V svetu, kjer se digitalne grožnje razvijajo hitreje kot kdaj koli prej, klasični protivirusni programi preprosto ne dohajajo več tempa. Napadi so postali sofisticirani, ciljno usmerjeni in pogosto temeljijo na manipulaciji uporabnikov, ne pa zgolj na zlonamerni kodi. To pa nas postavlja pred novo realnostjo. Kibernetska varnost ni več zgolj stvar tehnologije, ampak je postala je osebna odgovornost.
Kot navajajo strokovnjaki Infocentra je antivirusni program program, namenjen odkrivanju in odstranjevanju virusov in drugih vrst zlonamerne programske opreme iz računalnika ali prenosnika. Zlonamerna programska oprema pa je koda, ki lahko poškoduje naše računalnike in prenosnike ter podatke v njih. Naše naprave se lahko okužijo tako, da nenamerno prenesemo zlonamerno programsko opremo, ki je v priponki, povezano s sumljivim e-poštnim sporočilom, skrito na disku usb ali celo tako, da preprosto obiščemo sumljivo spletno mesto. Ko je zlonamerna programska oprema v računalniku ali prenosniku, lahko ukrade naše podatke. Sledi šifriranje, tako da do njih ne moremo dostopati, ali jih celo popolnoma izbriše, zato je pomembno, da vedno uporabljamo protivirusno programsko opremo in jo posodabljamo ter tako zaščitimo svoje podatke in naprave.
Vendar pa, kot navaja strokovnjak za kibernetsko varnost pri Telekomu Slovenije Dalibor Vukovič so antivirusi preteklost, potrebno je prepoznati novodobne prevare. »Kibernetski kriminalci niso na drugem koncu sveta. So v našem ‘inboxu’ (elektronskem nabiralniku, op. avt.)«. Razkriva tudi, zakaj so antivirusni programi postali bolj kot ne digitalni muzejski eksponat, kako potekajo sodobni spletni napadi in zakaj prihodnost sloni na dejavni preventivi ter osebni odgovornosti vsakega izmed nas.
Kdo so etični hekerji in kaj sploh počnejo?
»Delamo nelegalne stvari – na legalen način,« pravi Dalibor Vukovič in s tem povzame bistvo poslanstva etičnega hekerja. To so posamezniki, ki uporabljajo enake metode in orodja kot spletni kriminalci, a z eno ključno razliko, delujejo z izrecnim dovoljenjem in v dobrobit naročnika, kar je običajno podjetje, državna institucija ali druga organizacija. Njihov cilj ni povzročiti škode, temveč želijo razkriti varnostne ranljivosti sistema, še preden jih izkoristijo zlonamerni napadalci. V praksi to pomeni, da poskušajo vdreti v informacijsko infrastrukturo naročnika, preverjajo varnost sistemov, skušajo dešifrirati gesla ali celo preizkušajo pozornost zaposlenih z lažnimi napadi ribarjenja za podatki (phishing napadi). »Veliko podjetij nas najame, da ‘preverimo njihovo trdnost’. Če pridemo do zaupnih dokumentov v nekaj urah, je to zelo zgovoren rezultat«, razloži Vukovič.
Je antivirus res »mrtva« tehnologija in EDR nov standard?
Mnogi uporabniki še vedno menijo, da jih klasični protivirusni program ustrezno varuje pred sodobnimi kibernetskimi grožnjami. Vukovič navaja, da gre za nevarno zmoto. »Antivirus je za današnje čase prešibka zaščita. Gre za tehnologijo, ki je temeljila na bazi poznanih groženj. Če napadalec uporabi nekaj novega, kar še nikoli ni bilo zabeleženo, antivirus odpove«, pravi Vukovič. Tradicionalni antivirus (legacy AV) se opira predvsem na podpisne baze, kar pomeni, da odkrije le znane grožnje. Če grožnja ni v bazi, jo antivirus ne zazna (cynet.com). Kot navaja Brenda Buckman napredne metode napadalcev, kot so fileless malware, zero‑day eksploiti in pristopi „living‑off‑the‑land”, pogosto zaobidejo klasične AV-sisteme.
Tradicionalni antivirusni sistemi delujejo na osnovi metodologije prepoznavanja podpisov (signature-based), torej iščejo znane vzorce in skripte škodljive programske kode. A svet kibernetske varnosti se je
dramatično spremenil. Z razvojem umetne inteligence lahko napadalci ustvarjajo vedno nove, mutirajoče viruse, ki nimajo statičnega zapisa. Tako imenovane grožnje »ničtega dne« (angleško zero-day threats) so za običajne protivirusne programe nevidne, saj zanje še ne obstajajo ustrezni »podpisi« oziroma prepoznavni vzorci (Dalibor Vukovič).
Zato prihodnost varnosti sloni na rešitvah nove generacije, kot sta sistema EDR (Endpoint Detection and Response – zaznavanje in odzivanje na končnih točkah) in XDR (Extended Detection and Response – razširjeno zaznavanje in odzivanje).
