Vì sao một chương trình quét virus là không đủ?
Trên thị trường hiện nay, không có chương trình quét virus độc lập nào được đánh giá là nhanh nhất hay hiệu quả nhất trong nhận diện các loại virus, trojan và nhiều đe doạ nguy hiểm khác. Vậy cách giải quyết là gì?
Bài viết này sẽ chỉ rõ lý do vì sao sử dụng đa chương trình quét virus ở mức mail server lại là phương thức hiệu quả nhất để ngăn chặn hoạt động tấn công của virus và phát hiện được nơi chúng ẩn náu.
Một sự thật không thể phủ nhận trong đời sống IT là virus, trojan, worm, spam và một số dạng phần mềm độc hại khác luôn luôn tiềm ẩn mối đe doạ với tất cả các doanh nghiệp, tổ chức. Chúng tấn công, phá hoại, ăn cắp dữ liệu, gây ra thiệt hại hàng ngàn đô la, tác động tiêu cực tới năng suất và hoạt động của doanh nghiệp.
Theo số liệu thống kê năm 2006 của Trung tâm khảo sát an ninh và tội phạm FBI (FBI Crime and Security Survey), 97% trong số các tổ chức được hỏi có cài đặt ít nhất một phần mềm diệt virus, nhưng 65% trong số đó đã từng phải hứng chịu ít nhất một cuộc tấn công do virus gây ra trong 12 tháng gần nhất. Network World cũng dẫn ra một số kết quả nghiên cứu khác: chỉ riêng các công ty ở Mỹ đã phải bỏ ra 3,5 tỷ USD trong cuộc chiến với Blaster, SoBig.F, Sober và nhiều virus e-mail khác. Tương tự, một cuộc nghiên cứu do chính phủ Anh tiến hành năm 2006 cho thấy, năm 2005 43% các công ty ở Anh đã bị virus tấn công.
Các tổ chức chịu trách nhiệm đồng ý rằng họ cần phải bảo vệ mạng trước các cuộc tấn công của virus bằng cách cài đặt ít nhất một sản phẩm bảo mật e-mail. Song mã độc hại ngày càng tinh vi và được nâng cấp từng ngày, do kỹ năng và trình độ của những kẻ viết ra chúng ngày càng nâng cao. Hình thức phá hoại của virus luôn đi trước một bước so với phương pháp dò tìm của chương trình diệt chúng. Thậm chí chúng có thể dễ dàng lọt qua các giải pháp tường lửa, phần mềm diệt virus cho dù các chương trình này luôn đưa ra thông báo thường xuyên. Thành công của virus là do liên kết được trên diện rộng lỗ hổng logic với điểm yếu kế thừa trên cơ sở các chiến dịch bảo vệ chỉ sử dụng một chương trình diệt virus.
Vậy “Liệu một chương trình quét virus có đủ sức bảo vệ mạng nội bộ trước virus, sâu và nhiều đe doạ khác?”, chỉ có một từ ngắn gọn nhưng dứt khoát được đưa ra: “KHÔNG!”.
Đồng thời chúng ta cũng sẽ kiểm tra việc cần thiết phải sử dụng đa phần mềm diệt virus để tăng nhanh thời gian phản ứng khi xuất hiện virus mới hay các biến thể của chúng, nhờ đó giảm thiểu nguy cơ mạng có thể bị tấn công. Sử dụng đa phần mềm diệt virus cũng cho phép admin trở thành một chuyên gia độc lập, tự đánh giá được chất lượng cụ thể của từng phần mềm và do đó lựa chọn được sản phẩm tốt nhất, phù hợp nhất với mạng mình quản lý.
Cần thiết phải rút ngắn thời gian phản ứng trước virus
Một trong những yếu tố quan trọng nhất khi muốn bảo vệ mạng thành công trước virus là thời gian cập nhật file định danh virus cho chương trình phải thật nhanh. Các file này do hãng sản xuất phần mềm diệt virus cung cấp, đưa ra các tiêu chuẩn để xác định như thế nào thì được coi là một virus. Thư điện tử cho phép virus được phát tán nhanh chóng với tốc độ ánh sáng trong vài giờ đồng hồ.
