Schneller internationaler Versand
ISO 9001/27001 Unternehmenszertifizierung
Herstellerzertifizierte Experten für Ihr Projekt-
Schneller internationaler VersandISO 9001/27001 UnternehmenszertifizierungHerstellerzertifizierte Experten für Ihr Projekt
Welche Vorteile bietet das brandneue Deep Learning gegen Zero-Day Malware? Der Kampf gegen Schadsoftware ist fast so alt wie der Computer selbst. Anfangs eher als harmlose Scherze gedacht, ist sie heute zu einer nicht zu unterschätzenden Gefahr für Privatpersonen und Unternehmen herangewachsen. Das Auftauchen erster gefährlicher Computerviren gab den Anstoß zur Entwicklung von Antivirensoftware. Diese reagiert aber lediglich auf die Symptome – der Schaden beim Nutzer ist in der Regel bereits angerichtet.
Klassische Virenscanner arbeiten mit Hilfe von Signaturen. Dieser virtuelle Fingerabdruck hilft dem Virenscanner, einen Virus eindeutig als solchen zu identifizieren. Das hat den Vorteil, dass bekannte Bedrohungen zuverlässig und schnell erkannt werden. Der Nachteil: Bereits bekannte Schadsoftware kann durch eine einfache Änderung des Codes, einer sogenannten „Mutation“, vor erneuter Wiedererkennung geschützt werden.
Rein signaturbasierende Antiviren-Lösungen sind daher lediglich reaktiv - ein vorbeugender Schutz ist nicht möglich. Um effektiv zu sein, müssen Signaturen regelmäßig aktualisiert werden, bestenfalls mehrmals am Tag. Im Umkehrschluss ist der Computer so oftmals bis zu mehreren Stunden nicht vor neuen Bedrohungen geschützt. In der heutigen Zeiten, in denen sich Viren innerhalb von Minuten weltweit ausbreiten, ist dies inakzeptabel. Darüber hinaus sind Signaturdatenbanken häufig bis zu mehrere Megabyte groß. Je nach Unternehmensgröße kann dies eine reale Belastung für das Firmennetzwerk darstellen und im schlimmsten Fall den Einsatz von Servern zum Zwischenspeichern der Updates erfordern.
Daher ist heute ein rein reaktive Vorgehensweise keine Option mehr. Malware wird immer raffinierter und so ein zuverlässiges Werkzeug für Spionage und Erpressung – also alles andere als ein harmloser Scherz. Die Antwort der Entwickler von Antivirenscanner: Der Einsatz einer sogenannten heuristischen Analyse. Dabei werden unbekannte Dateien mit einem Algorithmus untersucht und es wird beobachtet, wie diese auf dem Computer des Nutzers verhalten. Im Vergleich zu Signaturen ist das Entdecken von unbekannten Bedrohungen mit dieser Methode durchaus möglich. Auch das Umgehen der Erkennung durch verändern der Schadsoftware wird unterbunden, da sich der Schädling nach wie vor gleich verhält. Aber auch hier gibt es Nachteile: „False-Positive“ Erkennungen, also eine irrtümliche Erkennung einer harmlosen Datei als Schädling, kommen immer wieder vor, da sich manche Software zumindest teilweise gleich wie Schadsoftware verhält. In einem solchen Fall müssen sogenannte „Whitelists“ gepflegt oder der Algorithmus vom Hersteller aus angepasst werden.
Was macht Sophos bei Intercept X anders?
Um eines gleich vorweg zu nehmen: Das Rad hat Sophos nicht neu erfunden. Aber einen neuen Ansatz haben sie gewählt. Um die heuristische Analyse zu verbessern, nutzt Sophos das sogenannte Deep Learning. Dabei trainiert man virtuelle neuronale Netze auf das Erkennen von Schadsoftware. Nachteil von Deep Learning ist, dass eine riesige Menge an Trainingsmaterial benötigt wird, um den Algorithmus effektiv anzulernen. Deep Learning ist daher ein sehr aufwendiges Verfahren, bietet dem Endkunden aber viele Vorteile: Die Erkennungsrate steigt im Vergleich zu herkömmlichen heuristischen Analysen deutlich an und die Rate der „False Positives“ sinkt erheblich. Durch kleine, inkrementelle Updates wird der Algorithmus, welcher laut Sophos lediglich 20 MB Speicherplatz benötigt, stetig weiterentwickelt und belastet somit nicht das Firmennetzwerk.
Einen Schutz vor Schadsoftware, welcher nicht von Signaturen abhängig ist, nur kleine Updates erfordert und neue Bedrohungen zuverlässig und schnell erkennen kann. Das Ganze bietet Sophos mit Intercept X. Dateien können innerhalb von Millisekunden analysiert werden, noch bevor sie ausgeführt werden können. Dadurch kann auch ein präventiver Schutz gewährleistet werden. Eine neue Schadsoftware kann bereits erkannt werden, ohne dass der Scanner ein Update benötigt. Der Nutzer selber bekommt davon erst mit, wenn Intercept X Alarm schlägt, weil es eine Bedrohung entdeckt hat.
Sophos hat ein Video produziert, wo demonstriert wird, wie Intercept X auf eine Bedrohung reagiert. In diesem Fall die Ransomware Petya, welche letztes Jahr zusammen mit WannaCry die Welt erschüttert hat.