Kaj je EDR – Endpoint Detection and Response
To so sistemi, ki ne temeljijo na iskanju znanih groženj, temveč v realnem času spremljajo obnašanje tako uporabnikov kot samih sistemov. EDR je torej tehnologija za nenehno spremljanje dejavnosti na končnih točkah, uporablja strojno učenje, vedenjsko analizo in analizo anomalij. Zbere obsežne telemetrične podatke (procesi, omrežje, spremembe), kar omogoča odkrivanju tudi neznanih in naprednih groženj (xcitium.com). EDR je torej varnostna tehnologija, osredotočena na aktivnosti na posameznih končnih točkah (laptopi, strežniki, mobilne naprave), kjer spremlja procese, sistemske loge in vedenjske vzorce za odkrivanje groženj in izvedbo odzivnih ukrepov, npr. izolacija okuženega sistema, odstranjevanje malwara in forenzična analiza. Temelji na strojnem učenju, vedenjski analizi in spremljanju anomalij na posameznem končnem sistemu (Trend Micro).
Kaj je XDR – Extended Detection and Response
XDR je evolucija EDR‑ja, razširjena zaščita, ki vključuje različne sloje IT‑infrastrukture: ne le končne točke, ampak tudi omrežje, e-pošto, strežnike, oblačne storitve, identitete, aplikacije itd. (Trend Micro). Podjetja, kot so Palo Alto Networks in Trend Micro, opisujejo XDR kot sistem, ki povezuje več virov telemetrije in avtomatizira korelacijo ter odzive na incident preko različnih domen.
| Ključne prednosti EDR pred antivirusom | ||
| Funkcija | Klasični antivirus | EDR |
| Odkrivanje | Podpisna baza | Vedenjsko, AI, anomalije |
| Obseg zaščite | Le datoteke | Celotna naprava + analiza |
| Odgovor na grožnjo | Izolacija ali brisanje | Samodejna vsebina, forenzika, odziv |
| Vidnost | Omejena | Celovita panorama napada |
| Čas reakcije | Odvisno od posodobitev | Skoraj v realnem času |
Vir: paloaltonetworks.com
Primerjalna tabela med EDR in XDR
| Lastnost | EDR | XDR |
| Obseg zaščite | Samo končne točke | Končne točke + omrežje, e‑pošta, oblak, identitete |
| Vir podatkov | Endpoint‑dnevniški podatki | Telemetrija z več varnostnih domen |
| Odkrivanje groženj | Na ravni posameznih naprav | Korelacija incidentov in napovedni vzorci |
| Odziv na grožnje | Na endpointu – izolacija, zaustavitev | Avtomatiziran odziv naprej — blokiranje dostopa, MFA, geslo, itd. |
| Vidnost in kontekst | Omejen na endpoint | Celoviti pregled napadov med domenami |
| Avtomatizacija in orkestracija | Omejeno do endpointnih ukrepov | Preko SOAR, avtomatizacija čez varnostni sklad |
Vir: watchguard.com
EDR omogoča samodejno izolacijo naprave, mimogrede odstrani proces in preprečuje širjenje okužb (cynet.com). Zagotavlja forenzični pregled (timeline napada, izvor, lateralno gibanje) za hitrejše odzivanje in analizo. S pomočjo threat huntinga varnostniki preiskujejo indikatorje kompromisa (IOCs) v telemetriji, kar omogoča odkrivanje skritih groženj. Nekateri EDR sistemi vključujejo tudi funkcije naprednega antivirusnega varovanja (NGAV), združujejo zaščito pred podpisanimi grožnjami in vedenjsko analizo (revolution.co.nz).
Vendar pa, kot navaja Brenda Buckman, tradicionalni antivirus še vedno igra vlogo v upravljanju odpornosti in skladnosti (compliance), predvsem v reguliranih panogah, kjer je antivirus obvezen in ščiti pred napakami uporabnikov. EDR nadomešča antivirus kot osnovni standard zaščite končnih točk, ker kombinira profilaktične, detekcijske in odzivne vidike. To je ključno v modernem varnostnem okolju (revolution.co.nz).
In kaj to pomeni v praksi? Če zaposleni nenadoma začne dostopati do sistemskih datotek, do katerih običajno ne dostopa, ali če se datoteka zažene s sumljive lokacije, kot je mapa za začasne datoteke (Temp), sistem to zazna kot anomalijo. Kot pravi Vukovič: »EDR gleda, kako se program obnaša – ali počne nekaj nenavadnega. Eden ključnih mehanizmov teh naprednih sistemov je tako imenovani peskovnik (angleško sandboxing). To je tehnika, pri kateri se nova ali sumljiva koda najprej zažene v varnem, izoliranem okolju, kjer sistem natančno spremlja njeno delovanje. Če ugotovi, da skripta poskuša vzpostaviti povezavo z zunanjim strežnikom, izbrisati datoteke ali spremeniti sistemski register, jo označi kot škodljivo, ukrepanje pa steče, še preden pride do dejanske škode.
Dalibor Vukovič je izpostavil še eno pomembno komponento, to je reakcijski čas. »Ko antivirus najde virus, smo morda že okuženi. Ko pa EDR nekaj sumi, se lahko takoj sproži odziv – izolacija računalnika, odklop s strežnika, opozorilo IT oddelku. Hitrost pomeni razliko med incidentom in katastrofo«.
Če torej povzamemo, je antivirus dober kot osnovna zaščita, a sam po sebi ne zadostuje za današnje vedno bolj sofisticirane napade. EDR je torej postal novi standard za zaščito končnih točk, saj omogoča proaktivno odkrivanje, odzivanje, analiziranje in omejevanje groženj v realnem času. V praksi se antivirus še vedno uporablja kot rezerva in skladnostna zahteva, vendar je EDR zdaj temelj celovite varnosti.
SPOT Zasavje, Zagorje ob Savi, 07. 08. 2025
Pripravila:
Jasmina Skrinjar Ključevšek