Một virus e-mail đơn lẻ cũng đủ để có thể tấn công toàn bộ mạng của bạn. Do đó, yếu tố then chốt là các file dấu hiệu phải được update nhanh chóng khi virus mới xuất hiện. Trong tất cả các cuộc tấn công do virus gây ra, luôn có một khoảng thời gian chênh lệch từ thời điểm virus tấn công cho đến khi file dấu hiệu mới được cung cấp, phục vụ cho chương trình diệt virus thủ tiêu và loại trừ triệt để chúng. File dấu hiệu càng được update nhanh, cơ hội cho các cuộc tấn công càng ít.
Một nghiên cứu của chính phủ Anh trong năm 2006 cho thấy, trong năm 2005 mặc dù 100% các công ty lớn ở Anh sử dụng sản phẩm anti-virus, nhưng 43% trong số họ vẫn bị virus tấn công, phần lớn do file dấu hiệu về virus mới được đưa ra quá chậm chạp.
Hãng sản xuất phần mềm diệt virus nào cũng khẳng định sản phẩm của mình có thời gian phản ứng nhanh nhất, nhưng thực tế thì không đáng lạc quan như vậy. Mỗi hãng có khoảng thời gian update bản vá diệt virus và worm rất khác nhau. Thậm chí ngay cả với cùng một hãng, thời gian update cho một loại virus có thể chỉ trong 6 giờ, nhưng với virus tiếp sau đó có khi mất đến 18 giờ.
Tính phức tạp của vấn đề khiến không một công ty chuyên sản xuất phần mềm bảo mật nào giữ được vị trí số một trong suốt thời gian dài. Một số công ty có thể có tốc độ nhanh hơn ở một thời điểm, nhưng chưa có công ty nào duy trì được vị trí đó quá lâu. Có thể lần này là Kapersky, lần sau lại là McAfee, BitDefender hay Norman…
Sự khác nhau về thời gian chưa hẳn đã phản ánh chất lượng công việc hay độ giỏi, kém của hãng sản xuất. Yếu tố đầu tiên mà nó phản ánh là vị trí địa lý và vùng thời gian.
Một số nghiên cứu về thời gian đưa ra chương trình mới khi virus Worm/Sober xuất hiện của một số hãng sản xuất phần mềm anti-virus. Như bạn thấy, thời gian để các công ty đưa ra được chương trình xử lý virus mới phải mất hàng giờ, thậm chí hàng ngày. Khi ấy thì quá đủ để chúng có thể tấn công “tơi bời” mạng của bạn.
Cần phải kết hợp nhiều công nghệ với nhau
Mỗi chương trình quét virus đều có những điểm khác nhau, không có chương trình riêng lẻ nào được cho là tốt nhất. Chúng có những mặt mạnh và điểm yếu riêng. Các sản phẩm phần mềm diệt virus thường tổng hợp nhiều công nghệ trong một bộ hợp nhất. Ba phương thức tổng hợp phổ biến nhất là:
• Sử dụng file định danh virus, được chuẩn bị và cung cấp cơ bản thường xuyên bởi hãng sản xuất phần mềm diệt virus, chứa thông tin chi tiết giúp xác định như thế nào thì được coi là một virus. Update chương trình anti-virus tức là update mới các file định danh.
• Tự tìm tòi, đánh giá theo kinh nghiệm: là phương thức nhằm xác định vị trí ẩn náu, hình thức, cơ chế về virus và các đe doạ khác chưa được đưa vào file dấu hiệu. Về cơ bản, sử dụng phương thức này tức là xem xét các thuộc tính hay đặc trưng khác biệt của một file, đánh giá thuộc tính và cờ có dấu hiệu của virus. Ngoài ra, bạn cũng có thể bắt được các virus biến thể, vốn có “sức đề kháng” rất cao với file định danh.
