Schneller internationaler Versand
ISO 9001/27001 Unternehmenszertifizierung
Herstellerzertifizierte Experten für Ihr Projekt-
Schneller internationaler VersandISO 9001/27001 UnternehmenszertifizierungHerstellerzertifizierte Experten für Ihr Projekt
Die meisten modernen Virenscanner setzten auf reaktive und proaktive Methoden, um vor Malware zu schützen. Bei der reaktiven Methode wird der „Fingerabdruck“ bei der Ausführung einer verdächtigen Datei mit einer Datenbank von Fingerabdrücken bekannter Viren, einer sogenannten Signaturdatenbank, verglichen. Gibt es eine Übereinstimmung, wird der Virus als solcher erkannt und neutralisiert, bevor er Schaden anrichten kann. Der Nachteil liegt auf der Hand: Gibt es keine Übereinstimmung und es handelt sich dennoch um Schadsoftware, merkt der Nutzer dies erst, wenn es bereits zu spät ist. Zudem muss ein neues Virenexemplar zeitintensiv „von Hand“ von Spezialisten analysiert werden, bevor es zur Signaturdatenbank hinzugefügt werden kann und somit für alle weiteren Instanzen des Antivirenprogramms verfügbar ist.
Viele moderne Computerviren besitzen Mechanismen, um diese Methode der Virenentfernung zu umgehen. Man spricht, wie bei ihren realen Konterparts, von einer „Mutation“: Der Aufbau des Virus wird automatisch so verändert, dass selbst Virenschutzprogramme die bereits eine ältere Version der gleichen Malware indexiert haben, die neue Mutation nicht erkennen.
Daher werden beim Virenschutz oft zusätzliche proaktive Methoden wie Verhaltensanalysen oder Heuristik verwendet. So sollen auch unbekannte Computerviren schnell erkannt und automatisch indexiert werden. Die Antivirensoftware überwacht und prüft dabei das Verhalten von allen laufenden Programmen in Echtzeit. Dies passiert entweder während des aktiven Betriebs oder in einer Sandbox, einem abgeschotteten Bereich innerhalb des Systems. Werden Merkmale bekannter Viren in unbekannten Programmen identifiziert oder wird von einem scheinbar harmlosen Programm ein bestimmter Schwellenwert von verdächtigen Aktionen überschritten, wird Alarm geschlagen.
Diese Methoden sind zwar wesentlich erfolgreicher in der Erkennung von unbekannten Schadprogrammen, bringen aber gleichzeitig Nachteile für den Endnutzer mit sich: In beiden Fällen muss die Malware erst ausgeführt werden, bevor sie als solche erkannt werden kann. In einer Sandbox ist dies zwar weitaus sicherer, aber oftmals sehr zeit- und ressourcenintensiv. Nutzerfreundlichkeit muss zwangsweise der Sicherheit weichen.
Wo andere Anbieter weiterhin auf tägliche Updates von Signaturdatenbanken, das geschulte Auge von Spezialisten und das Ausführen von potentiell gefährlichen Programmen bauen, geht das 2012 gegründete Unternehmen Cylance einen innovativ anderen Weg. Sie setzen auf einen präventiven Ansatz: Ihr Antivirenschutz CylancePROTECT verwendet eine Mischung aus Artificial Intelligence, Machine Learning und der Cloud, um bekannte sowie unbekannte Malware zu stoppen, bevor diese überhaupt ausgeführt werden kann. Was sich im ersten Moment wie Buzzword-Bingo und „Minority Report“ anhört, ist in der Praxis erstaunlich effektiv: In unabhängingen Virenschutz-Tests von MRG Effitas und AV-Comparatives erzielte CylancePROTECT eine 91,6 %ige bzw. 92 %ige Erkennungsrate bei Viren aus freier Wildbahn - und das gänzlich ohne traditionelle Methoden wie einer Signaturdatenbank oder Heuristik. Tendenz steigend.
Aber wie?
Laut Cylance, welches zu den derzeit am schnellsten wachsenden Security-Startups der Welt gehört, zerlegt CylancePROTECT jede Datei in ihre Grundbausteine, um so individuelle Charakteristiken zu analysieren. Dabei greift die künstliche Intelligenz, welche im Kern von CylancePROTECT arbeitet, auf eine Mischung aus angewandter Mathematik und maschinellen Lernens auf Basis eines Datensets von sowohl sicheren als auch unsicheren Dateien zurück. Das erlaubt ihr, in Sekundenbruchteilen zu entscheiden, ob eine unbekannte Datei bedrohlich ist oder nicht. Dabei ist sie nicht auf eine Internet- oder Cloud-Anbindung angewiesen – alle Tests werden lokal durchgeführt. Durch diesen ungewöhnlichen Ansatz ist die KI von CylancePROTECT sogar in der Lage, plattformübergreifend vor Zero-Day-Exploits zu schützen.
Bei der Analyse von fremden Dateien geht die Virensoftware jedoch anfangs oft sehr aggressiv vor, was unter Umständen zu Falschalarmen führen kann. Dahinter verbirgt sich ein weiteres Feature von CylancePROTECT: Nach manueller Nachbesserung passt sich die lernfähige KI schnell an die Umstände einer neuen Umgebung an und kann so noch effektiver vor Bedrohungen schützen.
CylanceHYBRID erlaubt es, CylancePROTECT-Instanzen auch ohne Verbindung aller Endpunkte zur Cloud einzurichten. So können auch interne Netzwerke oder Netzwerke mit sensiblen Daten ohne direkte Internetverbindung effizient und gefahrlos geschützt werden. Durch die Verwendung von CylanceAPI kann die Antivirussoftware problemlos in bestehende Sicherheitslösungen integriert werden. Das Paket wird abgerundet durch CylanceOPTICS, einem umfangreichen Endpoint Detection and Response (EDR) Tool, welches dabei hilft, die Ursachen einer Blockierung durch CylancePROTECT zu analysieren und darzustellen.