Gefahr erkannt, Gefahr gebannt: Bedrohungen aus dem Internet frühzeitig aufspüren
Malware-Attacken haben immer häufiger kriminelle Absichten. Mit hohen Verbreitungsgeschwindigkeiten und komplexen Verhaltensmustern zwingen sie Virenschutzanbieter dazu, ständig neue Virensignaturen bereit zu stellen. Besonders kritisch für Attacken aus dem Internet ist das Zeitfenster zwischen dem Auftreten des Schädlings und der Verfügbarkeit des Signatur-Updates. Im Wettlauf um die Sicherheit sind die Virenschreiber den Security-Anbietern jedoch stets einen Schritt voraus. Denn Malware wird erst dann veröffentlicht, wenn die gängigen Virenscanner nicht mehr auf die Schädlinge ansprechen. Reaktive Sicherheitsmaßnahmen alleine reichen daher nicht aus, um den Schutz des Computers zu gewährleisten. Früherkennungstechnologien wie Sandboxing, Heuristiken und Behavioral Blocking sollen dabei helfen, auch unbekannte Schädlinge abzuwehren.
„Virenschreiber sind gegenüber Sicherheitsanbietern klar im Vorteil – sie haben alle Zeit der Welt und lassen ihre Kreaturen erst dann auf die Rechner los, wenn sie von keiner Schutzlösung mehr erkannt werden. So können sie das Zeitfenster zwischen der Verbreitung des Schädlings und der Verfügbarkeit des Updates gezielt für Ihre Zwecke nutzen. Hier setzt unsere Früherkennungstechnologie B-HAVE an. Mit B-HAVE lässt sich Malware auch dann erkennen und beseitigen, wenn noch gar keine Signaturen für den Schadcode verfügbar sind“, so Martin Siemens, Geschäftsführer von BitDefender.
Sandkastenspiele hinter Gittern
Beim Sandbox-Verfahren wird die verdächtige Datei in einer virtuellen Laufzeitumgebung gestartet und isoliert auf seine Wirkung hin getestet. Dies hat den Vorteil, dass Malware nicht auf das Betriebssystem übergreifen und dort Schaden anrichten kann. Allerdings dauert die Kontrolle neuer Viren am Gateway lange und ist ressourcenaufwändig.
Verhaltensmuster enttarnen Schädlinge
Heuristiken durchsuchen Dateien, E-Mails und deren Anhänge nach verdächtigen Befehlen. Die Heuristik bezieht sich hierbei auf Code-Abfolgen, unübliche Befehle und Verhaltensmuster, die dem Sicherheitsprogramm bereits von früheren Angriffen als bösartig bekannt sind. So lassen sich neue oder mutierte Schädlinge entlarven, für die es noch keine Virusdefinitionen gibt. Da dieses Suchverfahren auf empirischen Annahmen basiert, können Fehlalarme aber nicht vollkommen ausgeschlossen werden. Dies zwingt bei der Einstellung der Heuristik-Engine zu einer Gratwanderung zwischen einem sehr restriktiven Scan-Modus mit dem Risiko vieler Fehlalarme und einem vergleichsweise geringen Schutzeffekt.
Behavioral Blocking interpretiert Code in Echtzeit
Die Früherkennungstechnologie B-HAVE von BitDefender kombiniert beide Verfahren. Durch eine hierarchisierte Behandlung des Datenverkehrs werden der hohe Ressourcenbedarf der Sandbox und die Fehlalarme der Heuristik minimiert: B-HAVE unterzieht nur die Dateien einer verhaltensbasierten Prüfung, die von der Heuristik aufgrund bekannter Code-Bestandteile als verdächtig gekennzeichnet werden. Dadurch reduziert sich die Zahl der zu prüfenden Dateien deutlich, was sich positiv auf die Systemauslastung auswirkt. Gleichzeitig sinkt das Risiko von Fehlalarmen. Im Gegensatz zum Sandbox-Verfahren simuliert das System jedoch keinen virtuellen Computer. Stattdessen werden alle Dateien in der normalen Laufzeitumgebung gestartet. Dabei interpretiert die Sicherheitslösung das Verhalten des Codes in Echtzeit. Darüber hinaus haben die Verhaltens-Blocker einen entscheidenden Vorteil gegenüber allen anderen Früherkennungstechnologien: Während es viele Möglichkeiten gibt, Malware so zu modifizieren und zu tarnen, dass sie von signaturbasierten Scannern und Heuristiken nicht mehr erkannt werden, lassen sich Programmbefehle nicht verändern. Gibt eine Anwendung unaufgefordert einen nicht zulässigen Befehl, greift der verhaltensbasierte Blocker ein und verhindert die Ausführung des Schadprogramms.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER