Má-li oblast informačních technologií nějaký ryze specifický rys, pak je to prakticky exponenciální zrychlování vývoje a neustálý tlak na upgrade počítačů, sítí a samozřejmě software. To platí bez výjimky u uživatelů všech zaměření, typů a velikostí. Nemáme v úmyslu široce se zabývat historickými exkurzy do dřevní doby "XTéček" s pamětí 512 kB, harddiskem 10 MB a opravdu pružnými "pětačtvrtkami" disketami. Skutečnost je už prostě taková, že v okamžiku, kdy si pořizujeme nový notebook nebo server, můžeme si být jisti, že za 18 měsíců bude vedle nejnovějšího modelu vypadat jako postarší, sice dobře, leč nákladně udržovaná dáma vedle vysportované sebevědomé krásky bez vrásek, a pokud si takový stroj necháte ještě dalších 18 měsíců… nechám raději srovnání - přečtěte si ho ve Villonově Baladě o někdejší krásné zbrojmistrové.

Jak to souvisí s antivirovou ochranou velkých organizací? Kromě vlastního technologického úprku existuje v oblasti AV ochrany ještě další rovina, a to nárůst počtu nově objevených virů za časovou jednotku a zkracování intervalu aktualizací. Dnešní producenti antivirových technologií se shodují v tom, že v současnosti je známo okolo padesáti tisíc virů a jejich mutací. Není sporu o tom, že jen malá frakce se dostane mezi uživatele do skutečného oběhu, tedy takzvaně "into the wild"; naprostá většina virů tedy existuje pouze v laboratorních podmínkách. Jestliže jsme však před deseti lety zaznamenali zpravidla jeden - dva opravdu nebezpečné viry ročně (kalibru OneHalf nebo Michelangelo) a jejich šíření bylo odkázáno na sdílení disketami nebo sítěmi v oné době omezeného rozsahu, před dvěma lety se výskyt virů této ráže zvýšil na půl až jeden měsíčně, a v dnešní době skutečně nebezpečný virus nebo worm přichází každý týden (od května minulého roku je této skutečnosti znalá i nejširší veřejnost díky velmi medializovanému viru I Love You). Nebezpečnost současných virů nespočívá však jen v jejich vlastním destrukčním účinku, ale především v rychlosti, kterou se šíří, v aktivním využívání nástrojů Internetu a samozřejmě ve využívání bezpečnostních děr v aplikacích a operačních systémech, případně v kombinaci těchto prvků.

Výrobci AV software reagují třemi způsoby: První je zřejmý - vývoj nových antivirových technologií jako odpověď na nové technologie virových hrozeb. Příkladem může být například program ScriptChecker, který vznikl jako bezprostřední odpověď firmy Kaspersky Lab na již zmiňovaný virus I LoveYou. Druhým způsobem je neustálé zkracování intervalů aktualizací svých produktů. I tato skutečnost je dobře známa: před půl desítkou let bylo běžným standardem dodávat čtvrtletní aktualizace a dnes již neexistující britská firma Dr. Solomon´s byla jednou z prvních, jež zavedla jako horkou novinku měsíční upgrade svých technologií. Dnes je týdenní aktualizace naprostou samozřejmostí (např. McAfee) a každodenní aktualizace nejsou ničím výjimečným (Kaspersky Lab, Panda Software a další). Třetím faktorem je vývoj a zdokonalování systémů centrálního řízení antivirové ochrany v sítích.

Ponechme tedy stranou rostoucí stres, jemuž jsou vystaveni ve vývojových centrech společnosti zabývající se antiviry jejich programátoři a viroví analytici. Podívejme se na věc z úhlu manažera bezpečnosti větší instituce, jež má za úkol vybrat, nainstalovat a udržovat aktuální antivirovou ochranu na např. 1000 PC. Předpokládejme, že daná společnost má vypracovány zásady bezpečnostní politiky a že tyto zásady rovněž obsahují i aspekty související s antivirovou ochranou, respektive způsoby řešení masivního útoku viru na infrastrukturu dané firmy.

Kritéria výběru produktu
Dostatečně důvěryhodný produkt s historií a konzistencí dobrých či vynikajících výsledků v nezávislých testech, pokrývající veškerá prostředí, kam má být implementován. Jinými slovy, důvěryhodný znamená podporovaný, výsledky v testech nesmí mít citelné výkyvy, a produkt by měl být schopný pracovat v běžných operačních systémech, měl by být integrovatelný do poštovních prostředí (Microsoft Exchange, Lotus Domino) a umět chránit internetový provoz. Lokalizované verze nemusí být ani výhodou, ani podmínkou, neboť z principu by antivirová ochrana stanic měla být uživatelům nedostupná a měla by se omezit na strohé konstatování (pokud vůbec) o nalezení viru v daném souboru a na informaci, jakým způsobem virus skončil svoji bídnou existenci. U drtivé většiny AV programů lze tyto zprávy upravit, a tudíž vytvořit v místním jazyce. Ke kritériím výběru patří i rychlost reakce na nový virus: řada výrobců (Symantec, Network Associates a další) má tento proces do značné míry automatizován a poskytují dokonce časové záruky reakce na nový virus; ve skutečnosti však v případě opravdu nebezpečných nebo komplikovaných virů (Magistr) jsou tyto mechanismy nahrazovány klasickou analýzou a vývojem vakcíny standardními postupy s využitím nejlepších odborníků, které má ta která společnost k dispozici.

Instalace
Instalace poskytuje zpravidla dvě základní varianty - buďto je systém vybaven vlastním distribučním nástrojem, jakým bývala např. Dr. Solomon´s Management Edition nebo jakým je McAfee e-Policy Orchestrator, nebo lze využívat instalace pomocí balíčků distribuovaných jinými produkty - například Microsoft SMS. Je možné instalovat vzdáleně, například pomocí login skriptů (Kaspersky Lab a další). Vlastní prvotní instalace je pak pouze ovlivněna propustností sítě.

