samles blandt andet sammen via 'kode-magneter', som sikkerhedsfirmaerne planter på nettet. De tiltrækker alt, hvad de kan komme i nærheden af.

Ligeledes trækker man også informationer fra de enkelte maskiner ud i skyen, og analyserer på dem.

Typisk vil brugerne af et antivirusprogram også acceptere at dele disse data med producenterne.

"Når der uploades eksempler, er det ikke hele Word-filen, men kun den bid, der ser mystisk ud. På den måde holdes datatrafikken i kort snor. For vores vedkommende bliver det dog alligevel til 400 terabyte data i døgnet."

Enorme databaser på vej ud
Udfordringen for producenterne er så at skabe logik og fornuft ud af de indsamlede data.

"Den enkelte computer kan altså lave en forespørgsel i skyen. Når man fanger et uønsket mønster fra en adressat (afsender, red.), kan man så lukke ned for problemet med det samme via nettet," fortæller Bo Skeel.

En af udfordringerne ved de mange data er, at de databaser, som informationerne gemmes i, bliver enorme.

Derfor arbejder sikkerhedsfirmaerne ofte med at behandle de enkelte forespørgsler løbende uden at gemme alle data.

"I dag er det faktisk hurtigere og mere sikkert at spørge skyen end at spørge lokalt."

Moderne sikkerhed i skyen handler altså om at analysere data fra internettet og brugerne (næsten) i realtid i skyen.

De forskellige producenter adskiller sig så fra hinanden ved at udvikle forskellige algoritmer til databehandling og beslutningstagning.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Advarsel til Gmail-brugerne: Lumsk phishing-mail på spil netop nu - sådan spotter du den
Gmail-brugerne skal være på vagt: It-kriminelle forsøger sig i øjeblikket med en udspekuleret phishing-mail. Se her, hvordan du spotter fupnummeret.
CIO
Coop på jagt efter afløser til den 49 år gamle mainframe: "Systemet er ikke længere tilstrækkeligt til vores vision for Coop"
Coop Danmark er i gang med en støre digitalisering af hele forretningen, og det kommer ikke til at gå stille for sig i 2017. Blandt andet skal Coop have fundet en erstatning for den 49 år gamle mainframe.
Comon
Undgå passwordet: Smart tilbehør til at låse og åbne din computer med Windows Hello
Windows Hello kan mere end blot låse din computer op med dit ansigt. Der findes en lang række muligheder af tilbehør, som kan være med til at sikre din computer mod indtrængere. Se fem af dem her.
Channelworld
Ny EG-direktør har en plan: Sådan skal EG vokse sig større og endnu mere profitabel
Interview: Mikkel Bardram er ny administrerende direktør i EG. Selvom EG nu har 2.000 ansatte og en omsætning på 1,8 milliarder kroner, er der potentiale for endnu mere, mener den nye direktør.
White paper
Sådan overvinder man de 5 største udfordringer ved application recovery.
Få svar på hvordan man løser de 5 største udfordringer ved application recovery