Antivirus sau antimalware? De ce nu amandoua?!

Antivirusul si antimalware-ul sunt doua arme care fac parte din arsenalul securitati cibernetice de contracarare a atacurilor executate de actorii malitiosi. Aceste atacuri pot compromite un sistem si pot fura sau sterge fisiere, pot folosi sistemul in alte atacuri, pot spiona activitatea de pe acel sistem.

Antivirusul si antimalware-ul sunt programe software proiectate sa identifice, sa blocheze si sa inlature software malitios. Contrar denumirii sale, antivirusul este capabil sa protejeze si impotriva altor amenintari, nu doar impotriva virusurilor, are doar un nume invechit pentru capabilitatile sale.

Antimalware-ul foloseste un nume mai modern care inglobeaza toate tipurile de soft malitios, inclusiv virusi.

Amenintarile cibernetice si masurile de contracarare a lor sunt variate si nuantate, insa oamenii au ramas cu ideea ca virusii sunt armele cele mai puternice ale hackerilor. Realitatea este alta acum. Virusii erau amenintari populare acum trei decenii, cand era digitalizarii era inca la inceput. Putem spune ca un virus este o amenintare cibernetica, dar o amenintare cibernetica nu este neaparat un virus.

Un virus este un software malitios caracterizat de doua lucruri:

  1. Virusul trebuie executat de utilizator. Pentru ca virusul sa se activeze, utilizatorul trebuie sa ia o actiune: deschiderea unui fisier atasat la un email, deschiderea unui document .pdf sau o arhiva corupta. Dupa aceasta, virusul va incerca sa infecteze si alte sisteme similare din reteaua victimei
  2. Virusul trebuie sa se auto-replice, modificand programele si fisierele de pe sistemul victimei. Daca software-ul nu se replica, atunci nu este un virus.

Antivirusul a fost raspunsul inginerilor de securitate pentru a detecta si elimina virusii. Identificarea acestora a fost intotdeauna reactiva si se bazeaza pe semnaturi: virusii cunoscuti au fost analizati, secventiati si li s-a atribuit o anumita amprenta. Daca antivirusul detecteaza acea amprenta, atunci virusul este blocat. Acest mod de functionare subliniaza doua aspecte fundamentale:

  • software-ul de antivirus trebuia sa aiba baza de semnaturi actualizata periodic
  • intotdeauna exista o fereastra de timp in care antivirusul nu reuseste sa detecteze virusi noi sau variatii ale celor existenti deja pentru ca inca nu a fost construita semnatura specifica.

Antimalware-ul foloseste si el o baza de semnaturi, dar este capabil sa identifice si o amenintare noua, de tip “zero day” pentru care inca nu a fost creata o semnatura. Antimalware-ul analizeaza structura si comportamentul unui program in timpul executiei sale pentru a identifica o actiune suspecta, cum ar fi crearea de “cod rezidual” sau apelarea unor instructiuni neobisnuite. Metoda aceasta poarta numele de analiza heuristica. Intotdeana metoda heuristica este una proactiva, si poate detecta malware-ul in partea de initializare a sistemului si sa il blocheze inainte ca acesta sa reuseasca sa infecteze fisierele.

Desi virusii nu mai sunt la “moda”, locul lor nu a fost lasat neocupat. Acum avem spyware, rootkits, cai troieni, ransomware si exploatarea vulnerabilitatilor de sistem. Producatorii de solutii de securitate pot alege sa isi categorizeze produsul ca antivirus, cu riscul ca oamenii sa nu inteleaga ca solutia acopera un spectru mult mai larg sau pot alege numele de antimalware care desemneaza o solutie de “all in one”. Alegerea este a fiecarui vendor in parte.

Oricum s-ar numi produsul, antivirus sau antimalware, organizatiile si utilizatorii au nevoie de protectia impotriva virusilor, a spyware-ului, adware-ului, ransomware-ului, rootkit-urilor, cryptomining-ului, a spoofing-ului, phishing-ului si a vulnerabilitatilor de sistem. Solutiile de protectie incep sa beneficieze de avantajele aduse de progresul in tehnicile de AI si ML. AI (Inteligenta Artificiala) este axata pe construirea de “masini” inteligente, iar ML (Machine Learning) foloseste algoritmi care permit acestor masini sa invete din propriile experiente. Ambele solutii sunt perfecte pentru securitatea cibernetica, intrucat numarul de specii si variatii de malware aflat in “libertate” este prea mare pentru a fi analizate manual de oameni care sa creeze semnaturi specifice intr-un interval de timp rezonabil. AI si ML sunt ideale si pentru atacurile de tip “zero day” sau “zero hour” pentru care inca nu exista un mod clar de identificare, combatare si remediere si potenteaza analiza heuristica deja utilizata in multe software-uri de antivirus/antimalware.

De la desktop la laptop si de la smartphone la tableta, toate dispozitivele noastre sunt vulnerabile, indiferent de sistemul de operare folosit. Si cum preventia este mai buna decat tratamentul, cine ar vrea sa fie responsabil de curatarea unei Infectii in reteaua organizatiei? Resursele implicate ar fi numeroase (personal uman, timp si bani pentru restaurarea sistemelor afectate), la fel si consecintele aduse de bresa de securitate (scaderea reputatiei, piederea increderii clientilor si a partenerilor, pierderi financiare insemnate). Organizatiile trebuie sa gaseasca solutia sau solutiile de securitate care sa le aduca nivelul de securitate dorit, precum si nivelul de complianta in conformitate cu standardele industriei in care isi desfasoara activitatea.

Mihai Dumitrascu, Sr Systems Engineer

Meniu