Anti-Virus in the Cloud

Diese Seite wurde zuletzt am 21.05.2019 um 11:43 Uhr geändert.

"Cloud" - Was versteht man darunter?

Cloud Computing ist keine neue Erfindung der Anti-Viren-Industrie, sondern existiert schon länger. Übersetzt bedeutet es in etwa "Rechnen in der Wolke", wobei mit Wolke das Internet gemeint ist.
Im Prinzip bedeutet Cloud Computing die Verlagerung von Rechnerkapazitäten und Diensten in das Internet, welche dann dynamisch dem Bedarf entsprechend zur Verfügung gestellt und abgerufen werden können.
Als Beispiele können hier der E-Mail-Server beim Provider, der angemietete Speicherplatz f ür das Backup, der gemietete Spam-Filter oder der virtuelle Server für eine spezielle Softwareanwendung bei einem Hosting-Unternehmen angeführt werden. Zusammengefasst alle Dienste, die über das Internet bereitgestellt werden können.
Der Dienst, der von Anti-Virus (AV) in the Cloud erbracht wird, ist vereinfacht umschrieben das Vorhalten von Bewertungen für Dateien, Web-Links und E-Mails zur Unterstützung für den lokal installierten Anti-Virus. Dieser tauscht mit einem im Internet stehenden Server Informationen über die untersuchte Datei aus und erfährt, ob es sich um zweifelsfreie Software oder bekannte Malware handelt.

Anti-Virus in the Cloud? Wie kommt es dazu?

Die Malware-Welt hat sich in den letzten Jahren dramatisch geändert. Kamen ein paar Jahre früher nur einige hundert neue Malware-Samples pro Monat neu auf den Markt, so waren es für das Jahr 2010 schon mehr als 2 Mio. neue Malware-Samples, also mehrere tausend pro Tag.
Auch die Komplexität der Malware ist gleichermaßen angestiegen. Bestand Malware früher meist aus einem Stück, so unterteilt sich Malware, die heutzutage über das Internet verbreitet wird, in der Regel in mehrere Teile, die beliebig ausgetauscht und aktualisiert werden können. Die Vielzahl an Sicherheitslücken in Betriebssystemen und Programmen erlauben den Angreifern, bei jedem Opfer eine andere Kombination von Techniken anzuwenden, um die Kontrolle über das Zielsystem zu erlangen. Die Malware wird automatisch individuell für das Opfer zusammengestellt. Dies hat zur Folge, dass ein Großteil der Samples oftmals nur wenige Minuten "alive" bzw. verfügbar ist und zum Teil auch nur in geringen Stückzahlen zielgerichtet verteilt wird.
Als Konsequenz dessen steigt die Zahl der Virus-Definitionen stark an. Obwohl die Latenzzeiten bei der Auslieferung der Signaturen immer weiter gekürzt wurden, sind diese oftmals zu spät auf dem Endgerät installiert, während das Haltbarkeitsdatum der Malware dann bereits abgelaufen ist. Außerdem leidet die Performanz der Endgeräte immer stärker unter der Größe der Virus-Signaturdateien, ganz zu schweigen von der Zunahme der Gefahr, dass auch ein gutes Programm fälschlicherweise als Malware (False Positive) erkannt wird. Viele Hersteller sehen sich daher gezwungen, neue Wege zu beschreiten.
Eine Lösung, die hier eine entscheidende Verbesserung verspricht, ist AV in the Cloud.

Wie funktioniert AV in the Cloud?

Die "Cloud" ist mit einer riesigen Datenbank vergleichbar, die viele ausführbare Dateien bekannter Hersteller wie von Microsoft (z. B. Windows und Office), Adobe usw. kennt und deren Bewertungen vorhält (Whitelisting). Dazu kommen diverse bekannte Samples von Malware, Malware-Familien und deren Verhaltensmuster.
Wenn der Anwender z. B. im Internet surft, lädt er Dateien herunter, die vom Browser dargestellt oder ausgeführt werden sollen. Lokale Entscheidungen des AV-Programms werden in einer Reihe von Schritten mit Informationen aus der Cloud verifiziert. Sobald einer der Schritte ein eindeutiges Ergebnis liefert, wird die Datei blockiert oder ausgeführt.
Ist die untersuchte Datei schon bekannt, gibt der Server ein OK zur Ausführung oder bestätigt den Malware-Fund. Gegebenenfalls wird beim Benutzer die Erlaubnis zur Übertragung der fraglichen Datei an den Hersteller zur Analyse (im Unternehmen macht der Administrator entsprechende Vorgaben) erfragt.
Damit das Verfahren schnell ist, müssen die regulär ausgetauschten Datenpakete sehr klein sein. Komplette Dateien machen daher keinen Sinn. Bei F-Secure sind es z. B. nur Prüfsummen und Hash-Werte, Name und Pfad der Datei, u. U. erkanntes Verhalten und die Entscheidung des Nutzers / Administrators. Nur in Ausnahmenfällen und wenn eine Zustimmung durch den Nutzer erfolgt ist, kann das Sample bei Bedarf übertragen werden. Insgesamt hat das Verfahren keine negative Auswirkung auf die Performanz.

Vorteile von Cloud-unterstützter Erkennung.

Malwarebekämpfung mit der Cloud ist ein vielversprechendes Verfahren:

1. Die Signatur-Dateien können durch generische Erkennungen wesentlich kleiner werden, unklare Ergebnisse können von der Cloud bestätigt werden. Dies führt zu besserer Performance und weniger Speicherverbrauch.
2. Signaturen für Malware stehen jedem Anwender sofort nach der Analyse zur Verfügung. Er braucht nicht mehr auf das nächste Update zu warten.
3. Produktionsausfälle durch False Positives (FPs) in lokalen Applikationen werden eliminiert, da der Administrator die wichtigen Anwendungen selbst freigeben kann. FPs von Dateien, die aus dem Internet stammen, sind möglich und ärgerlich, aber stellen i. d. R. kein Problem dar.
4. Rollbacks im Falle von FPs waren bisher problematisch, denn sie betreffen nicht nur die eine (falsche) Erkennung, sondern auch die zuletzt zugefügten Signaturen. Über die Cloud können FPs schneller behoben werden als durch ein Rollback der Signaturen. Das Sicherheitsniveau bleibt erhalten.

Anwendungen

Beispielsweise arbeiten die folgenden Produkte mit Cloud-Unterstützung.

• F-Secure Client Security mit DeepGuard

Zusammenfassung

Der klassische Anti-Virus mit der signatur- und verhaltensbasierten Erkennung auf dem PC wird durch die Cloud-Technologie nicht ersetzt, sondern unterstützt und entlastet. Die Cloud-gestütz

te Erkennung ist eine zusätzliche, reaktive Komponente mit möglicher Verbesserung der Reaktionszeiten auf neue Bedrohungen und die Scan-Zeiten können durch Whitelist-Informationen sogar zusätzlich verbessert werden.