Vì sao một chương trình quét virus là không đủ

Trên thị trường hiện nay, không có chương trình quét virus độc lập nào được đánh giá là nhanh nhất hay hiệu quả nhất trong nhận diện các loại virus, trojan và nhiều đe doạ nguy hiểm khác. Bài này sẽ chỉ rõ lý do vì sao sử dụng đa chương trình quét virus ở mức mail server lại là phương thức hiệu quả nhất để ngăn chặn hoạt động tấn công của virus và phát hiện được nơi chúng ẩn náu.

Giới thiệu

Một sự thật không thể phủ nhận trong đời sống IT là virus, trojan, worm, spam và một số dạng phần mềm độc hại khác luôn luôn tiềm ẩn mối đe doạ với tất cả các doanh nghiệp, tổ chức. Chúng tấn công, phá hoại, ăn cắp dữ liệu, gây ra thiệt hại hàng ngàn đô la, tác động tiêu cực tới năng suất và hoạt động của doanh nghiệp. Theo số liệu thống kê năm 2006 của Trung tâm khảo sát an ninh và tội phạm FBI (FBI Crime and Security Survey), 97% trong số các tổ chức được hỏi có cài đặt ít nhất một phần mềm diệt virus, nhưng 65% trong số đó đã từng phải hứng chịu ít nhất một cuộc tấn công do virus gây ra trong 12 tháng gần nhất. Network World cũng dẫn ra một số kết quả nghiên cứu khác: chỉ riêng các công ty ở Mỹ đã phải bỏ ra 3,5 tỷ đô la trong cuộc chiến với Blaster, SoBig.F, Sober và nhiều virus e-mail khác. Tương tự, một cuộc nghiên cứu do chính phủ Anh tiến hành năm 2006 cho thấy, năm 2005 43% các công ty ở Anh đã bị virus tấn công.

Các tổ chức chịu trách nhiệm đồng ý rằng họ cần phải bảo vệ mạng trước các cuộc tấn công của virus bằng cách cài đặt ít nhất một sản phẩm bảo mật e-mail. Song mã độc hại ngày càng tinh vi và được nâng cấp từng ngày, do kỹ năng và trình độ của những kẻ viết ra chúng ngày càng nâng cao. Hình thức phá hoại của virus luôn đi trước một bước so với phương pháp dò tìm của chương trình diệt chúng. Thậm chí chúng có thể dễ dàng lọt qua các giải pháp tường lửa, phần mềm diệt virus cho dù các chương trình này luôn đưa ra thông báo thường xuyên. Thành công của virus là do liên kết được trên diện rộng lỗ hổng logic với điểm yếu kế thừa trên cơ sở các chiến dịch bảo vệ chỉ sử dụng một chương trình diệt virus.

Bài này sẽ giải thích tại sao để trả lời cho câu hỏi: “Liệu một chương trình quét virus có đủ sức bảo vệ mạng nội bộ trước virus, sâu và nhiều đe doạ khác?”, chỉ có một từ ngắn gọn nhưng dứt khoát được đưa ra: “KHÔNG!”. Đồng thời chúng ta cũng sẽ kiểm tra việc cần thiết phải sử dụng đa phần mềm diệt virus để tăng nhanh thời gian phản ứng khi xuất hiện virus mới hay các biến thể của chúng, nhờ đó giảm thiểu nguy cơ mạng có thể bị tấn công. Sử dụng đa phần mềm diệt virus cũng cho phép admin trở thành một chuyên gia độc lập, tự đánh giá được chất lượng cụ thể của từng phần mềm và do đó lựa chọn được sản phẩm tốt nhất, phù hợp nhất với mạng mình quản lý.

