Czy oprogramowanie antywirusowe zainstalowane na komputerach domowych i stacjach roboczych powinno przejść już do kart historii bezpieczeństwa komputerów? A może wręcz przeciwnie? Może wzrost ataków z udziałem finansowego szkodliwego oprogramowania oraz spamu zawierającego ransomware, to tylko nieliczne argumenty przemawiające za pozostawieniem tej podstawowej, ale też i niezbędnej ochrony systemów operacyjnych jakim są antywirusy?
Z ankiety przeprowadzonej przez serwis AVLab wynika, że antywirusy jeszcze przez długi okres będą miały się dobrze. Na pytanie „czy antywirusy są nam już niepotrzebne”, aż 18 procent ankietowanych odpowiedziało twierdząco. Z kolei dziewięć procent respondentów twierdzi, że całkowicie rezygnując z tergo narzędzia ochrony komputerów i urządzeń mobilnych jakim są programy antywirusowe, szala zwycięstwa w walce malware vs. człowiek może przechylić się na korzyść cyberprzestępców. Prawie połowa, bo aż 44% ankietowanych twierdzi, że antywirusy jeszcze długo pozostaną niezbędnym ogniwem w łańcuchu bezpieczeństwa, natomiast niespełna jedna trzecia badanych (29%) jest przekonana, że kwestią czasu jest, kiedy to AV przejdą do lamusa pod postacią dzisiaj spotykaną.
W internetowych mediach niezwykle często powielana jest opinia, jakoby z uwagi na przestarzałe metody wykrywania malware sygnaturami, ochrona, jaką zapewniają antywirusy jest już od dawna niewystarczająca. Osoby, które papugują takie informacje chyba zapominają, że tak samo dawno zespoły odpowiedzialne za rozwój antywirusów opracowały nowe alternatywne metody zapobiegania i wykrywania złośliwego kodu (proaktywność). Już kilkanaście lat temu stworzono pierwsze algorytmy bazujące na metodach analizy behawioralnej i detekcji dynamicznej, programowej (obecnie sprzętowej) emulacji statycznej/dynamicznej potencjalnie niebezpiecznych aplikacji w odizolowanym środowisku uruchomieniowym odseparowanym od systemu rzeczywistego. Dzisiaj te same technologie zaimplementowane niemal we wszystkich antywirusach na rynku wspierane są przez informacje o zagrożeniach skorelowane z chmurą, środowiskiem rozproszonym, które co do zasady działania opierają się na kolektywnej inteligencji.
Jednak czy ochrona, jaką oferują dzisiejsze antywirusy jest wystarczająca? I tak i nie. Jeśli weźmiemy pod uwagę kilka najpopularniejszych wektorów ataków z ostatnich miesięcy, a więc wiadomości e-mail, złośliwe strony internetowe, to współczesne renomowane oprogramowanie AV radzi sobie z nimi niemal we wszystkich przypadkach dobrze. Od czasu do czasu trafiają się „perełki”, które trafiają do drugiej i trzeciej grupy użytkowników (poniższy akapit) przyjmując dla antywirusa/ów status FUD, gdzie afera gwarantowana. Natomiast, antywirusy są niewystarczające, jeżeli przedsiębiorstwo padnie ofiarą hakerów i ataku APT (ang. Advanced Persistent Threat), które w połączeniu z techniką wodopoju (ang. watering hole) jest nie do zatrzymania (człowiek najsłabszym ogniwem w łańcuchu bezpieczeństwa).
Antywirusy powinny odejść – argumenty „za i przeciw” według użytkowników domowych
W sieci Internet znaleźć można co najmniej trzy grupy użytkowników, którzy dzielą się na:
- „Zaawansowanych” – osoby takie stosują się do większości powtarzanych na każdym kroku zasad bezpieczeństwa, znają budowę komputerów, mocne i słabe strony oprogramowania antywirusowego, dodatkowe narzędzia chroniące system operacyjny przed malware oraz przynajmniej w podstawowym stopniu mają pojęcie o działaniu wirusów i sposobach infekcji. Ta grupa użytkowników z całą pewnością poradzi sobie bez programu antywirusowego. Osoby takie stanowią bardzo mały profil ludzi, którzy wykorzystują na co dzień komputer do pracy.
- „Świadomych” – ta grupa osób jest świadoma skutków zainfekowania systemu operacyjnego, jednak z uwagi na brak czasu lub chęci, w niewystarczającym stopniu przykłada się do zabezpieczenia własnych danych i informacji poufnych. Antywirusy dla tej grupy osób są bardzo pomocne.
