Die Viren-Wettervorhersage: heiter bis wolkig

Einleitung

Surft man im Internet auf den entsprechenden Webseiten oder nimmt an bestimmten Diskussionen teil, so stößt man in letzter Zeit unweigerlich auf Beiträge, die auf irgendeine Art mit dem Einsatz von Cloud-Technologien für Antiviren-Programme zu tun haben.

Die Meinungen zu diesem Thema sind vielfältig: Sie reichen von Vorwürfen gegen die Hersteller, die Wolken würden ausschließlich PR-Zwecken dienen, seien ansonsten aber völlig sinn- und nutzlos, bis hin zu Beteuerungen, mit diesen Wolken sei das Allheilmittel gegen alle Übel schlechthin gefunden worden. An den Diskussionen beteiligen sich sowohl Anwender als auch Sicherheitsexperten, unter denen die Meinungen allerdings ebenfalls auseinander gehen.

Dieser Artikel ist ein Versuch, der Wahrheit auf die Spur zu kommen. Behandelt wird ausschließlich die Echtzeit-Wechselwirkung zwischen den Antiviren-Produkten, die auf den Computern der Anwender installiert sind und der Wolken-Infrastruktur des Antiviren-Herstellers. SaaS (Software-as-a-Service) und Hosted-Services spielen in diesem Beitrag keine Rolle.

Der Vereinfachung halber nennen wir die Infrastruktur des Antiviren-Unternehmens Antiviren-Wolke. Diese bearbeitet die von den Computern der User des Antiviren-Produkts empfangenen Daten und ist für die Aufdeckung neuer, noch unbekannter Bedrohungen zuständig. Die Begriffe Cloud und Wolke sind in diesem Zusammenhang bereits in den allgemeinen Sprachgebrauch eingegangen und wird im Folgenden auch hier verwendet. Die Frage, ob eine solche Bezeichnung gerechtfertigt ist oder nicht, soll an dieser Stelle nicht beantwortet werden.

Worauf der Artikel dagegen eine Antwort geben möchte, ist die Frage, was genau Antiviren-Wolken eigentlich sind und worin ihre Vor- und Nachteile liegen. Die Analyse richtet sich in erster Linie an Leser, die daran interessiert sind, was es mit dem Wolken-AV auf sich hat, die dessen Funktionsprinzipien verstehen wollen und zudem erfahren möchten, welchen Platz er im Viren-Schutz des Anwenders einnimmt.

Die Vorwolken-Ära – oder: die Voraussetzungen für die Wolkenbildung

Im Laufe der letzten zwanzig Jahre wurden hauptsächlich die Signatur-basierte oder die heuristische Objektanalyse zum Schutz vor Viren eingesetzt. Um schädliche Inhalte effektiv zu bekämpfen, waren diese Technologien aus folgenden Gründen auch völlig ausreichend:

  • Neue Schadprogramme erschienen zunächst nur relativ selten und selbst die damals noch nicht sehr zahlreichen Virenlabore der Antiviren-Unternehmen wurden mit ihnen fertig.
  • Die Reaktionsgeschwindigkeit, die durch gewöhnliche Updates des auf den Anwender-Computern installierten AV-Produkts gewährleistet wird, genügte den Anforderungen der damaligen Zeit und reichte aus, um die Bedrohungen zu blockieren.

Die Entwicklung der Massenkommunikation Anfang des neuen Jahrtausends, die rasch ansteigende Zahl der Internet-User sowie der Einstieg der Geschäftswelt ins Netz schufen allerdings verlockende Bedingungen für die Cyberkriminalität. Ursprünglich wurden Schadprogramme aus Jux geschrieben oder um das Selbstwertgefühl ihres Autors zu heben. Dagegen haben sich aus der Möglichkeit, virtuelle Besitztümer der Anwender zu Geld zu machen, gewichtige Motive entwickelt, Schadprogramme als Einnahmequelle zu entwickeln.


Zunahme einzigartiger Schaddateien, die von Kaspersky Lab abgefangen wurden

Neben dem Anstieg neuer Schaddateien wurden auch die Methoden, den Anwendern das Geld abzunehmen, immer vielfältiger: Die Cyberkriminellen entwickelten immer effektivere Angriffs-Techniken.


