A kezdetek

A vírusirtó szoftverek sokáig szignatúrák alapján működtek. Megjelent egy új kártevő, ez előbb-utóbb eljutott a víruslaboratóriumokba, ahol a gyártók megtanították a szoftvereiket a minta felismerésére. Az egyes kártevőket felismerő „ellenszereket”, vagyis szignatúrákat ezután frissítésekkel eljuttaták a szoftvereikbe. Ezt követően az egyre gyorsabban szaporodó variánsok ellen 2005 környékén a gyártók heurisztikus védelem alkalmazásával kezdtek el védekezni. Ebben az esetben már nem kell minden kártevő ellen egy szignatúrát gyártani, hanem néhány tipikus jellemző alapján ismerik fel az új variánsokat.

Az új generációs védelmek

2008 óta a G DATA már magatartás alapú védelemmel is kiegészíti lakossági vírusirtó szoftvereit és vállalati antivírus megoldásait. Ilyenkor a vírusirtó egy homokozóban szimulálja, hogy mi történne a gépen, ha engedné lefutni a letöltött vagy e-mailben megkapott fájlt, majd ennek az eljárásnak az eredményeként dönti el, hogy blokkolja vagy engedélyezi a kód futtatását.

Ez a magatartás alapú védelem az internetes technológiák terjedésével hamarosan kiegészült különböző felhő alapú védelmi technológiákkal, amelyek a fájlok egyedi azonosítóit, a szerverek IP címét és az e-mailek lenyomatát internetes adatbázisokban ellenőrzik. A fejlettebb megoldások ilyenkor terjedési mintázatokat is vizsgálnak, így például ha több ezer számítógép egyszerre elkezdi szétküldeni ugyanazt az e-mailt, akkor a szerverekre telepített védelem érzékelni fogja, hogy feltehetően spamről van szó.

Kiegészítő technológiák

A fenti általános technológiákat általában különböző speciális megoldásokkal egészítik ki a gyártók. A G DATA esetében ilyen a banki trójaiak ellen védelmet nyújtó BankGuard, a memóriát felügyelő Exploit Protection, a kémprogramok elleni Keylogger Protection, vagy a manipulált USB eszközöket felismerő USB Keyboard Guard.

Természetesen a napjainkban a legtöbb problémát jelentő zsarolóvírusok ellen is szükség van speciális védelemre. A G DATA AntiRansomware technológia egy speciális fájlfelügyeleti megoldás – azt érzékeli, ha egy folyamat tömeges változtatásokra (titkosításra) készül a gépen.

A mesterséges intelligencia bevetése

A védekezés jövőjét a mesterséges intelligencia és a gépi tanulás jelenti. A 2019-ben bemutatott G DATA DeepRay már 150 különböző jellemzőt vesz figyelembe, beleértve például a fájl méretét, a benne foglalt programkódot vagy a programozási környezetet, amelyet a fájl létrehozásához használtak. Az adatokat egy neurális hálózat elemzi, amely képes a tanulásra, így folyamatosan elraktározza az előző vizsgálatok eredményét, majd az új kódok elemzésében ezeket az eredményeket felhasználja.

A 2020-ban bemutatott G DATA BEAST védelmi technológia pedig már egy gráfadatbázisban tárolja a rendszer eseményeit, például a fájlrendszerhez és a regisztrációs adatbázishoz történő hozzáférést, a hálózati kommunikációt, valamint a különböző folyamatok egymás közötti kapcsolatát. Amikor valamilyen új esemény történik, a G DATA megkeresi, hogy a végrehajtott műveletek hasonlítanak-e egy kártékony mintához az adatbázisban. A technológia jelentős előnye, hogy mivel a fájlok közötti kapcsolat is tárolásra kerül, ezért visszakövethető a számítógépen bekövetkezett minden változtatás. Ennek akkor van jelentősége, ha a védelmen mégis átjut valamilyen kártevő – ilyenkor a gráfadatbázisra alapozva a G DATA vissza tudja forgatni a kártékony kód által végrehajtott változtatásokat, és képes visszaállítani az eredeti állapotot.

Tanulság

Mindez jól illusztrálja, hogy nem mindegy, melyik vírusirtót választjuk gépünk védelmére. Egy mai vírusvédelem összetett technológiákat tartalmaz, mégsem szabad lassítania a gépet. A neves gyártók néhány évente teljesen új technológiákat mutatnak be, így érdemes olyan mellett voksolni, amely lépést tart a fejlődéssel.