Co se změnilo: od podpisů k vícevrstvé ochraně
Ještě před několika lety byl princip antiviru jednoduchý: program porovnal soubor s databází známých škodlivých kódů a případnou shodu zablokoval. Tento model fungoval proti masově šířeným virům a trojanům, ale dnes už nestačí. Útočníci používají polymorfní malware, bezsouborové útoky, zneužívají legitimní nástroje systému a často se vůbec nesnaží „infikovat soubor“ v klasickém slova smyslu.
Podle bezpečnostních firem tvoří velkou část incidentů phishing, kompromitované účty a útoky přes skripty nebo cloudové služby. To znamená, že ochrana se musela posunout od jednoduchého skenování k průběžnému vyhodnocování chování, reputace souborů, síťové komunikace i kontextu zařízení. Moderní antivirus je dnes spíš bezpečnostní platforma než samostatný skener.
Jak moderní antivirus skutečně pracuje
Současné řešení obvykle kombinuje několik metod najednou. První vrstva je stále podpisová detekce, ale už jde jen o základ. Vedle ní běží heuristika, která hledá podezřelé vzorce v kódu, behaviorální analýza sledující chování aplikací a cloudová reputace, která porovnává soubor s databází známých hrozeb v reálném čase.
Prakticky to funguje tak, že antivirus při otevření souboru nebo spuštění procesu vyhodnotí, zda je objekt známý, odkud pochází, zda se chová standardně a zda se nepokouší o akce typické pro malware. Patří sem například pokus o injektáž do jiného procesu, změny v registrech, manipulace s bezpečnostními nástroji nebo neobvyklá komunikace s externím serverem.
Mnoho řešení dnes využívá i strojové učení. Nejde o „magickou“ ochranu, ale o modely, které se učí rozpoznávat charakteristiky škodlivého kódu a podezřelých akcí. Výhoda je rychlost a schopnost zachytit i nové varianty útoků. Nevýhoda je riziko falešných poplachů, proto kvalitní antiviry kombinují několik signálů a nevyhodnocují jen jednu vlastnost.
Proč samotný sken souborů nestačí
Klasický sken má zásadní omezení: detekuje jen to, co už zná, nebo co vypadá natolik podezřele, že to odpovídá pravidlům. Útočníci proto stále častěji používají legitimní nástroje systému, například PowerShell, WMI nebo skripty v Office dokumentech. Soubor samotný může být neškodný, ale po spuštění stáhne další komponenty, připojí se na řídicí server a začne pracovat až v paměti.
Další slabinou je šifrování a archivace. Škodlivý kód může být ukrytý v ZIPu, skrývat se za makrem nebo být doručen přes odkaz na cloudové úložiště. Antivirus, který kontroluje jen lokální soubor bez kontextu, nemusí útok zachytit včas. U moderních kampaní navíc rozhoduje rychlost – útok může trvat jen několik minut, než se stáhne payload, ukradnou přihlašovací údaje a stopa zmizí.
Typický příklad: uživatel dostane fakturu v e-mailu. Příloha neobsahuje klasický virus, ale dokument s makrem nebo odkazem na stažení dalšího souboru. Podpisový skener může nic nenajít, protože příloha je nová nebo upravená. Behaviorální ochrana ale zaznamená, že dokument spouští skript, vytváří nové procesy a komunikuje s podezřelou doménou. Právě zde se ukazuje rozdíl mezi starým a moderním přístupem.
EDR, XDR a ochrana v reálném čase
V prostředí firem už antivir často nestačí bez nástrojů EDR nebo XDR. EDR, tedy Endpoint Detection and Response, sleduje dění na koncových zařízeních mnohem podrobněji než běžný antivirus. Zachytává události, ukládá jejich historii a pomáhá bezpečnostnímu týmu zjistit, odkud útok přišel, jak se šířil a co přesně změnil.
XDR jde ještě dál a propojuje data z koncových zařízení, e-mailu, cloudu, identity a sítě. To je důležité, protože dnešní útok často nezačíná na počítači, ale na účtu v Microsoft 365, v e-mailové schránce nebo přes slabé heslo do VPN. Pokud se bezpečnost dívá jen na souborový systém, vidí jen část problému.
Pro menší firmy i jednotlivce je důležité sledovat alespoň tyto funkce:
- ochrana v reálném čase při otevření souboru i při stahování z webu,
- cloudová reputace souborů a domén,
- ochrana proti ransomwaru včetně blokace podezřelého šifrování,
- kontrola webu a e-mailu,
- detekce podezřelého chování procesů a skriptů.
Co má dělat správně nastavená ochrana na webu, v systému i u lidí
Účinná ochrana nezačíná antivirem, ale kombinací technických a organizačních kroků. Na počítačích by měly být zapnuté automatické aktualizace operačního systému i aplikací, protože útočníci často zneužívají staré zranitelnosti v prohlížečích, PDF čtečkách nebo kancelářských balíčcích. Ve firmách je vhodné používat správu zařízení, tedy MDM nebo endpoint management, aby bylo možné vynutit šifrování disku, silná hesla a oddělená oprávnění.
Na úrovni webu a e-mailu má smysl nasadit filtry proti phishingu, DMARC, SPF a DKIM pro ochranu domény a blokování neznámých příloh. Uživatelé by neměli mít administrátorská práva pro běžnou práci. Pokud se škodlivý kód spustí pod běžným účtem, škody bývají výrazně menší. V praxi se tím snižuje i riziko, že malware vypne bezpečnostní nástroje nebo zašifruje celé zařízení.
Důležitá je také záloha. Moderní ransomware často cílí na lokální i síťové disky, proto by zálohy měly být oddělené, verzované a pravidelně testované. Ideální je pravidlo 3-2-1: tři kopie dat, na dvou různých médiích, jedna mimo hlavní prostředí. Bez obnovitelné zálohy je i dobře fungující antivirus jen část obrany.
Jak vybírat antivirus v roce 2026 a co sledovat v praxi
Při výběru bezpečnostního řešení se neřiďte jen cenou nebo počtem hvězdiček v recenzích. Důležité je, zda produkt nabízí behaviorální ochranu, webovou filtraci, ochranu proti ransomwaru, správu zařízení a přehledné reporty. U firem sledujte také možnost centrální správy, integraci s Microsoft 365 nebo Google Workspace a kvalitu supportu při incidentu.
Ověřit se vyplatí i dopad na výkon. Některé produkty výrazně zpomalují start systému, práci s disky nebo kompilaci ve vývojářském prostředí. V ideálním případě by měl antivirus běžet téměř neviditelně, ale zároveň dávat administrátorovi jasné informace o tom, co blokuje a proč. Při testu je vhodné sledovat i počet falešných poplachů, protože příliš agresivní ochrana může narušit práci týmu stejně jako slabá ochrana.
Pro běžného uživatele i malou firmu platí jednoduché pravidlo: antivirus je dnes jen jedna vrstva. Když je doplněn o aktualizovaný systém, bezpečné chování v e-mailu, dvoufaktorové ověřování, zálohy a základní monitoring, výrazně roste šance, že se útok zastaví dřív, než způsobí škodu. Pokud chybí tyto doplňky, samotný sken souborů už moderní hrozby neuhlídá.