Malware-Entwicklungsstadien

Die Hersteller von Antiviren-Software verbesserten die heuristischen Methoden zur Erkennung von Schadprogrammen fortwährend und integrierten Systeme zur automatisierten und/oder automatischen Erkennung in ihre Produkte. Die letztgenannte Maßnahme führte zu einer spürbaren Verbesserung des Updateumfangs. Denn ein Update ist bereits dann zu groß, wenn dessen Download dem Anwender merkliche Unannehmlichkeiten bereitet und so Unzufriedenheit hervorruft.


Anstieg der Größe von AV-Updates in Megabyte nach Jahren einschließlich Prognose für das Jahr 2010

Die Konfrontation zwischen Cyberkriminellen und Antiviren-Unternehmen spitzte sich zu und jede Seite begann nun, sich intensiv mit den Werkzeugen und Methoden der Gegenseite auseinanderzusetzen. In den Jahren 2008 und 2009 wurden die Abstände, mit denen neue Schadprogramme auf den Plan traten, so kurz, dass die üblichen Aktualisierungssysteme an ihre Grenzen stießen und eine wirksame Abwehr der Schädlinge nicht mehr gewährleisten konnten. Laut einer Studie des Unternehmens NSS Labs aus dem zweiten Quartal 2010 benötigen Antiviren-Unternehmen zur Blockierung von Web-Bedrohungen zwischen 4,62 und 92,48 Stunden. Eine grundsätzliche Steigerung der Reaktionsgeschwindigkeit auf Computer-Bedrohungen mit Hilfe üblicher Antiviren-Updates ist ausgeschlossen. Die Zeitspannen, die für die Entdeckung der Schädlinge, deren anschließende Analyse und die Testverfahren zur Erstellung der Aktualisierungen benötigt werden, sind bereits auf ein Minimum reduziert.


Prozess zum Schutz des Anwenders vom Zeitpunkt des Auftretens einer Bedrohung bis zur Installation der Antiviren-Updates

Es schien, als könnten heuristische Erkennungs-Methoden die Reaktionsgeschwindigkeit erhöhen, da sie eine Bedrohung bereits bei ihrem Erscheinen blockieren können, ohne auf die Veröffentlichung von Antiviren-Updates angewiesen zu sein. Allerdings liegt die Erkennungsquote heuristischer Methoden nur bei durchschnittlich 50 bis 70 Prozent, was im Umkehrschluss bedeutet, dass 30 bis 50 Prozent der neu auftretenden Bedrohungen heuristisch nicht erfasst werden.

Daher muss sich die Antiviren-Industrie in der letzten Zeit mit folgenden Fragen auseinandersetzen:

  • Wie lassen sich die Schutzprozesse automatisieren, um den lawinenartigen Strom neuer Bedrohungen abzuwehren?
  • Wie lassen sich die Größen der Antiviren-Datenbanken minimieren, ohne gleichzeitig das hohe Schutzniveau zu beeinträchtigen?
  • Wie lässt sich die Reaktionsgeschwindigkeit auf neu auftretende Bedrohungen entscheidend verbessern?

Diese Fragen veranlassen die Entwickler von Schutzlösungen in letzter Zeit dazu, sich immer intensiver der Entwicklung alternativer Methoden zur Aufspürung, Entdeckung und Blockierung aktueller Bedrohungen zu widmen. Zu diesen Methoden zählen auch die Antiviren-Wolken.

Funktionsweise der Antiviren-Wolken

Wie bereits eingangs erwähnt, bezeichnet in diesem Artikel die Antiviren-Wolke die Infrastruktur eines Antiviren-Unternehmens. Diese wird dazu eingesetzt, von den Computern der Anwender stammende Informationen zu bearbeiten und um neue, bisher nicht entdeckte Bedrohungen aufzudecken. Dabei bleibt die Speicherungs- und Bearbeitungstechnik vor dem Anwender verborgen. Das auf dem Computer des Users installierte Antiviren-Programm schickt der Wolke eine Anfrage, ob Informationen zu dem gegebenen Programm, der Aktivität, dem Link oder der Ressource vorhanden sind. Als Reaktion auf die Anfrage erhält es entweder die Antwort „Ja“ zusammen mit den verfügbaren Informationen oder die Antwort „Nein, keine Informationen vorhanden“.

