Sådan beskytter et moderne antivirusprogram din computer

Behovet for it-sikkerhed vokser i lyntempo, og den gode gamle signaturbaserede antivirus er ikke længere god nok. Som erstatning kommer skyen til undsætning. Læs her, hvordan et moderne antivirusprogram virker.

Interview: Den traditionelle signaturbaserede antivirus-bekæmpelse bliver med jævne mellemrum erklæret for død.

Det er nok en overdrivelse, at der ikke længere skal være lokal software på de enkelte computere, som bliver forsynet med signatur-opdateringer. Men set i lyset at de mange it-trusler er det langt fra nok med en sikkerhedsopdatering en gang om ugen eller måneden.

Læs også: Ineffektiv og gammeldags: Har antivirus overhovedet nogen fremtid?

Derfor har mange af sikkerhedsfirmaerne også valgt at rykke skyen ind som et supplement til den gode gamle signaturbaserede antivirusbeskyttelse.

Fordelen ved at anvende cloud-baseret sikkerhed er, at regnekraften er enorm, og at sikkerhedsopdateringer kan distribueres meget hurtigt ud på de enkelte klienter.

Ulempen er, at en pc også anvendes uden internet-adgang. Online-tilstedeværelsen er ellers et ret naturligt krav i forbindelse med cloud-sikkerheden.

Derfor er antivirusbeskyttelse fra de fleste producenter også baseret på en kombination af de to teknologier.

Der er således stadig en lokal klient, der opdateres i samspil med den enorme pulje af sikkerhedstiltag, man kan hente ude af skyen.

Computerworld har talt med sikkerhedsfirmaet Bitdefender om, hvordan en software-leverandør løser opgaven. Andre producenter anvender naturligvis deres egen teknologi, men med mange af de samme kendetegn og arbejdsrutiner.

Du kan i øvrigt selv vurdere de forskellige antivirusprodukter ud fra denne test: Stortest af 22 programmer: Her er det bedste antivirusprogram lige nu.

Lokale værktøjer
Der er mange forskellige teknologier tilknyttet opdagelsen og destruktionen af ondsindet kode, men på lokalmaskinen er det primært to hovedområder, der jagter malware.

"Man skal nemlig skelne mellem de lokale - og cloud-teknologierne," fortæller Bo Skeel, der kalder sig selv for sikkerheds-evangelist i firmaet Bitdefender.

De lokale programmer er baseret på den ældste teknologi.

"Det er vigtigt, at se på hvordan brugeren opfører sig. Når der startes en proces af operativsystemet, som man ikke kender fra tidligere, kan man gelejde den hen i en virtuel maskine eller sandkasse, hvor man kan analysere under sikre forhold. "

Typisk tildeles uregelmæssigheder points - som man kender det fra spam - efter en sikkerhedsskala, der så kan udløse en handling.

"Hvis en operation udgør en fare - det kunne være at skanne efter tilgængelige filområder - så bliver operativsystemet instrueret om at blokere den."

Det handler altså om at være en lille smule foran operativsystemets arbejde.

"Ved at være på forkant kan antivirusprogrammet fortælle operativsystemet, at der skal lukkes for ondsindede handlinger."

Ligeledes er det normalt at have en mere traditionel signaturbaseret løsning på lokalmaskinen.

Det er en stopklods for den malware, der allerede er kendt, og så giver den en offline-beskyttelse af maskinen eksempelvis i forbindelse med, at en USB-nøgle sættes i porten.

"Det er overvågning i realtid ud fra kendte parametre, men det er ikke en rigtig proaktiv handling, som en cloud-tjeneste er det," siger Bo Skeel.

"Men det er eksempelvis effektivt i forbindelse med ransomware. Programmet kan således også overvåge, om filområder bliver gennemsøgt, om der sker en kryptering og eventuelt stoppe den. Man kan godt stoppe en proces, der er i gang."

Så signaturen er ikke død?

"Når man kender en malware, så bliver den registreret, og maskinen bliver beskyttet ud fra den viden. Som enkeltstående sikkerhedsmodel er den død, men den anvendes i samspil med anden teknologi."