Údržba
Ačkoliv se tento bod zdá být jasný a samozřejmý, bývá největším kamenem úrazu. Nezřídka se v praxi setkáváme s případy, kdy odpovědní pracovníci dané organizace tráví velké množství času nad výběrem systému a obchodními podmínkami jeho dodávky a poté, co se přehoupnou přes tyto (pro vlastní ochranu v zásadě málo podstatné) momenty, založí krabici s mediakitem spokojeně do police a mají pocit, že úkol je splněn. Bohužel, právě u velkých organizací začínají problémy právě v této fázi.

Pokusíme se identifikovat ty nejzákladnější:

. Instalace u určitého počtu stanic proběhla nekorektně nebo neproběhla vůbec. Hovoříme-li o tisícovce stanic, velmi skromná tříprocentní nedostupnost (ať s jakýmkoli důvodem) znamená třicítku počítačů, jimž se musí daný správce věnovat individuálně. U několika tisíc počítačů (a ani v Čechách nejsou takové sítě již výjimečné) mluvíme již o stovkách otevřených bran pro viry, zpravidla ještě na různých místech. Souhrnná a spolehlivá informace o průběhu instalací by tedy měla být naprostou samozřejmostí.

. Aktualizace virových signatur nebo vyhledávací technologie u určitého počtu stanic neproběhla korektně. Tento případ je ještě nebezpečnější než předchozí, neboť uživatel má pocit, že je chráněn a správce může žít v dobré víře, že má všude nainstalován aktuální software (vždyť těch výše jmenovaných třicet stanic s vyplazeným jazykem poctivě oběhal), a tudíž se není čeho bát. Dobrá centrální správa by měla poskytnout spolehlivé informace jak o verzích instalací (vyhledávací technologie), tak o aktualizacích (databáze virových signatur).

. Na síti se stále vyskytují viry a to i přesto, že instalaci i aktualizaci byla věnována maximální péče. To je bohužel trvalý stav, s nímž je třeba se od určitého počtu stanic v síti prostě smířit. I tady pravděpodobně platí ve fyzice běžná záporná exponenciální závislost mezi vynaloženou námahou a "čistotou" sítě: Stav, kdy na žádném z počítačů ani serverů nejsou žádné viry je u instalací s několika stovkami stanic nedosažitelný stejně jako absolutní nula v termodynamice nebo rychlost světla. Kvalitní centrální správa však může dát k dispozici informace o jaké viry se jedná a na jakých stanicích se vyskytují nejčastěji, případně v jakých časech je jejich výskyt nejčastější. Vyzbrojen těmito údaji může manažer zodpovědný za bezpečnost bez problému zasáhnut proti neukázněným uživatelům, kteří buďto instalovanou AV ochranu obcházejí, nebo svévolně mění konfiguraci (moderní stanicová verze antiviru by ovšem neměla uživatelům dovolit do nastavení vůbec zasahovat).

. Bezpečnostní politika se na virové incidenty neaplikuje. Smutným příkladem jsou případy, kdy zásady bezpečnostní politiky vypracované zpravidla za nemalé peníze konzultantskou firmou a schválené managementem prostě nejsou používány. Kromě toho opravdu mocné nástroje centrální správy - například McAfee E-policy Orchestrator - jsou schopny reagovat i v případech, kdy dojde k napadení sítě novým neznámým virem, který doposud není zahrnut v aktualizované verzi nasazeného antiviru, a to i bez použití heuristické analýzy. Princip je jednoduchý a ti, kdož zažili masivní útok viru I Love You, mu budou okamžitě rozumět: Dojde-li k příjmu zprávy se stejným subjektem nebo zprávy se stejnou přílohou vícekrát (např. 10 x) za zvolený časový interval, podnikne se první krok: bezpečnostní manažer obdrží varování. Pokud se frekvence výskytu této podezřelé zprávy zmnoží např. o řád, podnikne se další krok - systém se pokusí vyhledat nejnovější verzi antiviru na příslušných serverech a implementovat případně nalezenou aktualizaci okamžitě do sítě. A tak dále; aplikace bezpečnostní politiky může vyvrcholit vypnutím poštovního systému nebo odpojením systému od Internetu. Tato velmi drastická opatření se však mohou ukázat jako velmi účinná a z hlediska minimalizace škod při napadení i jako zcela optimální.

Závěrem
Čtenář, který dospěl až sem, a očekává na závěr nějakou všeplatnou moudrost, bude asi zklamán. Je zřejmé, že vybrat, instalovat, ale zejména udržovat funkční systém antivirové ochrany (tj. stále aktuální na maximálním počtu stanic) ve větší organizaci není zdaleka jednoduchý úkol zejména vzhledem k vysoké frekvenci, s níž je nutno ho aktualizovat. Prvořadým kritériem je tedy maximální stupeň automatizace těchto procesů a samozřejmě jejich vysoká spolehlivost. Zásadním momentem je účinná, spolehlivá a funkční správa antivirového systému obsahující možnost poskytování centrálně směřovaných informací (zpětná vazba), jež mohou sloužit nejen jako životně důležitý zdroj dat o existujících instalacích a o aktuálních verzích, ale zejména jako zdroj přehledných údajů o virových incidentech s možností vyhodnocení z různých podhledů a v různých rovinách. Má-li váš antivirový systém tyto vlastnosti, udělali jste pro zabezpečení vašich dat před počítačovými viry maximum.

Pozn.: Autor článku zastává funkci obchodního ředitele společnosti PCS Software s.r.o.