Zunächst wird geklärt, was die Wolken von einem Antiviren-Update-System unterscheidet:


Kommunikation zwischen Anwender und Update-Servern

 


Austausch zwischen Anwender und Wolke

Kommunikationsvarianten zwischen Anwendern und AV-Infrastruktur

Das Aktualisierungssystem setzt voraus, dass die Kommunikation zwischen dem AV-Unternehmen und dem Anwender immer nur in eine Richtung abläuft, nämlich zum Anwender hin. Es gibt hier keinen umgekehrten Austausch mit dem User. Daher ist es nicht möglich, verdächtige Aktivität schnell zu erkennen oder in kürzester Zeit Informationen über die Verbreitung von Bedrohungen und ihre Verbreitungsquellen zu erhalten. Nicht selten erhielten die Antiviren-Unternehmen derartige Daten mit Verzögerung und erst über zusätzliche Informationskanäle.

Beim Wolken-Ansatz verläuft die Kommunikation in beide Richtungen. Die meisten Computer, die mittels eines Zentralservers der Wolke angegliedert sind, melden der Wolke die Infizierungsquellen und die erkannte verdächtige Aktivität. Nach Bearbeitung der empfangenen Informationen werden diese auch den anderen Computern zur Verfügung gestellt, die mit der Wolke verbunden sind. Die angeschlossenen Computer kommunizieren nicht direkt miteinander, sondern über die Infrastruktur des Antiviren-Unternehmens. So können sie schnell Informationen über gegen sie gerichtete Attacken und deren Quellen miteinander austauschen. Auf diese Weise bildet sich ein einheitlich verteiltes, intelligentes Antiviren-Netzwerk, das als ein homogenes Ganzes funktioniert.

Der wichtigste Unterschied zwischen den Wolken und den bestehenden Antiviren-Technologien liegt in der Detektierung. Während die Technologien früherer Generationen (zum Beispiel auch die Signatur-basierte) mit Datei-Objekten arbeiten, so funktionieren die Wolken mit Hilfe von Metadaten. Was genau Metadaten sind, soll hier anhand eines Beispiels erklärt werden: Bei einer Datei handelt es sich um ein Objekt. Die Daten über diese Datei sind wiederum Metadaten und liefern eine eindeutige Identifikation (Hashfunktion), also Informationen darüber, auf welche Weise die Datei in das System gelangt ist, wie sie sich verhält und so weiter. Neue Bedrohungen spürt die Wolke mit Hilfe von Metadaten auf, die Dateien selbst werden bei der Erstanalyse in der Wolke nicht weitergegeben. Mit diesem Ansatz kann das System praktisch in Echtzeit Informationen von Dutzenden Millionen freiwilliger Teilnehmer eines verteilten Antiviren-Netzwerks sammeln, um auf diese Weise bisher unbekannte Schadprogramme aufzuspüren. Nach Bearbeitung der Metadaten werden die Informationen über den gerade erst in Erscheinung getretenen schädlichen Inhalt an alle Teilnehmer des Netzwerks weitergeleitet.

Gibt ein Anwender zum Beispiel sein Einverständnis zur Teilnahme am Kaspersky Security Network (KSN), so sendet das Produkt zwei Typen von Metadaten an die Server von Kaspersky Lab:

  • Informationen über Infizierungen oder Angriffe auf den Anwender-Computer
  • Informationen über verdächtige Aktivität von ausführbaren Dateien auf dem Computer des Anwenders

Wichtig ist, dass diese Daten nur mit dem Einverständnis des Anwenders weitergegeben werden.

Das Expertensystem spürt Bedrohungen auf und überprüft die getroffenen Entscheidungen auf Fehler, indem es nach den Verbreitungsquellen der Bedrohungen sucht. Gefundene Quellen unterzieht es ebenfalls einer automatischen Kontrolluntersuchung, um False Positives auszuschließen. Die Informationen, die im Expertensystem über gerade erst aufgetretene Bedrohungen und deren Verbreitungsquellen eintreffen, werden allen Anwendern des Produkts schnellstmöglich zugänglich gemacht.