Cần thiết phải rút ngắn thời gian phản ứng trước virus

Một trong những yếu tố quan trọng nhất khi muốn bảo vệ mạng thành công trước virus là thời gian cập nhật file định danh virus cho chương trình phải thật nhanh. Các file này do hãng sản xuất phần mềm diệt virus cung cấp, đưa ra các tiêu chuẩn để xác định như thế nào thì được coi là một virus. Thư điện tử cho phép virus được phát tán nhanh chóng với tốc độ ánh sáng trong vài giờ đồng hồ. Một virus e-mail đơn lẻ cũng đủ để có thể tấn công toàn bộ mạng của bạn. Do đó, yếu tố then chốt là các file dấu hiệu phải được update nhanh chóng khi virus mới xuất hiện. Trong tất cả các cuộc tấn công do virus gây ra, luôn có một khoảng thời gian chênh lệch từ thời điểm virus tấn công cho đến khi file dấu hiệu mới được cung cấp, phục vụ cho chương trình diệt virus thủ tiêu và loại trừ triệt để chúng. File dấu hiệu càng được update nhanh, cơ hội cho các cuộc tấn công càng ít. Một nghiên cứu của chính phủ Anh trong năm 2006 cho thấy, trong năm 2005 mặc dù 100% các công ty lớn ở Anh sử dụng sản phẩm anti-virus, nhưng 43% trong số họ vẫn bị virus tấn công, phần lớn do file dấu hiệu về virus mới được đưa ra quá chậm chạp.

Hãng sản xuất phần mềm diệt virus nào cũng khẳng định sản phẩm của mình có thời gian phản ứng nhanh nhất, nhưng thực tế thì không đáng lạc quan như vậy. Mỗi hãng có khoảng thời gian update bản vá diệt virus và worm rất khác nhau. Thậm chí ngay cả với cùng một hãng, thời gian update cho một loại virus có thể chỉ trong 6 giờ, nhưng với virus tiếp sau đó có khi mất đến 18 giờ. Tính phức tạp của vấn đề khiến không một công ty chuyên sản xuất phần mềm bảo mật nào giữ được vị trí số một trong suốt thời gian dài. Một số công ty có thể có tốc độ nhanh hơn ở một thời điểm, nhưng chưa có công ty nào duy trì được vị trí đó quá lâu. Có thể lần này là Kapersky, lần sau lại là McAfee, BitDefender hay Norman…

Sự khác nhau về thời gian chưa hẳn đã phản ánh chất lượng công việc hay độ giỏi, kém của hãng sản xuất. Yếu tố đầu tiên mà nó phản ánh là vị trí địa lý và vùng thời gian.

Một số nghiên cứu về thời gian đưa ra chương trình mới khi virus Worm/Sober xuất hiện của một số hãng sản xuất phần mềm anti-virus.

Bảng minh hoạ thời gian:

Bảng 1 - Thời gian phản ứng của các công ty sản xuất phần mềm diệt virus trước sự xuất hiện của sâu w32.Sober.C:

Phạm vi: từ 10,5 giờ đến 56,5 giờ. Trung bình: 17,5 giờ. Thông thường: 24,53 giờ.
(Theo dữ liệu tháng 2 năm 2004 của VirusBTN)

Bảng 2 - Thời gian phản ứng của các công ty sản xuất phần mềm diệt virus trước sự xuất hiện của sâu w32.Sober.Y:

Phạm vi: từ 11,5 giờ đến 170 giờ. Trung bình: 115,75 giờ. Thông thường: 105,6 giờ.
(Theo dữ liệu tháng 11 năm 2005 của av-Test.de).

Như bạn thấy, thời gian để các công ty đưa ra được chương trình xử lý virus mới phải mất hàng giờ, thậm chí hàng ngày. Khi ấy thì quá đủ để chúng có thể tấn công “tơi bời” mạng của bạn.

Cần phải kết hợp nhiều công nghệ với nhau

Mỗi chương trình quét virus đều có những điểm khác nhau, không có chương trình riêng lẻ nào được cho là tốt nhất. Chúng có những mặt mạnh và điểm yếu riêng. Các sản phẩm phần mềm diệt virus thường tổng hợp nhiều công nghệ trong một bộ hợp nhất. Ba phương thức tổng hợp phổ biến nhất là:

• Sử dụng file định danh virus, được chuẩn bị và cung cấp cơ bản thường xuyên bởi hãng sản xuất phần mềm diệt virus, chứa thông tin chi tiết giúp xác định như thế nào thì được coi là một virus. Update chương trình anti-virus tức là update mới các file định danh.
• Tự tìm tòi, đánh giá theo kinh nghiệm: là phương thức nhằm xác định vị trí ẩn náu, hình thức, cơ chế về virus và các đe doạ khác chưa được đưa vào file dấu hiệu. Về cơ bản, sử dụng phương thức này tức là xem xét các thuộc tính hay đặc trưng khác biệt của một file, đánh giá thuộc tính và cờ có dấu hiệu của virus. Ngoài ra, bạn cũng có thể bắt được các virus biến thể, vốn có “sức đề kháng” rất cao với file định danh.
• Sử dụng sandbox để cô lập và thực thi mã đáng ngờ trên một máy ảo và xác định liệu nó có độc hại hay không.

