Komplexní zabezpečení sítě

Prvním krokem je samozřejmě instalace, ale kromě ní a po instalaci začne antivirový program kontrolovat počítač nebo server, na kterém je nainstalován, na přítomnost programů a souborů v databázi známých typů malwaru. Vzhledem k tomu, že každý den vznikají nové viry, které stále šíří hackeři, antivirový nástroj také kontroluje zařízení na možnost výskytu nových nebo neznámých hrozeb a infekcí.

Většina programů obvykle pracuje ve třech různých režimech detekce, z nichž první je specifická detekce, kdy identifikuje známý malware, druhý je generická detekce, která hledá známé části nebo typy malwaru nebo vzory, které vykazují souvislost se společnou kódovou základnou, a třetí se zaměřuje na heuristickou detekci, kdy vyhledává neznámé viry a infekce pomocí identifikace známých podezřelých struktur souborů. Když program najde soubor, který obsahuje virus, obvykle jej umístí do karantény a označí jej k odstranění. V karanténě je možné vyhodnotit chování souboru a určit, zda je nutné jej ze zařízení odstranit.

Je však důležité si uvědomit, že i když je antivirový program schopen chránit systém nebo síť, ve které je nainstalován, není schopen ji ochránit před všemi typy malwaru. Pro lepší pochopení je nutné si uvědomit, že antivirový software může malware identifikovat dvěma různými způsoby: detekcí signatur a detekcí chování. Stejně jako systémy IDS a IPS se i antivirové nástroje zaměřují na dva různé přístupy, přičemž využívají známých zranitelností a signatur a chování infekcí.

Pokud jde o detekci signatur, lze ji opět chápat jako lidský imunitní systém, který skenuje tělo (počítač) a hledá zvláštní charakteristiky nebo signatury programů, o nichž je známo, že souvisejí se škodlivým kódem, infekcí nebo hrozbou. Dělá to tak, že se odvolává na slovník známého škodlivého softwaru, vytvořený na základě známých signatur. Pokud něco v systému odpovídá vzoru přítomnému v databázi, program se to pokusí zneškodnit, umístí do karantény nebo jednoduše odstraní. Kromě toho, a opět s odkazem na lidský imunitní systém, slovník nebo databáze vyžaduje aktualizace. Když se v oblasti lidského zdraví necháváme očkovat nebo užíváme léky v tabletách, v počítačích jsou aktualizace rozhodující pro udržení správné úrovně ochrany. Tyto aktualizace umožňují antivirovým nástrojům rozpoznat nový a dosud neznámý škodlivý software, hrozby a zranitelnosti.

Antivirový software může chránit systém pouze před tím, co rozpozná jako škodlivé, přičemž problémem je, že kybernetických útoků neustále přibývá a jsou prováděny každým dnem sofistikovanějším způsobem. Vývoj nových zneužití a útoků je tak velký, že výrobci antivirových programů musí běžet proti času, aby byli schopni dohnat neustálé požadavky na ochranu. Výsledkem je, že bez ohledu na to, jak nedávno byl antivirový program aktualizován, se vždy objeví nějaký nový malware, který případně dokáže antivirový a antimalwarový software a nástroje obejít.

Při zaměření na detekci chování se antivirový program nesnaží identifikovat známý malware, stejně jako při použití metody detekce signatur. Místo toho sleduje chování softwaru nainstalovaného v počítači, který antivir chrání. Aby bylo možné antivirový nástroj správně vycvičit, je nutné, aby software měl znalosti o tom, jak vypadá běžné chování softwaru, který sleduje. Když se pak program chová podezřele, například se pokouší získat přístup k chráněnému souboru nebo modifikovat jiný program, antivirový program založený na chování podezřelou aktivitu odhalí a upozorní na ni uživatele, který tak může na hrozbu odpovídajícím způsobem reagovat. Tento přístup je zvláště úspěšný při ochraně systému proti novým typům škodlivého softwaru, které dosud neexistují ve slovnících nebo databázích a jejichž signatury dosud nebyly objeveny ani zdokumentovány. Problémem však je, že tento přístup může zvýšit počet falešných varování. Je možné, že si jako uživatel počítače nebudete jisti správným postupem při takových falešných poplaších, což vám umožní nesprávně povolit akce. Navíc při velkém počtu varování může být uživatel v pokušení povolit všechny, čímž ponechá počítač otevřený útokům a infekcím. Kromě toho v době, kdy je chování zjištěno, se již v systému s největší pravděpodobností spustil také škodlivý software, takže si uživatel není jistý, jaké akce malware provedl předtím, než jej antivirový software identifikoval.

Antivirus je důležitou součástí zabezpečení počítače, systému, sítě nebo mobilního zařízení a doporučuje ho většina vědců a výzkumníků v této oblasti. Klíčové však je, že bez ohledu na typ a značku antivirového softwaru není schopen ochránit systém před všemi typy malwaru.