Anhand der Metadaten von infizierten Dateien lernt das Expertensystem automatisch dazu. Damit ist es in der Lage, schnell auf die neuesten Entwicklungen der Cyberkriminellen zu reagieren und automatisch aktive Bedrohungen auf den Computern der Anwender aufzuspüren. Die zur Selbstausbildung verwendeten Informationen über die Infizierungen schließen die Beurteilungen ein, die sich aufgrund der Signatur-basierten und heuristischen Entdeckung ergeben haben. Das bedeutet also, dass die Anwender am effektivsten geschützt werden, wenn sie Antiviren-Wolken in Kombination mit bereits bewährten Antiviren-Technologien verwenden.

Das Sammeln und Bearbeiten von Daten über verdächtige Aktivität von jedem Teilnehmer des Netzwerks macht den Wolken-Schutz zu einem leistungsfähigen Expertensystem für die Analyse cyberkrimineller Aktivität. Wird der Computer eines beliebigen Anwenders angegriffen, macht das System allen Teilnehmern des Wolken-Netzes die für die Blockierung dieser Attacke notwendigen Daten zugänglich, so dass sie vor dieser Attacke geschützt sind.

Vor- und Nachteile der Wolken

Vorteile

  • Reaktionsgeschwindigkeit. Dies ist einer der wichtigsten Vorteile des Wolken-Schutzes. Die Geschwindigkeit im Aufspüren und Blockieren von Bedrohungen ist deutlich höher als die gewöhnlicher Antiviren-Updates. Während das Signatur-Update teilweise mehrere Stunden in Anspruch nimmt, benötigen die Wolken-Technologien nur Minuten zum Aufspüren neuer Bedrohungen.


    Schutz des Anwenders durch Wolken-Technologie

    Der langwierigste Schritt in diesem Prozess ist die Analyse der vom User erhaltenen Metadaten zum Aufspüren unbekannter Schadprogramme, doch selbst hierfür werden nur wenige Minuten benötigt.

  • Verborgene Logik der Entscheidungsfindung. Da die Analyse der Metadaten auf den Servern des Antiviren-Unternehmens stattfindet, können die Cyberkriminellen im Gegensatz zu Antiviren-Updates nicht auf den Algorithmus zum Auffinden schädlicher Inhalte zurückgreifen und diesen also auch nicht untersuchen. Daher arbeitet das System der Entscheidungsfindung für eine lange Zeit überaus effektiv. Auch darin unterscheidet sich der Wolken-Schutz von der Signatur-basierten und heuristischen Methode, die ständig auf den neusten Stand gebracht werden müssen. Das ist notwendig, um das hohe Erkennungsniveau aufrecht zu erhalten, da die Virenautoren nach Veröffentlichung der letzten Aktualisierung eine Analyse durchführen und gleich darauf eine neue Version ihrer Machwerke entwickeln, für deren Erkennung dann wiederum die Veröffentlichung der nächsten Updates nötig wird.
  • Auffinden nicht nur neuer, unerkannter Bedrohungen, sondern auch Aufspüren ihrer Verbreitungsquellen. Dieser Ansatz ermöglicht es, den Besuch von Ressourcen zu blockieren, die schädliche Inhalte verbreiten. Bedenkt man, dass die von dort platzierten Schädlinge recht häufig aktualisiert werden, lässt sich ein Teil der Schadprogramme nicht erkennen. Die Blockierung sowohl der Bedrohungen als auch der Verbreitungsquellen löst dieses Problem automatisch.
  • Vollständigkeit der aufgespürten Bedrohungen. Da das Expertensystem in Echtzeit Informationen über die Teilnehmer des weltweit verteilten Antiviren-Netzes sammelt, kann es eine weitaus umfassendere Datenbank führen als etwa die Datenbanken für die Signatur-basierte Erkennung. Die Wolke verfügt über vollständige Informationen: Wann und unter Verwendung welcher Bedrohung wurde eine Attacke von welchem Ausmaß durchgeführt.
  • Minimierung von False Positives. Selbst Fachleute argumentieren zuweilen, dass die Verwendung von Wolken die Wahrscheinlichkeit von False Positives erhöht (das heißt das System stuft saubere Dateien fälschlicherweise als infiziert ein). Das ist schlicht und ergreifend falsch. Die Praxis zeigt, dass die Quote von False Positives bei der Erkennung mit Hilfe von Wolken mindestens um das 100-fache niedriger ist als bei der Signatur-basierten Erkennung. Das erklärt sich damit, dass im Kern des Expertensystems eine vielschichtige Überprüfung verankert ist und darauf hinarbeitet, derartige Fehler schnellstmöglich zu erkennen und zu verhindern. Sollte ein solcher Fehler trotz allem einmal unterlaufen, kann die Wolken-Technologie diesen ungleich schneller erkennen und korrigieren.
  • Problemlose Automatisierung der Erkennungsprozesse. Das Aufspüren bisher unbekannter Bedrohungen mit Hilfe des Wolken-Systems lässt sich problemlos automatisieren, mit höherer Performance als bei der Signatur-basierten oder heuristischen Erkennung.
  • Der Einsatz des Wolken-Schutzes minimiert den Umfang der AV-Updates. Dieser Vorteil lässt sich damit erklären, dass die Wolken-Datenbanken nicht an den Computer des Anwenders gesendet werden. Allerdings muss man bedenken, dass der Zugriff auf die Wolken-Infrastruktur von einer ständigen Verbindung über das Internet abhängt. Das gilt zweifellos auch für die üblichen Updates, für deren Überspielung eine stabile Verbindung unerlässlich ist. Doch im Gegensatz zu den Wolken bleibt der Schutz nach erfolgreichem Download der Aktualisierungen bestehen, selbst bei getrennter Internet-Verbindung. Bei einer Verbindungsunterbrechung ist der Wolken-Schutz hingegen sofort hinfällig.