• Sử dụng sandbox để cô lập và thực thi mã đáng ngờ trên một máy ảo và xác định liệu nó có độc hại hay không.
Nếu tách riêng ra, mỗi công nghệ đều có mặt hiệu quả riêng, nhưng không thể đảm bảo 100% thành công với tất cả các loại virus. Người ta thường sử dụng kết hợp hai hoặc ba sản phẩm cùng một lúc, vì không có giải pháp riêng lẻ nào là tốt nhất. Chỉ có một cách hiệu quả, đảm bảo được mức an toàn và bảo mật cao nhất là sử dụng hàng rào bảo vệ chuyên sâu đa tầng với đa phần mềm diệt virus.
Sử dụng đa phần mềm diệt virus
Theo PC SecurityShield, mỗi ngày có hơn 40 virus mới được tạo ra. Tháng 6 năm 2006, Microsoft thông báo rằng cứ trong 300 máy tính thì có một máy bị malware (phần mềm độc hại) tấn công. Bạn cũng nên nhớ rằng, môi trường ngày nay cho phép malware được tạo ra bởi hàng loạt cá nhân độc lập khác nhau với những phương thức và chiến lược tấn công riêng.
Yếu tố thú vị được đặt lên hàng đầu khi sử dụng đa công cụ diệt virus là đơn giản. Thực tế cho thấy không có chương trình quét virus riêng lẻ nào thực hiện được tất cả chức năng trên mọi lĩnh vực bảo mật, cũng không có chương trình quét virus độc lập nào là nhanh nhất, hiệu quả nhất và “tốt nhất” mọi lúc mọi nơi. Nếu hiện tại bạn đang sử dụng chương trình có thời gian phản ứng trung bình nhanh nhất, rất tốt.
Nhưng đừng nên nghĩ rằng với virus mới xuất hiện tiếp theo, thời gian phản ứng của nó cũng sẽ là “nhanh nhất”. Vấn đề không phải nằm ở chỗ liệu công cụ quét virus có tốc độ phản ứng nhanh nhất với một vài virus cụ thể, hay không được trang bị tổng hợp nhiều công nghệ cần thiết mà là mạng của bạn có thể sẽ bị tấn công nhanh chóng, để lại nhiều hậu quả hết sức nặng nề. Hậu quả có thể là thiệt hại về năng suất, để lại thời gian chết, mất cơ hội kinh doanh và tăng thêm chi phí cho doanh nghiệp.
Hơn nữa, qua nhiều lần, các bản update của một chương trình quét virus có thể sẽ bị sai sót. Đó là do các hãng sản xuất luôn cố gắng phát hành các bản upate này càng nhanh càng tốt để đọ sức với các cuộc tấn công của virus mới. Dựa trên một công cụ riêng lẻ thường dẫn đến thất bại, do virus có thể đi đường vòng, lọt qua hàng rào bảo vệ còn nhiều khiếm khuyết của một chương trình xử lý, trong khi nếu dùng đa công cụ, bạn sẽ được cung cấp một bản sao lưu.
Cảnh báo nhỏ
Sử dụng đa công cụ quét virus là giải pháp an toàn và thông minh hơn, nhưng có một điểm quan trọng bạn nên nhớ là phải hiểu rõ bạn đang có trong tay những gì. Sử dụng 5 chương trình quét virus không có nghĩa là bạn có 5 tầng bảo vệ. Đơn giản bạn chỉ được cung cấp 5 cơ hội để có được câu trả lời chính xác. Mỗi câu trả lời, nói một cách hình tượng, là các sự kiện độc lập. Cũng tương tự như việc vượt qua năm vòng kiểm tra ở sân bay, khi mỗi nhân viên an ninh chịu trách nhiệm kiểm tra một bộ phận, được tổ chức theo hình thức chuyên sâu. Do đó, bạn có cơ hội nắm bắt được sự kiện trước khi nó diễn ra.
(Theo Quản trị mạng/MsExchange)