- „Ignorantów” – do tej grupy możemy przypisać pokolenie X oraz po części pokolenie Y, które nie jest zainteresowane nowymi technologiami teleinformatycznymi, ale które korzysta z usług internetowych. Osobom takim instalacja i konfiguracja antywirusa sprawi duży problem, a jakiekolwiek komunikaty będą dla nich niezrozumiałe, nawet w języku polskim. Niestety, ale grupa ta stanowi zdecydowaną większość osób wykorzystujących do pracy urządzenia, które łączą się z siecią Internet.
Antywirusy powinny odejść – argumenty „za i przeciw” według administratorów i szefów działów IT
Najczęściej spotykane opinie na niekorzyść antywirusów wśród osób zatrudnionych na stanowiskach decyzyjnych, kierowniczych i wśród administratorów, to m.in. niewystarczająca lub nieskuteczna ochrona, degradacja wydajności systemów operacyjnych, niewystarczająca funkcjonalność zarządzania, czy chociażby zbyt wysoka cena lub brak polskiego interfejsu. Biorąc pod uwagę nasze polskie realia, osobą, która najczęściej odpowiada nie tylko za utrzymywanie sprawnie działającej infrastruktury IT i urządzeń peryferyjnych, ale także za prowizoryczne szkolenia pracowników z dziedziny bezpieczeństwa, po wybór i kupno odpowiedniego sprzętu, w tym serwerów, przełączników, firewalli, oprogramowania do backupu, pamięci masowych, etc., jest właśnie administrator, który często jako jedyny w firmie ma pojęcie o podstawowych sposobach zabezpieczenia środowiska IT i bierze pod uwagę ryzyko, na jakie jest narażone przedsiębiorstwo w przypadku udanego ataku hakerów lub złośliwego oprogramowania.
Niestety, administrator taki często nie posiada wystarczającej wiedzy z zakresu kompleksowości ochrony, a wybierane rozwiązania do ochrony danych i systemów mogą powielać swoje funkcje, co wpływa na złożoność i stopień skomplikowania zarządzania. W efekcie, informatyk staje się złotą rączką, zdecydowanie mniej czasu poświęca na zadania jakie zostały mu wyznaczone i niestety zmuszony jest wykonywać obowiązki CSO (ang. Chief Security Officer), które powinny być przejęte przez wyznaczoną na to stanowisko osobę.
To instalować, czy nie instalować antywirusa?
Czy, aby na pewno najlepszym rozwiązaniem jest zrezygnowanie z tradycyjnych metod zabezpieczenia stacji roboczych i urządzeń mobilnych na rzecz samych firewalli nowej generacji?
Urządzenia takie na poziomie bramy sieciowej będą odfiltrowywać niepożądany ruch TCP/IP od tego dopuszczonego do działania, więc powinny stanowić dodatkową ochronę wzbogacone o funkcje np. VPN, IPS lub DLP. Dublowanie funkcjonalności poszczególnych rozwiązań bezpieczeństwa będzie też przegięciem w drugą stronę – systemy takie staną się zbyt trudne i czasochłonne w zarządzaniu. A może jedynym słusznym rozwiązaniem jest inwestycja w wirtualne środowiska robocze (ang. Virtual Desktop Infrastructure) i systemów mobilnych (ang. Virtual Mobile Infrastructure), do których należy zdefiniować dostęp pracownikom minimalizując ryzyko infekcji oraz utraty danych?
Użytkownicy, którzy zdają sobie sprawę z niezliczonych wektorów infekcji i ataków sieciowych poradzą sobie, tak samo dobrze z antywirusem, jak i bez niego. Niestety, ale osoby takie stanowią tylko niewielki procent wszystkich pracowników w przeciętnej polskiej firmie. Największy orzech do zgryzienia mają z całą pewnością administratorzy i działy kierownicze, które powinni zadać sobie retoryczne pytanie – „czy stać naszą firmę na pozostawienie niewykwalifikowanego w dziedzinie computer security pracownika samemu sobie i z dostępem do Internetu?” Czy skutki takiej decyzji, lub jej braku, będą miały wpływ na płynność finansową przedsiębiorstwa?
Niezależnie od wyboru, programy antywirusowe z całą pewnością jeszcze na długo pozostaną tym jedynym, ale także podstawowym remedium na złośliwe oprogramowanie i niewykwalifikowanych, ale coraz bardziej świadomych zagrożeń pracowników.
