Mida tähendab tänapäevane antiviirus aastal 2025?

Taktikaline vaade
Written By Roland Puiestik

Vanad head ajad kus antiviirus oli miski mille said sõbra käest või Starmani FTP torust on möödas. Tänapäevased rünnakud on lihtsalt liiga keerulised ja regulatiivsed nõuded liiga mahukad, et seda kõike saaks lahendada vanamoodi. Appi tulevad aga uued tarkvara lahendused nimega NGAV. Mis need aga on?

 
Tänapäevast antiviirust tutvustav artikliseeria.
 

See artikkel on osa seeriast!

See artikkel on osa suuremast seeriast mille eesmärk on tutvustada tänapäevaste antiviiruste võimalusi ja luua selgus kuidas valida endale sobiv. Lisaks toon esile võimalikud ämbrid millesse astuda ei tasu ja mõtteterad mis aitavad kokku hoida hulga aega ja raha kui hakkad antiviirust ostma.

Seeria järgmine artikkel ilmub iga neljapäev ja kokku on neid viis:

  1. Mis on antiviirus - 26.06.2025

  2. Mida turul pakutakse - 03.07.2025

  3. Paigaldus ja seadistus - 10.07.2025

  4. Organisatsiooni valmisolek - 17.07.2025

  5. Tulevikukindel lähenemine - 24.07.2025

Uuendan antud artiklit õige lingiga nii kui järgmine välja tuleb.

 

Klassikalise antiviiruse puudused

Veel hiljuti oli antiviirus väga konkreetne tükk tarkvara - programm, mis võrdles faile ja otsis teadaolevaid ohte. Kui oht leiti, teavitati kasutajat ja fail eemaldati. Peamine mehhanism mida klassikaline antiviirus (antiviirus lühendina: AV) kasutas nimetati “signatuuri põhiseks” tuvastuseks (signature based detection). See tähendab, et arvutis asuv AV tarkvara tegi uuest leitud failist läbi matemaatilise valemi lühikese numbrite ja tähtede jada ehk signatuuri. Hiljem võrdles saadud signatuuri oma andmebaasis olevatega. Juhul kui leidis, siis kuulutas selle pahavaraks. Kui ei leidnud, siis oli fail puhas ja rohkem seda ei uuritud.

See lihtne tükk tarkvara aga oli piisav vaid niikaua kuni rünnakud püsisid sama lihtsad ja muutumatud. Tänased ründed ei ole enam ainult failides peituvad staatilised viirused. Nad liiguvad e-kirjadest PowerShelli skriptidesse, kasutavad ära ohvermasinas olemasolevaid tarkvarateenuseid, peidavad ennast mälus mitte arvutikettal ja suudavad liikuda läbi kogu ettevõtte võrgu. Seda kõike teevad nad tihti dünaamiliselt kohanedes vastavalt vajadusele ning seetõttu on nendelt signatuuri võtmine sama kasulik nagu tuult pildistada. Tore kunstiprojekt aga äkki mitte hea infoturbe strateegia?

Ehk riskid on muutunud ja tekkinud on uued ründed mis:

  • ei pesitse ilmtingimata arvutikettal (fileless attacks)

  • kasutavad ära süsteemi sisemisi komponente (living off the land)

  • on etappideks jaotatud (kill chain)

  • on muutuva koodiga (polymorphic virus)

  • jäävad märkamatuks nädalateks või isegi kuudeks

Seega ei piisa ka enam lihtsalt tööjaama „skanneerimisest“. Pahavara vastu võitlemine on passiivsest ootamisest muutunud aktiivseks kaitsetööks ja see nõuab ka teistsugust lähenemist koos uute tööriistadega.

 

Järgmise põlvkonna antiviirus

Aastal 2025 antiviirusest rääkides räägime tegelikult küberturbeplatvormist. Platvormist, mis koosneb mitmest kihist, mida saab keskelt hallata, millel on ülevaade kogu võrgust ja mis suudab rünnakutele ka automaatselt reageerida. Automaatse tuvastamise ja reageerimise osa on tihti lahendatud masinõppega (machine learning ehk ML). Antud platvorm ei ole enam AV ehk antiviirus vaid on NGAV ehk next-generation antivirus.

Peamised omadused:

  • Käitumispõhine kaitse – mitte lihtsalt musta nimekirja kontroll, vaid reaalajas analüüs, kas rakendus käitub kahtlaselt. See võimaldab tuvastada nii tuntud kui tundmatut pahavara.

  • Mäluskaneerimine ja exploit protection – pahatahtlik tegevus ei alga alati failist, sageli hüpatakse otse süsteemi mällu või kasutatakse ära olemasoleva tarkvara võimalusi pahatahtlike eesmärkide saavutamiseks.

  • EDR/XDR võimekus – pahalased ei sihi ainult teie arvuteid, EDR ja XDR seob kokku võrgu, serverid, kasutajad ja pilveteenused andes tervikpildi ja võimaluse tuvastada rünnakuid olenemata platvormist.

  • Keskne haldus – turbetarkvara ei tohiks olla uus lisakohustus vaid tööd lihtsustav lahendus. Läbi keskse halduse saad hallata poliitikaid, vaadata logisid ja reageerida juhtumitele ühest kohast.

  • Reaalajas nähtavus – kes, mida, millal ja miks. Kiireks intsidendi halduseks on vaja infot ja seda infot on vaja siis ja seal kus on kahtlus mitte “homme kell 10 toimub skänneering, vaatame siis”.