Læs også: Sikkerheds-mareridt venter: Dine pivåbne it-systemer kan hverken lappes eller opgraderes

Machine learning i skyen
Ved at koble skyen på den lokale maskine åbnes for en række fordele på sikkerhedssiden.

Man kan tilføje en masse teknologi, regnekraft og en hurtig distributionskanal.

Det nederste lag i sky hierarkiet er en række webtjenester, der registrerer og informerer omkring skadeligt indhold på internettet.

"For eksempel kan vi nu registrere og advare mod enhver spambølge på nettet indenfor ti sekunder. Vi modtager også alle nye links, som Google indekserer og undersøger derefter om disse sider indeholder phishing forsøg eller andet tvivlsomt, således at vi få sekunder efter kan advare vores brugere."

Lidt mere avanceret er det næste lag kaldet machine learning eller kunstig intelligens, om man vil.

Det handler om, at software bliver klogere ud fra tidligere erfaringer og kan drage konklusioner ud fra den viden i samspil med algoritmer.

De forskellige producenter anvender deres egne algoritmer, som de vogter over som en vagthund.

"Det handler samlet set om at tage nogle beslutninger eller forudsigelser uden at følge en statisk programinstruktion," forklarer sikkerhedsmanden.

Det er en automatiseret proces, der kan udnyttes med skyens regnekraft i baghånden.

Den malware, der analyseres i skyen, samles blandt andet sammen via 'kode-magneter', som sikkerhedsfirmaerne planter på nettet. De tiltrækker alt, hvad de kan komme i nærheden af.

Ligeledes trækker man også informationer fra de enkelte maskiner ud i skyen, og analyserer på dem.

Typisk vil brugerne af et antivirusprogram også acceptere at dele disse data med producenterne.

"Når der uploades eksempler, er det ikke hele Word-filen, men kun den bid, der ser mystisk ud. På den måde holdes datatrafikken i kort snor. For vores vedkommende bliver det dog alligevel til 400 terabyte data i døgnet."

Enorme databaser på vej ud
Udfordringen for producenterne er så at skabe logik og fornuft ud af de indsamlede data.

"Den enkelte computer kan altså lave en forespørgsel i skyen. Når man fanger et uønsket mønster fra en adressat (afsender, red.), kan man så lukke ned for problemet med det samme via nettet," fortæller Bo Skeel.

En af udfordringerne ved de mange data er, at de databaser, som informationerne gemmes i, bliver enorme.

Derfor arbejder sikkerhedsfirmaerne ofte med at behandle de enkelte forespørgsler løbende uden at gemme alle data.

"I dag er det faktisk hurtigere og mere sikkert at spørge skyen end at spørge lokalt."

Moderne sikkerhed i skyen handler altså om at analysere data fra internettet og brugerne (næsten) i realtid i skyen.

De forskellige producenter adskiller sig så fra hinanden ved at udvikle forskellige algoritmer til databehandling og beslutningstagning.



mest debatterede artikler

Premium
Grundfos fyrer to-cifret antal it-medarbejdere i stor omstrukturering
Den store fyringsrunde i Grundfos i september har fået konsekvenser for selskabets it-afdeling, der bliver beskåret. Et to-cifret antal it-medarbejdere er blevet opsagt.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan øger du medarbejdertilfredshed og produktivitet
En af de mest effektive måder at øge medarbejdernes produktivitet og tilfredshed med arbejdspladsen er ved at give frit valg mellem Windows eller Mac, når der skal vælges arbejdscomputer. Samtidig mindskes presset på supporten, mens sikkerhedsniveauet højnes. Med en client-as-a-service aftale kan du lade medarbejderne selv træffe valget, men uden at uden at det behøver at være udfordrende eller ressourcekrævende for virksomheden. Eksempelvis kan du lade partneren håndtere alt fra finansiering, leverance, klargøring og implementering til support og lifecycle-management. Læs mere i denne hvidbog.