Sådan beskytter et moderne antivirusprogram din computer

Behovet for it-sikkerhed vokser i lyntempo, og den gode gamle signaturbaserede antivirus er ikke længere god nok. Som erstatning kommer skyen til undsætning. Læs her, hvordan et moderne antivirusprogram virker.

Interview: Den traditionelle signaturbaserede antivirus-bekæmpelse bliver med jævne mellemrum erklæret for død.

Det er nok en overdrivelse, at der ikke længere skal være lokal software på de enkelte computere, som bliver forsynet med signatur-opdateringer. Men set i lyset at de mange it-trusler er det langt fra nok med en sikkerhedsopdatering en gang om ugen eller måneden.

Læs også: Ineffektiv og gammeldags: Har antivirus overhovedet nogen fremtid?

Derfor har mange af sikkerhedsfirmaerne også valgt at rykke skyen ind som et supplement til den gode gamle signaturbaserede antivirusbeskyttelse.

Fordelen ved at anvende cloud-baseret sikkerhed er, at regnekraften er enorm, og at sikkerhedsopdateringer kan distribueres meget hurtigt ud på de enkelte klienter.

Ulempen er, at en pc også anvendes uden internet-adgang. Online-tilstedeværelsen er ellers et ret naturligt krav i forbindelse med cloud-sikkerheden.

Derfor er antivirusbeskyttelse fra de fleste producenter også baseret på en kombination af de to teknologier.

Der er således stadig en lokal klient, der opdateres i samspil med den enorme pulje af sikkerhedstiltag, man kan hente ude af skyen.

Computerworld har talt med sikkerhedsfirmaet Bitdefender om, hvordan en software-leverandør løser opgaven. Andre producenter anvender naturligvis deres egen teknologi, men med mange af de samme kendetegn og arbejdsrutiner.

Du kan i øvrigt selv vurdere de forskellige antivirusprodukter ud fra denne test: Stortest af 22 programmer: Her er det bedste antivirusprogram lige nu.

Lokale værktøjer
Der er mange forskellige teknologier tilknyttet opdagelsen og destruktionen af ondsindet kode, men på lokalmaskinen er det primært to hovedområder, der jagter malware.

"Man skal nemlig skelne mellem de lokale - og cloud-teknologierne," fortæller Bo Skeel, der kalder sig selv for sikkerheds-evangelist i firmaet Bitdefender.

De lokale programmer er baseret på den ældste teknologi.

"Det er vigtigt, at se på hvordan brugeren opfører sig. Når der startes en proces af operativsystemet, som man ikke kender fra tidligere, kan man gelejde den hen i en virtuel maskine eller sandkasse, hvor man kan analysere under sikre forhold. "

Typisk tildeles uregelmæssigheder points - som man kender det fra spam - efter en sikkerhedsskala, der så kan udløse en handling.

"Hvis en operation udgør en fare - det kunne være at skanne efter tilgængelige filområder - så bliver operativsystemet instrueret om at blokere den."

Det handler altså om at være en lille smule foran operativsystemets arbejde.

"Ved at være på forkant kan antivirusprogrammet fortælle operativsystemet, at der skal lukkes for ondsindede handlinger."

Ligeledes er det normalt at have en mere traditionel signaturbaseret løsning på lokalmaskinen.

Det er en stopklods for den malware, der allerede er kendt, og så giver den en offline-beskyttelse af maskinen eksempelvis i forbindelse med, at en USB-nøgle sættes i porten.

"Det er overvågning i realtid ud fra kendte parametre, men det er ikke en rigtig proaktiv handling, som en cloud-tjeneste er det," siger Bo Skeel.

"Men det er eksempelvis effektivt i forbindelse med ransomware. Programmet kan således også overvåge, om filområder bliver gennemsøgt, om der sker en kryptering og eventuelt stoppe den. Man kan godt stoppe en proces, der er i gang."

Så signaturen er ikke død?

