Antivirus-Schutz wird sozial

Menschen verlassen sich oft auf ihren Freundeskreis, um Unterstützung zu erhalten. Jetzt hofft ein Start-up-Unternehmen, diese sozialen Verbindungen zu nutzen, um Sicherheitssoftware zu entwickeln und bereitzustellen, die Benutzer vor Computerviren und anderen digitalen Bedrohungen schützt.





Bedrohungsanalyse: Immunet Protect (oben) gibt Updates zu den Bedrohungen, die von der Software gestoppt werden, die sich noch in der Entwicklung befindet. Zukünftige Versionen werden Informationen zu Schadsoftware enthalten, die auf den Computern von Freunden entdeckt wurde.

Am Mittwoch Start-up Immunet angekündigt sein erstes Produkt, Immunet Protect, ein Programm, das heruntergeladene Dateien mit einem Verzeichnis bösartiger Software wie Viren und Trojaner überprüft. Das Unternehmen schließt sich einer Handvoll anderer an, die einen Großteil seiner Erkennungsfunktionen in einen Dienst umwandeln, der über das Internet oder die Cloud angeboten wird. Der eigentliche Unterschied besteht jedoch laut den Gründern in der Fähigkeit der Software, digitale Gemeinschaften zu schützen – jene Benutzer, die über soziale Netzwerke wie Instant Messaging, Facebook oder Twitter miteinander verbunden sind.

Da bösartige Software schnell über Nachrichten verbreitet wird, die per E-Mail, Instant Messaging und anderen sozialen Technologien an Freunde gesendet werden, plant Immunet, dieselben Wege zu verwenden, um die erforderlichen Informationen zum Schutz der Benutzer zu senden, sagt Oliver Friedrichs, CEO und Gründer des vierköpfigen Feste.



Wir sehen eine Zunahme der Bedrohungen, die über soziale Netzwerke verbreitet werden, sowie Angriffe auf soziale Netzwerke im Allgemeinen, sagt Friedrichs. Ihr soziales Netzwerk wird zu einem größeren Angriffsvektor als in der Vergangenheit. Unser Ansatz besteht darin, dieses soziale Netzwerk zu schützen.

Immunet-Benutzer können sehen, wer in ihrem sozialen Netzwerk ein aktueller Benutzer des Dienstes ist. Facebook-Nutzer könnten beispielsweise sehen, welcher ihrer Freunde Immunet Protect ebenfalls installiert hat. Der Dienst ermöglicht es den Benutzern auch zu sehen, ob ihre Freunde einen größeren Anteil an Bedrohungen gesehen haben als die gesamte Bevölkerung von Immunet Protect-Benutzern.

Die Idee ist, bösartige Programme weniger als Analyseproblem zu behandeln – bei dem eine Datei überprüft wird, um festzustellen, ob sie eine Bedrohung darstellt – und eher als Data-Mining-Problem, sagt Friedrichs. Wenn eine neue Datei auf den Computer eines Benutzers heruntergeladen wird, werden Informationen zu mehr als 100 Attributen an die Server von Immunet gesendet. Wird eine Bedrohung erkannt, reagiert der Dienst in einer Fünftelsekunde; andernfalls darf die Datei ausgeführt werden, während das Unternehmen versucht, die Dateiattribute zu analysieren.



Es gibt heute so viele Bedrohungen, dass ein Analyst sie nicht alle analysieren kann. Daher verwenden wir Data-Mining-Techniken, um die Nadeln im Heuhaufen zu finden, sagt Friedrichs. Wir betrachten unsere Nutzerbasis als ein sehr großes Sensornetzwerk.

Es ist kein Geheimnis, dass aktuelle Antivirensoftware Probleme hat, die neuesten Bedrohungen zu erkennen. Letzte Woche veröffentlichte die Antivirenfirma Panda Security einen Bericht, der zeigt, dass 52 Prozent der Schadsoftware länger als 24 Stunden nicht gesehen werden, weil die Cyberkriminellen, die für die Verbreitung der Software verantwortlich sind, den Binärcode jeden Tag auf andere Weise komprimieren und neu anordnen, a Technik, die als Packen bekannt ist. Die Möglichkeit, Code neu anzuordnen, hat traditionelle Antiviren-Unternehmen benachteiligt. In einem Forschungsbericht Im vergangenen Jahr veröffentlichte haben Informatiker der University of Michigan herausgefunden, dass selbst die besten Antivirenprogramme nur drei Viertel des neu gepackten Schadcodes erkennen können. Es dauerte drei Monate, bis die beste Antiviren-Engine 90 Prozent der gefährlichen Software erkannte.

Sicherheit in Zahlen: Immunet Protect lässt sich in Facebook integrieren, damit Benutzer sehen können, ob ihre Freunde die Software verwenden.



Es gibt leider keine einfache Lösung für das Problem, sagt Jon Oberheide , ein Doktorand an der University of Michigan und Hauptautor des Artikels. Der Kampf ist ziemlich asymmetrisch, wobei die Waage stark zugunsten des Angreifers gekippt ist. Wir müssen unsere Anstrengungen und Ressourcen auf Ansätze konzentrieren, die diese Asymmetrie deutlich reduzieren, anstatt das endlose Spiel des reaktiven Aufholens fortzusetzen, das die Anbieter offensichtlich verlieren.

Um Viren schneller verarbeiten und analysieren zu können, sind mehrere Unternehmen auf ein Cloud-Modell umgestiegen, bei dem der Scanner nicht eine intelligente Analyse-Engine auf den Computern jedes Benutzers installiert, sondern ein dummes Programm ist, das jede neue Datei in eine Liste von Attributen umwandelt, die dann gesendet werden zu den Servern des Softwareanbieters. Diese Server analysieren die Dateiattribute und stellen fest, ob sie bösartig ist.

Andere Antivirus-Firmen haben bereits damit begonnen, ihre Antivirus-Software nach dem Cloud-Computing-Modell umzubauen. McAfee, Panda und Prevx bieten den Benutzern bereits ein gewisses Maß an automatisierter Analyse als Online-Dienst.



Pedro Bustamante, Senior Research Advisor bei Panda Security, argumentiert, dass Community-Daten Antivirus-Firmen helfen können, ihre Analysebemühungen zu priorisieren. Panda sieht täglich fast 50.000 Dateien, von denen etwa 37.000 Beispiele für bösartigen Code sind.

Ich habe noch kein Produkt gesehen, das die Community als Erkennungsfaktor nutzt, sagt er. Ich denke, es könnte eine schöne Ergänzung zur Erkennungstechnologie sein, aber keine eigenständige Lösung.

Mit dem Ansatz von Immunet befindet sich das Unternehmen jedoch in einem sehr frühen Stadium einer Cloud-Antivirus-Lösung, fügt Bustamante hinzu. Die Entwicklung dieser Technologien in der Cloud dauert lange.

Friedrichs unterstreicht, dass der Service von Immunet noch nicht vollständig ist – er befindet sich noch in der Entwicklung. Das Unternehmen arbeitet daran, generische Erkennungen und Heuristiken zum Kennzeichnen großer Kategorien von Bedrohungen hinzuzufügen, die ihre Identifizierung erleichtern sollen. Darüber hinaus erwägt das Unternehmen derzeit Möglichkeiten, mit potenziell schädlichen Dateien umzugehen, wenn der Computer des Benutzers nicht mit dem Internet verbunden ist.

verbergen