Jaký je nejlepší antivir? První část

Jaký je nejlepší antivir? První část

 

Často slyším od administrátorů dotazy týkající se kvality antivirových programů (antivirů). Většinou chtějí vědět, který antivirový program je nejlepší, případně, jak je na tom jejich antivirový program. Pojďme tuto otázku společně rozlousknout.

V první řadě termín „antivir“ není úplně přesný, měli bychom používat „antimalware“, protože slovo malware zahrnuje všechny, i novodobé druhy škodlivých kódů (trojské koně, červy, viry, rootkity, backdoory atd.). Termíny antivirus/virus jsou však pro mnoho z nás zažité, a proto i já je zde budu občas používat.

Dnešní malware se opět mění, jedním z posledních „hitů“ je tzv. crypto-ransomware, o kterém jsme vás informovali v jednom z našich předchozích článků Malware známý jako ransomware. Dnešní malware je především o komunikaci. Nezávisle na tom, zda se snaží do vašeho počítače proniknout trojský kůň, červ nebo crypto-ransomware, malware musí dnes pro svoji funkčnost komunikovat.

Málo který administrátor má k dispozici antivirovou laboratoř, ve které by mohl provádět testování a proto většina z nich zamíří pro srovnání na internet. Mezi nejvyhledávanější poskytovatele nezávislých testů antiviru na internetu určitě patří AV-Comparatives, AV-Test a Virus Bulletin. Podmínky testů jednotlivých společností se samozřejmě liší a tady nastává první ale.

Většina testů je zaměřena na část vzorků z wild-listu (seznam malware, který právě aktivně obíhá na internetu), konkrétní vzorky pak většinou určuje tester (organizace). V reálném světě totiž nelze skenovat všechny aktivní nebo dokonce neaktivní vzorky virů všemi dostupnými antiviry při každém testu. Testuje se tedy vlastně jenom část dovedností antivirů a navíc samozřejmě závisí i na detailních volbách nastavení těchto konkrétních antivirů, které mohou výsledek také výrazně ovlivnit. V celém procesu testování je pak tolik proměnných (například výběr vzorků malware, detailní nastavení voleb při skenování, offline/online sken, cloud skenování atd.), že vlastně nikdy nemůže být zcela objektivní a utváří spíš rámcovou představu.

Představte si, že ve fotbale budete hodnotit hráče podle toho jak kopou levou nohou – chudáci praváci :-). Zrovna jako u antivirů musí hráči umět hrát oběma nohama, ale jedna je prostě vždycky o trochu lepší, a ve finále je asi jedno kterou nohou hráč branku vstřelí. U krásné fotbalové analogie ještě zůstaneme, protože testeři se nám občas chovají jako naši fotbaloví rozhodčí a dokážou správným způsobem poupravit pravidla hry. Hodnocení kopání levou nohou je přeci jenom také spravedlivé hodnocení, jde pouze o to, aby si nikdo neuvědomil, jakým způsobem je hodnocení omezeno, a naopak je nutné jasně říci, že všichni měli stejné podmínky.

Všeobecně se tedy dá říci, že antivir umisťující se opakovaně v horních příčkách je dobrý a naopak, nicméně rozhodně nezjistíte jakou reálnou úroveň ochrany bude antivir poskytovat ve Vašem prostředí, případně který z nich je pro Vás nejlepší.

Pokud se tedy nemůžeme spolehnout na hodnocení „nezávislých“ institucí jakým způsobem se máme orientovat? Odpověď jsme si vlastně řekli již na začátku našeho článku, a tou je KOMUNIKACE.

Chce-li malware:

1) ukrást vaše data,

2) infikovat Váš počítač přes síť,

3) infikovat jiné počítače,

4) zavést další malware do Vaší sítě,

5) stát se součástí botnet sítě atd.

musí vždy komunikovat a většinou právě do internetu, a to je něco co antivir vůbec neřeší. V případě infikování systému, například přes bezpečnostní chybu OS je zkrátka antivirus bezradný. Poskytuje pouze základní nutnou ochranu, která v historii byla dostatečnou, ale moderní bezpečnost ji pouvažuje pouze za základní prvek aktivní ochrany, který není dostačující.

Proto správnou otázkou není: „Jaký je nejlepší antivir?“, ale: „Je antivir dostačující řešení?“ Správně tušíte odpověď, tedy že: „Antivir není dostačující ochranou na koncových stanicích.

Dostatečné zabezpečení pro nás představuje Endpoint Protection jako kategorie bezpečnostních řešení na koncové servery a stanice, která rozšiřuje klasické antivirové řešení (aktivní bezpečnost) o další části proaktivní bezpečnosti. V druhém díle našeho článku Vám ozřejmím termín Endpoint Protection a představím moderní ochrany bezpečnostních řešení současnosti na koncových serverech a stanicích, které každý lepší výrobce poskytuje.

Dodatek autora: Váhal jsem, jestli to mám zveřejnit, ale mohu říci, že pro jednu z testerských institucí jsem měl možnost vidět faktury za „marketing“, kde se pro pozici na vyšším středu platilo cca 35.000,- EUR za kvartál.

Dále například jedno z nejpoužívanějších srovnání antivirů – Virus Bulletin magazín (známé VB100), sídlí v centrále antivirové společnosti Sophos (Abingdon, UK) a její vlastníci jsou Jan Hruska a Peter Lammer – zakladatelé zmíněné antivirové společnosti Sophos. Kde je tady nezávislost?

Jinými slovy, jedná se o poměrně nákladný marketing, který platí většinou firmy, které jsou na marketing zaměřené. Zatímco všechny firmy cítí povinnost být v testech, nejsou většinou ochotny platit nepřiměřené peníze, protože vědí, že znalí administrátoři z většich firem pochopí přidané hodnoty lepších řešení.