Nachteile

  • Erkennung nur über Hash-Funktionen. Frühe Versionen einer Wolken-Infrastruktur verwenden lediglich Hash-Funktionen zur eindeutigen Identifikation von Dateien. Im Bewusstsein, dass diese Methode nicht ausreicht, integrieren die Antiviren-Unternehmen gegenwärtig jedoch andere Ansätze. Diese ermöglichen es, anhand einer Wolken-Signatur eine ganze Familie von Bedrohungen aufzuspüren, darunter auch polymorphe Schädlinge. Faktisch hören die Wolken auf, reaktiv zu sein und an ihre Stelle tritt die lang erwartete proaktive Erkennung.
  • Problem mit dem Traffic in „engen“ Kanälen (DialUp, GPRS etc.). Auch dieses Problem bezieht sich auf die ersten Versionen der Wolken. Die Integration adaptiver Ansätze zur Steuerung des Traffics löst dieses Problem erfolgreich.
  • Die Wolke berücksichtigt nur ausführbare Dateien. Die Technologie spürt Computer-Bedrohungen derzeit ausschließlich in ausführbaren Dateien auf. Allerdings gibt es auch schon Erfolge bei der Erkennung von Objekten anderen Typs. Daher wird auch dieses Manko in nächster Zeit behoben werden.
  • Unzuverlässigkeit des Netzes. Hierbei handelt es sich zweifellos um einen sehr schwerwiegenden Nachteil. Das Konzept der Wolken sieht vor, dass der Austausch mit dem Anwender über Netzkanäle stattfindet. Folglich besteht bei einem Ausfall der Verbindung mit der Wolken-Infrastruktur auch kein Schutz des Anwenders mehr. Da sich der Wolken-Schutz aber nicht isoliert von anderen Schutz-Technologien betrachten lässt, wird die Sicherheit des Anwenders bei fehlender Verbindung durch Signatur-basierte Methoden gewährleistet und der Computer ist daher nicht völlig ungeschützt.
  • Keine Authentifizierung und Überprüfung der Richtigkeit der von den Quellen gesendeten Daten. Dieses Problem gilt ebenfalls nur für die ersten Versionen der Wolken-Infrastruktur. Um es zu lösen, reicht es völlig aus, die Legalität der Datenquelle zu überprüfen.

Die Vor- und Nachteile zeigen deutlich, dass das bisher einzige unlösbare Problem in der Abhängigkeit des Schutzes von stabilen Verbindungskanälen besteht. Alle anderen hier aufgeführten Unzulänglichkeiten behebt das Kaspersky Security Network in den nächsten Versionen des Wolken-Schutzes.