Seega on antiviirusest saanud üks päris mahukas ja keeruline platvorm mis suudab pakkuda palju enamat kui teadaolevate pahavarade tõrjumine.

 

Lisandväärtust rohkem kui ainult IT-le

Oluline on ka antiviiruse juures ära märkida lisandväärtus. Peale selle, et antud plavorm peab teid kaitsma pahavara eest ja uute rünnakute, peab ta lisaks ka sobituma teie keskkonda, vähendama koormust IT meeskonnale ja suurendama nähtavust ka juhatuse tasemel. Miks juhatuse? Sest päeva lõpuks on infoturve peamiselt riskide kaalumine ja seda otsust mis riskid on aksepteeritavad ja mis mitte ei saa teha keegi muu kui organisatsiooni tippjuhtkond.

  • Juhtkonnale – selge ülevaade riskidest ja kaitsemeetmetest. Liigutab rõhu reaktiivselt küberturbe taktikalt proaktiivsele infoturbe strateegiale.

  • Kasutajatele – vähem muret ja rohkem “käe hoidmist”. Tänapäevane süsteem peab olema valmis ka “andestama meile meie vead” ehk lihtsustama kasutajatele soovitud käitumise ja raskendama ohtlikud käitumismustrid. Sealjuures peab silmas pidama, et infoturbe lahendused ei tohi ohtu seada äri tulemuslikkuse.

  • Andmekaitse eest vastutajatele – logid, DLP, vastavusnõuded. NGAV lahendused suudavad tihti rinda pista peale pahavara väljakutsete ka andmekaitse ja rahvusvahelistele standarditele vastamisega.

  • Koolitus- ja teadlikkuse tugi – korrektselt seadistatud NGAV lahendus aitab rakendada infoturbe poliitikaid juba eos ilma, et kasutaja seda märkab. Paljud “formaalsed nõuded” saab lahendada viisil mis on kasutaja jaoks kõige loomulikum ja mugavam meetod oma tööd teha. Nii toetab NGAV lahendus inuitiivset infoturbe poliitika järgimist.

  • Partneritele – põhjalik automatiseeritud raporteerimine võimaldab organisatsioonil tõestada oma pühendumust infoturbele mis võib olla kohustuslik näiteks hankel osalemiseks või soodsama kindlustuspakkumuse saamiseks.

Kui arvestada juurde kõiki NGAV lisandväärtusi siis tänapäevane lahendus on midagi laiemat kui ainult IT mure. Seetõttu tuleb ka selle juurutamisel ja kasutamisel seda arvesse võtta ning vastavalt saab luua tööprotsessid ja koolitada töötajad.

 

Kõige kulukam meetod = installi-ja-unusta

Nagu ka alguses mainitud siis ründed on muutunud palju keerukamaks ja ka kaitse on muutunud passiivsest tegevusest aktiivseks protsessiks. Seetõttu on uute tööriistade puhul kriitiliselt oluline mitte ainult nende seadistamine ja juurutamine vaid ka haldus ja tööprotsessid mis muutuvad ajas.

Kui lahendus ei ole seadistatud korrektselt siis ei saa see ka turvalisuse alustalaks olla. Samas kui keegi seda lahendust ei halda siis puudub ka ülevaade ja kõik tehtud töö aja jooksul amortiseerub nagu iga muu vara. Kui ei reageerita tööriistast tulnud häiretele siis probleemid jäävad alles ja ajas kuhjuvad.

Kuna enamik rünnakuid on tänapäeval automatiseeritud, siis on võrdsed sihtmärgid kõik, enam ei ole lootust, et “ma olen liiga väike, kes mind ikka ründab”. Tänapäeval oleme kõik võrdsed, ka pahalaste silmis. Selleks, et saada kasu NGAV automatiseeritud reageerimise võimekusest on vaja seda aga pidevalt ajas jälgida ja luua uusi reegleid uute rünnakute tuvastamiseks ja kuidas neile reageerida. Iga organisatsioon on erinev ja seega on ka reageerimise reeglid erinevad.

NGAV vajab:

  • eesmärgistatud seadistust

  • turvapoliitikate läbimõtlemist

  • pidevat monitooringut ja reageerimist

  • kasutajate ja IT teadlikkust ja koolitamist

Nii nagu iga ettevõtte äriprotsess on ka infoturbe juhtimine pidevalt arenev tegevus. Seda aitab oluliselt lihtsustada tänapäevased antiviirused aga vaid siis kui neid ka peale esmast seadistamist keegi haldama jääb.

Ükskõik, kas oled praegu reaktiivses kaoses või juba struktureeritud tegevuste faasis, kõige olulisem on teadlikult astuda järgmine samm. Ära jää ootama täiuslikku strateegiat või intsidenti, mis sunnib sind tegutsema. Haara ohjad!

 

Saime vaadata otsa nii klassikalisele antiviirusele kui next-generation antiviiruse tööpõhimõtetele ja võimalustele. Lisaks saime selgeks miks tuleb kogu protsess alates antiviiruse valimisest kuni selle hilisema halduseni põhjalikult läbi mõelda.

Küll aga jäi vastamata mis antiviirust siis oleks kõige parem valida? Selle jaoks vaata meie järgmist artiklit mis tutvustab erinevaid lahendusi ja mida nad pakuvad.

Kui aga tekkis küsimus millele vastust ei leidnud siis ära pelga küsida ja vajuta all olevale nupule.

 
Roland Puiestik
Next

Lepingud ilma milleta infoturvet teha on keeruline