Staré antiviry selhávají, nové staví na cloudu

Výrobci antivirů již desetiletí svádí soubor s autory virů, ale zvítězit se jim nedaří. Zatímco útočníci se mohou spoléhat na automatické generování hrozeb, obrana i nadále staví na práci lidských analytiků. Značné množství nového malwaru se tak po určitou vyhýbá odhalení.

Situace se zásadně mění i s rostoucí převahou mobilních zařízení, jejichž systémy a stejně tak bezpečnostní prvky jsou teprve v rané části vývoje. Nová je především závislost na cloudových službách, kdy část řešení běží na mobilním terminálu a část v cloudu. Výrobci klasických antivirových řešení tu především přicházejí o nízkoúrovňovou kontrolu nad všemi procesy, které mají přístup k datům uživatelů.

To vše předznamenává nezbytnost příchodu nových typů řešení od dosud neznámých či málo známých firem, které své projekty stavějí na zelené louce, bez zatížení minulostí a konzervativností svých vývojářů.

Jednou z nich je společnost Triumfant, která byla původně založena v roce 2002 pod jménem Chorus Systems. Nabízí jedno z nejpropracovanějších řešení založených na monitorování zdraví koncového zařízení. Nesnaží se hledat charakteristické projevy škodlivého softwaru, místo toho sleduje na 200 000 atributů a konfiguračních parametrů (včetně kontrolních součtů souborů, otevřených portů, logů událostí apod.) Toho současně může využít pro léčení případné infekce.

Sourcefire postupuje obráceným směrem, jde o cloudové řešení, které se snaží identifikovat hrozby pomocí analýzy obrovského množství dat nasbíraných z různých monitorů internetového dění. Známá je především antivirem s otevřeným kódem ClamAV, který získala v roce 2007.

Bromium sází na agresivní ochranu pomocí naprosté izolace jednotlivých prvků systému. Bromium Microvisor je hardwarově akcelerovaná virtualizace, která spouští jednotlivé systémové procesy ve virtuálních kontejnerech běžících ve virtualizovaném operačním systému.

FireEye začínala s nástroji pro detekci botnetů, ale dnes nabízí pokročilou formu virtuálního kontejneru, ve kterém spouští a monitoruje veškeré příchozí soubory, jakou jsou přílohy mailů a objekty z webových stránek. Podobnou techniku ovšem používá i řada dosavadních antivirů, FireEye ale věří na automatický transport podezřelých procesů do firemních laboratoří pro další analýzu.

SpotFlux chrání datový tok mezi koncovým zařízením a cloudem pomocí tenkého klienta. Ten přesměrovává komunikaci mobilního zařízení přes firemní proxy, kde probíhá vlastní analýza a hledání hrozeb či nevhodného obsahu. Toto řešení má ovšem jednu velkou nevýhodu, a sice problematickou ochranu soukromí citlivých dat uživatele.