Nếu tách riêng ra, mỗi công nghệ đều có mặt hiệu quả riêng, nhưng không thể đảm bảo 100% thành công với tất cả các loại virus. Người ta thường sử dụng kết hợp hai hoặc ba sản phẩm cùng một lúc, vì không có giải pháp riêng lẻ nào là tốt nhất. Chỉ có một cách hiệu quả, đảm bảo được mức an toàn và bảo mật cao nhất là sử dụng hàng rào bảo vệ chuyên sâu đa tầng với đa phần mềm diệt virus.

Sử dụng đa phần mềm diệt virus

Theo PC SecurityShield, mỗi ngày có hơn 40 virus mới được tạo ra. Tháng 6 năm 2006, Microsoft thông báo rằng cứ trong 300 máy tính thì có một máy bị malware (phần mềm độc hại) tấn công. Bạn cũng nên nhớ rằng, môi trường ngày nay cho phép malware được tạo ra bởi hàng loạt cá nhân độc lập khác nhau với những phương thức và chiến lược tấn công riêng.

Yếu tố thú vị được đặt lên hàng đầu khi sử dụng đa công cụ diệt virus là đơn giản. Thực tế cho thấy không có chương trình quét virus riêng lẻ nào thực hiện được tất cả chức năng trên mọi lĩnh vực bảo mật, cũng không có chương trình quét virus độc lập nào là nhanh nhất, hiệu quả nhất và “tốt nhất” mọi lúc mọi nơi. Nếu hiện tại bạn đang sử dụng chương trình có thời gian phản ứng trung bình nhanh nhất, rất tốt. Nhưng đừng nên nghĩ rằng với virus mới xuất hiện tiếp theo, thời gian phản ứng của nó cũng sẽ là “nhanh nhất”. Vấn đề không phải nằm ở chỗ liệu công cụ quét virus có tốc độ phản ứng nhanh nhất với một vài virus cụ thể, hay không được trang bị tổng hợp nhiều công nghệ cần thiết mà là mạng của bạn có thể sẽ bị tấn công nhanh chóng, để lại nhiều hậu quả hết sức nặng nề. Hậu quả có thể là thiệt hại về năng suất, để lại thời gian chết, mất cơ hội kinh doanh và tăng thêm chi phí cho doanh nghiệp.

Hơn nữa, qua nhiều lần, các bản update của một chương trình quét virus có thể sẽ bị sai sót. Đó là do các hãng sản xuất luôn cố gắng phát hành các bản upate này càng nhanh càng tốt để đọ sức với các cuộc tấn công của virus mới. Dựa trên một công cụ riêng lẻ thường dẫn đến thất bại, do virus có thể đi đường vòng, lọt qua hàng rào bảo vệ còn nhiều khiếm khuyết của một chương trình xử lý, trong khi nếu dùng đa công cụ, bạn sẽ được cung cấp một bản sao lưu.

Cảnh báo nhỏ

Sử dụng đa công cụ quét virus là giải pháp an toàn và thông minh hơn, nhưng có một điểm quan trọng bạn nên nhớ là phải hiểu rõ bạn đang có trong tay những gì. Sử dụng 5 chương trình quét virus không có nghĩa là bạn có 5 tầng bảo vệ. Đơn giản bạn chỉ được cung cấp 5 cơ hội để có được câu trả lời chính xác. Mỗi câu trả lời, nói một cách hình tượng, là các sự kiện độc lập. Cũng tương tự như việc vượt qua năm vòng kiểm tra ở sân bay, khi mỗi nhân viên an ninh chịu trách nhiệm kiểm tra một bộ phận, được tổ chức theo hình thức chuyên sâu. Do đó, bạn có cơ hội nắm bắt được sự kiện trước khi nó diễn ra.

