Schutz aus der Wolke – das Kaspersky Security Network

26 Aug 2013

Update:Grundsätze für die Verarbeitung von Nutzerdaten durch Sicherheitslösungen und Technologien von Kaspersky Lab können Sie hier einsehen.

Das aktuelle Kaspersky Security Bulletin zeigt, dass täglich über 200.000 einzigartige Schadprogramme auftauchen. Das sind zwei bis drei schädliche Programme pro Sekunde. Selbst eine ganze Analysten-Armee könnte diese Flut nicht abarbeiten, wenn nur traditionelle Methoden verwendet werden würden. Deshalb hat Kaspersky Lab einen anderen Ansatz entwickelt – ein Cloud-basiertes Verarbeitungszentrum mit einem Antivirus-Netzwerk: das Kaspersky Security Network (KSN). Diese mächtige Technologie hilft dabei, neue Gefahren sofort zu entdecken und jeden damit verbundenen Computer zu schützen. Dadurch können Epidemien innerhalb weniger Minuten verhindert und die Quellen der Infektionen blockiert werden.

cloud KSN

Das Kaspersky Security Network ist für verschiedene wichtige Aufgaben zuständig: die globale Überwachung verdächtiger Aktivitäten auf den Anwender-Computern, die sofortige Weitergabe entdeckter Verdachtsmomente (die natürlich keine vertraulichen oder persönlichen Daten enthalten!) an die Kaspersky-Server, die Analyse der gesammelten Informationen, sowie die Entscheidungsfindung, ob eine potenziell gefährliche Datei blockiert oder eine saubere Datei zur Whitelist hinzugefügt werden soll.

Um diesen Cloud-basierten Service nutzen zu können, müssen Kaspersky-Anwender (zum Beispiel bei Kaspersky Internet Security) nur der Teilnahme am KSN zustimmen. Der positive Effekt stellt sich fast sofort ein: Alle Computer, die mit dem KSN verbunden sind, erhalten innerhalb einer Minute nach der ersten Entdeckung einer neuen Gefahr die entsprechenden Informationen, mit denen sie die Bedrohung blockieren können.

So funktioniert das Kaspersky Security Network

  • Informationen über verdächtige Aktivitäten auf einem Anwender-Computer werden an die KSN-Cloud gesendet. Kaspersky Lab erhält dabei nicht die Dateien selbst, sondern nur anonyme Daten darüber: Welche Datei versucht, verdächtige Aktionen auszuführen? Woher kommt die Datei? Welches Programm hat die Datei gestartet? Und noch viel mehr.
  • Oft kann aufgrund der Daten von einem einzigen Computer nicht final entschieden werden, ob eine Datei schädlich ist oder nicht. Das ändert sich allerdings, wenn das Programmverhalten auf vielen Computern geprüft und zudem mit einer riesigen Datenbank mit Millionen legitimer Programme und Dateien verglichen werden kann. Mit diesen Daten und heuristischen Informationen, fällt das Kaspersky Security Network ein Urteil über eine verdächtige Datei.
  • Wenn das Verhalten einer Datei schädlich erscheint, fügt das KSN diese Information sofort zur Datenbank unseres Urgent Detection System (UDS) hinzu, und ist damit sofort für alle Anwender verfügbar. Ist das Verhalten der Datei nicht schädlich, wird sie zur Whitelist hinzugefügt.
  • Wenn andere Anwender dann diese gefährliche Datei öffnen, prüft die installierte Kaspersky-Lösung auf dem Computer die Datei gegen die UDS-Datenbank in der KSN-Cloud und blockiert sie sofort.
  • Unsere Experten prüfen die als schädlich gelisteten Dateien natürlich ebenfalls. Sie legen das Gefahrenpotenzial für jede Datei fest und tragen die Beschreibung der schädlichen Datei in die klassische Antiviren-Datenbank ein. Das kann etwas Zeit in Anspruch nehmen (bis zu einigen Stunden), doch die mit dem KSN verbundenen Anwender sind auch während dieser Phase geschützt, da die Datei bereits in der UDS-Datenbank enthalten ist.
  • Sobald die Information über schädliche und blockierte Dateien in der Antiviren-Datenbank eingetragen ist, wird sie an alle Anwender ausgeliefert – inklusive der Anwender, die nicht mit dem KSN verbunden sind.

Die Hauptfunktion dieser Cloud-basierten Antivirus-Lösung ist die Kommunikation zwischen Ihnen und dem Virenlabor von Kaspersky Lab. Bei traditionellen Lösungen dauert es einige Stunden, bis das Programm auf neue Schadprogramme reagieren kann. In der heutigen Zeit dauert das aber zu lange. Doch das KSN spürt neue Bedrohungen direkt auf, meldet diese an das Virenlabor, und stellt die für eine Analyse nötigen Daten zur Verfügung. Übrigens entdeckt das KSN nicht nur neue Bedrohungen sondern findet auch deren Quelle (meist eine schädliche Webseite) und blockiert diese.

Das KSN hat aber auch noch eine weitere praktische Funktion – die so genannte Weisheit der Masse. Dank der darüber gesammelten Informationen erhält jede Datei sehr schnell einen Reputationswert, den Sie direkt in den Kaspersky-Programmen abrufen können. Damit sehen Sie, ob die Datei weit verbreitet ist und andere Anwender ihr vertrauen. Das hilft Ihnen bei der Entscheidung, ob Sie die Datei öffnen möchten oder nicht. Anwendungen wie Opera oder der Flash-Player sind zum Beispiel sehr beliebt. Wenn Sie also eine Datei namens „Flash Update“ erhalten und sehen, dass diese nur mehrere Tausend Male herunter geladen wurde, anstatt der eigentlich üblichen millionenfachen Downloads, können Sie davon ausgehen, dass es sich um ein gefälschtes Update handelt.