"Når man kender en malware, så bliver den registreret, og maskinen bliver beskyttet ud fra den viden. Som enkeltstående sikkerhedsmodel er den død, men den anvendes i samspil med anden teknologi."

Læs også: Sikkerheds-mareridt venter: Dine pivåbne it-systemer kan hverken lappes eller opgraderes

Machine learning i skyen
Ved at koble skyen på den lokale maskine åbnes for en række fordele på sikkerhedssiden.

Man kan tilføje en masse teknologi, regnekraft og en hurtig distributionskanal.

Det nederste lag i sky hierarkiet er en række webtjenester, der registrerer og informerer omkring skadeligt indhold på internettet.

"For eksempel kan vi nu registrere og advare mod enhver spambølge på nettet indenfor ti sekunder. Vi modtager også alle nye links, som Google indekserer og undersøger derefter om disse sider indeholder phishing forsøg eller andet tvivlsomt, således at vi få sekunder efter kan advare vores brugere."

Lidt mere avanceret er det næste lag kaldet machine learning eller kunstig intelligens, om man vil.

Det handler om, at software bliver klogere ud fra tidligere erfaringer og kan drage konklusioner ud fra den viden i samspil med algoritmer.

De forskellige producenter anvender deres egne algoritmer, som de vogter over som en vagthund.

"Det handler samlet set om at tage nogle beslutninger eller forudsigelser uden at følge en statisk programinstruktion," forklarer sikkerhedsmanden.

Det er en automatiseret proces, der kan udnyttes med skyens regnekraft i baghånden.

Den malware, der analyseres i skyen, samles blandt andet sammen via 'kode-magneter', som sikkerhedsfirmaerne planter på nettet. De tiltrækker alt, hvad de kan komme i nærheden af.

Ligeledes trækker man også informationer fra de enkelte maskiner ud i skyen, og analyserer på dem.

Typisk vil brugerne af et antivirusprogram også acceptere at dele disse data med producenterne.

"Når der uploades eksempler, er det ikke hele Word-filen, men kun den bid, der ser mystisk ud. På den måde holdes datatrafikken i kort snor. For vores vedkommende bliver det dog alligevel til 400 terabyte data i døgnet."

Enorme databaser på vej ud
Udfordringen for producenterne er så at skabe logik og fornuft ud af de indsamlede data.

"Den enkelte computer kan altså lave en forespørgsel i skyen. Når man fanger et uønsket mønster fra en adressat (afsender, red.), kan man så lukke ned for problemet med det samme via nettet," fortæller Bo Skeel.

En af udfordringerne ved de mange data er, at de databaser, som informationerne gemmes i, bliver enorme.

Derfor arbejder sikkerhedsfirmaerne ofte med at behandle de enkelte forespørgsler løbende uden at gemme alle data.

"I dag er det faktisk hurtigere og mere sikkert at spørge skyen end at spørge lokalt."

Moderne sikkerhed i skyen handler altså om at analysere data fra internettet og brugerne (næsten) i realtid i skyen.

De forskellige producenter adskiller sig så fra hinanden ved at udvikle forskellige algoritmer til databehandling og beslutningstagning.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
De 30 største danske it-virksomheder: Her er antallet af ansatte - og hvor mange penge, der bruges på løn
Top 100: Computerworld har nærstuderet årsregnskaberne fra 499 danske it- og televirksomheder og kan her bringe listen med de 30 største arbejdspladser. Se antallet af ansatte og få et indblik i, hvor mange penge virksomhederne bruger på løn til medarbejderne.
CIO
Du risikerer at blive hægtet helt af, hvis ikke dit netværk bliver fremtidssikret - og det haster
Klumme: Hver dag går mere 168,1 petabyte gennem netværket hos AT&T, hvilket svarer til 130 millioner timers video i HD. Det viser, hvor store krav der i dag stilles til en virksomheds netværk. Er du klar til det?
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Sådan anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø
Dette whitepaper gennemgår hvordan du anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø og kommer med specifikke råd og konkret vejledning til anvendelsen.