Các cuộc tấn công liên tục làm suy giảm tính năng hiệu quả của hàng rào bảo vệ

Trở lại với báo cáo nghiên cứu năm 2006 của FBI/CSI với 65% công ty bị tấn công ít nhất một lần trong 12 tháng gần nhất, khiến các tổ chức ở Mỹ bị thiệt hại gần 16 triệu đô la. Có thể tất cả đối tượng tham gia cuộc nghiên cứu đều là người dùng phần mềm diệt virus dòng công nghiệp. Thất bại trong bảo vệ mạng thường được ghi nhận là do sử dụng công cụ diệt virus riêng lẻ

Đa tầng được dùng trong hầu hết các dạng thức an ninh, bảo mật khác

Rất khó có thể tìm ra tổ chức nào chỉ sử dụng một hàng rào bảo vệ hay hệ thống cảnh báo riêng lẻ để bảo vệ tất cả tài nguyên vật lý có giá trị trước nhiều nguy cơ đe doạ như trộm cắp, cố ý phá hoại, hoả hoạn, thảm hoạ tự nhiên… Thay vào đó là sự phổ biến của lớp bảo vệ đa tầng với nhiều thành phần như hàng rào an ninh, camera theo dõi, hệ thống phun nước chống cháy và mái vòm. Tất cả đều có hệ thống sao lưu nếu gặp lỗi hoặc sự cố thất bại.

Dữ liệu của một tổ chức, đa phần đều là tài nguyên quý giá, cũng đòi hỏi phải có hệ thống bảo vệ đa dạng như vậy. Dĩ nhiên hệ thống đa dạng này chỉ có thể được cung cấp bởi nhiều công cụ diệt virus kết hợp với nhau. Cho đến nay, chưa có một phương thức nào khác đáng tin cậy hơn cho bạn lựa chọn.

Mô hình mới và chiến lược mới

Như đã nói ở trên, hàng rào phòng thủ với một công cụ quét virus riêng lẻ không đem lại hiệu quả trong hoạt động bảo vệ mạng. Do đó đòi hỏi bạn phải xác định chiến lược khác tương thích với lớp bảo vệ đa chương trình. Các tổ chức cần triển khai giải pháp quét phân tầng, kết hợp nhịp nhàng hoạt động sao cho tại mỗi thời điểm có ít nhất một phần mềm được update dấu hiệu virus mới. Sử dụng đa công cụ quét virus cũng tức là kết hợp nhiều chức năng kỹ thuật lại với nhau để chống lại tất cả các đe doạ. Khi đó, mạng của bạn được bảo vệ ở mức an toàn tối đa.

Không có cái gì là hoàn hảo, nhưng sử dụng 4 hoặc 5 chương trình quét virus đồng thời qua trình quản lý đa công cụ như GFI MailSecurity for Exchange/SMTP sẽ giúp mạng của bạn được bảo vệ hiệu quả, an toàn. Bạn hoàn toàn có thể tin tưởng rằng, một hãng sản xuất riêng lẻ cũng có thể đáp ứng nhanh chóng, kịp thời và phù hợp với yêu cầu đưa ra.

Tìm hiểu một chút về GFI MailSecurity for Exchange/SMTP

GFI MailSecurity for Exchange/SMTP là giải pháp bảo mật e-mail, cung cấp phương thức xác định lỗ hổng, phân tích nguy cơ đe doạ và diệt virus, loại bỏ hiệu quả tất cả nguy hiểm đến từ thư điện tử trước khi chúng có thể tác động lên người dùng e-mail của một tổ chức. GFI MailSecurity sử dụng đa bộ quét virus để rà soát tất cả e-mail, như, McAfee, BitDefender, Norman và AVG Anti-Virus. Ngoài ra còn có một số thành phần quan trọng khác như modul kiểm tra file đính kèm và nội dung e-mail, có thể cách ly các đối tượng này nếu phát hiện có nguy hiểm; một lưới bảo vệ khai thác lỗ hổng, để ngăn chặn virus dựa trên lỗ hổng hiện thời và có thể cả trong tương lai (như Nimda, Bugbear); một cơ chế rà soát HTML, để loại bỏ các script HTML; một chương trình quét trojan và file chạy (Trojan & Executable Scanner), để dò tìm file thực thi độc hại. Muốn biết thêm thông tin và download bản dùng thử nghiệm của GFI MailSecurity for Exchange/SMTP , các bạn có thể vào: http://www.gfi.com/adentry.asp?adv=25&loc=112