2. Oktober 2019

Next Generation Anti-Virus-Schutz: Den Angreifern einen Schritt voraus sein

Klassische Antivirus (AV)-Erkennung arbeitet Pattern-basiert. Das heißt, das Programm untersucht Dateien auf bekannte Muster, die auf bestimmte, bereits identifizierte Bedrohungen hindeuten. Fällt ein solches Muster auf, wird die entsprechende Datei gefiltert, in Quarantäne gesetzt, geblockt oder auch direkt gelöscht. Dabei gibt es aber zwei Probleme. Zum einen kann es passieren, dass Dateien als Bedrohung erkannt werden, die in Wirklichkeit ganz harmlos sind. Sie enthalten nur bestimmte Muster, die denen von bereits bekannten Schadprogrammen ähneln.

Zum zweiten muss ein Muster in der Vergangenheit bereits im Zusammenhang mit einer Bedrohung aufgetreten sein, damit es von dem klassischen AV erkannt wird. Damit läuft diese der Schadsoftware immer hinterher und die IT-Infrastruktur bleibt trotz Einsatz einer AV-Software anfällig für alle noch unbekannten Bedrohungen.

Zuverlässiger Schutz auch vor Zero-Day-Exploits

Next Generation Antivirus-Schutz (NGAV) verfolgt einen anderen Ansatz. Hier werden nicht mehr nur Dateien auf bereits bekannte Muster untersucht, sondern ganze Prozesse beobachtet. In der Regel sind es ausführbare Programme, die den Virus enthalten und das schädliche Programm mitstarten. Erst wenn so ein bösartiger Prozess durch NGAV erkannt wird, reagiert dieser und sondiert den Prozess. Er prüft, was der Prozess macht und wie er sich weiterhin verhält. Will er zum Beispiel Kontakt mit einem Server aufnehmen, der bereits auf der Blacklist steht? Oder will er das System verschlüsseln? Wird ein Prozess als Bedrohung erkannt, ergreift der NGAV die entsprechend festgelegten Schutzmaßnahmen.

Gerade wenn es zum Zero-Day-Malware geht, ist NGAV damit klassischen Lösungen klar überlegen. Dabei geht es um Schadprogramme, die noch nicht identifiziert und von der klassischen AV-Software erfasst worden sind. Sie können damit nicht musterbasiert herausgefischt werden, sondern müssen verhaltensbasiert erkannt werden. Dafür greift ein NGAV auch auf Machine Learning zurück, um solche Prozesse automatisiert zu verstehen und schnell selbständig auf Bedrohungen reagieren zu können.

Zudem kann der NGAV auch gezielt nur die Prozesse stoppen, die eine Bedrohung darstellen. Er legt nicht, wie der klassische AV, gleich das gesamte Programm lahm, in dem der Schadprozess aufgetreten ist. Die Anwender werden also in ihrer Tätigkeit deutlich weniger eingeschränkt.

Weniger Fehlalarme durch Machine Learning

Dabei ist eine sauber eingerichtete NGAV-Lösung auch weniger fehleranfällig als klassische AV-Software. Voraussetzung dafür ist eine gründliche Anpassung an die Zielumgebung im Vorfeld. Gerade unternehmensspezifische Software kann von einem NGAV zunächst als böswillig wahrgenommen werden, da sie Prozesse startet, die dem NGAV unbekannt und damit verdächtig sind. Es ist also notwendig, dass das Programm in einer Anlernphase erst einmal die Arbeitsumgebung mitsamt den darin enthaltenen Software-Lösungen und Prozessen kennenlernt. Danach kann der NGAV zuverlässig und weitgehend ohne False-Positve-Fälle selbständig agieren.

Diese Anlernphase findet direkt in der produktiven Umgebung des Kunden statt, da nur hier die realen Programme und Prozesse zu finden sind. Der NGAV nimmt zunächst einmal nur wahr, was um ihn herum passiert und gibt Handlungsempfehlungen für bestimmte Szenarien. Die Anwender selbst bekommen von der Anlernphase nichts mit. Die Meldungen der Software werden zentral auf der Managementoberfläche der Server angezeigt. Hier kann der Techniker in Zusammenarbeit mit dem Kundenunternehmen evaluieren, ob hier tatsächlich eine Bedrohung vorliegt oder ob es sich um ein False Positive handelt. Sollte letzteres der Fall sein, wird die Software angelernt, dass sie diesen Vorgang nicht mehr als Bedrohung wahrnimmt. Diese Phase dauert gewöhnlich etwa einen Monat. Auch im Live-Betrieb ist die Anzahl der False-Positve-Fälle grundsätzlich deutlich niedriger als bei klassischem AV.

NGAV-Lösungen können mit klassischer AV-Software wie dem vorinstallierten AV von Windows kombiniert werden, aber sie funktionieren auch allein zuverlässig. Die Installation erfolgt direkt on Premise auf den Servern der Unternehmen oder über eine Cloud-Lösung.

Wir beraten Sie gern, „>welche Lösung am besten zu Ihrem Unternehmen passt.

Bild: elenabsl/Shutterstock.com

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Wann hatten Sie Ihre letzte Datenpanne

Wann hatten Sie Ihre letzte Datenpanne?

Können Unternehmen Informationssicherheit proaktiv betreiben? Ja, sie können. Ein gutes Schwachstellenmanagement erkennt Risiken, bevor sie eintreten (z.B. die Ransomware WannaCry oder Petya). Dirk Größer beschreibt in diesem Gastbeitrag, wie sich Schwachstellenmanagement in ein Informationssicherheitsmanagementsystem (kurz […]

weiterlesen
Digitalisierung und die Zukunft des Mittelstands weiterlesen
Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan weiterlesen
Das neue Grau – mod InfrastructureSuite weiterlesen
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten weiterlesen

AKTUELLE ARTIKEL

2.9.2019 – Individueller Umstieg auf Windows 10 weiterlesen
27.6.2019 – Diebstahl von Anmeldedaten: Schutz vor Datenlecks weiterlesen
Ausbildung zum Fachinformatiker und zum IT Systemkaufmann zum 01. August 2020 weiterlesen