Strittige Punkte

Noch eine andere Kategorie von Problemen des Wolken-Schutzes wird häufig im Internet diskutiert. Probleme, die Diskussionsteilnehmer als Nachteile ansehen, tatsächlich aber keine sind. Im Folgenden soll erläutert werden, warum diese Punkte nicht zu den Nachteilen der Wolken-Technologien zählen.

Der Anwender erhält eine von Cyberkriminellen verfasste Nachricht, die angeblich vom AV-Unternehmen stammt. Eine digitale Signatur der abgesendeten Daten löst dieses Problem.

Die Wolken können den Schutz des Anwenders bei einem On-Demand-Scan (Objekt-Scan, der nicht in Echtzeit, sondern erst auf Anforderung des Users startet) auf Grund der zahlreichen Anfragen an den Wolken-Server nicht gewährleisten. Der Wolken-Schutz erkennt Bedrohungen beim On-Demand-Scan ohne Probleme. Allerdings sollte man sich auch die Frage stellen, ob ein On-Demand-Scan für den Schutz vor aktiven Bedrohungen tatsächlich zweckmäßig ist. Die Praxis zeigt, dass das Scannen auf Anforderung im Kampf gegen aktive Bedrohungen nicht besonders hilfreich ist. Sind On-Access-Systeme aktiviert (Aufspüren von Bedrohungen in Echtzeit beim Versuch, mit dem infizierten Objekt in Verbindung zu treten), so schützen in erster Linie diese den Computer vor Infizierungen. Wird der On-Demand-Scanner bei gleichzeitig aktivierten On-Access-Systemen fündig, so kann es sich nur um ein „schlafendes“ Schadprogramm handeln, dass so oder so blockiert wird, wenn es der Anwender startet oder andere Programme es aufrufen. Die Verwendung von On-Demand-Scannern in einer Wolken-Infrastruktur ist also möglich, bezogen auf den Schutz des Anwenders vor aktiven Bedrohungen aber kaum effektiv.

Der Wolken-Ansatz: Allheilmittel oder reine PR?

In dieser Analyse wurde beschrieben, welche Bedingungen zur Entwicklung der Antiviren-Wolken führten und es wurde kurz auf die Funktionsweise des Wolken-Schutzes sowie auf dessen Vor- und Nachteile eingegangen.

Welchen Stellenwert nehmen die Wolken nun in der Antiviren-Industrie ein? Lässt sich irgendein Nutzen daraus ziehen oder bringen sie nichts wirklich Neues?

Sicherlich ist mit dem Wolken-Ansatz nicht das Allheilmittel gefunden, das Cyberkriminelle ein für alle Mal stoppt. Doch der Wolken-Schutz hat bereits bedeutende Vorteile mit sich gebracht: eine hohe Geschwindigkeit beim Auffinden und Blockieren neuer Bedrohungen sowie die Blockierung ihrer Verbreitungsquellen. Daher kann man durchaus von einem entscheidenden Schritt in der Evolution der Antiviren-Technologie sprechen. Alle aufgeführten Vorteile sind zudem bei automatischer Arbeit des Expertensystems und einem niedrigen Level von False Positives verfügbar.

Die Wolken sind nicht nur ein Thema für die PR, sondern eine effektive Technologie zum Schutz des Anwenders. Und mit der Weiterentwicklung ihrer Leistung wird ihre Rolle in der Antiviren-Industrie nur noch größer werden.

Es wäre nicht richtig, die Antiviren-Wolken als isolierte Schutztechnologie zu betrachten. Zwar funktionieren die Wolken auch völlig autonom, ohne Einbeziehung des großen Erfahrungsschatzes bei der Aufdeckung von Bedrohungen. Allerdings wäre die Effektivität dieses Ansatzes alles andere als ideal. Die maximale Effizienz des Schutzes wird vielmehr bei gleichzeitiger Verwendung bereits bestehender und bewährter Schutztechnologien zusammen mit dem Wolken-Antiviren-System erreicht. Mit dieser Kombination holen wir das Beste aus beiden Ansätzen heraus: die Reaktionsgeschwindigkeit der Wolken auf unbekannte Bedrohungen, das hohe Erkennungsniveau sowie die niedrige Fehlerquote.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.