System Watcher wird intelligenter

20 Sep 2016

Sicherheitslösungen müssen zwei großen Funktionen nachgehen: Prävention und, wenn nötig, Reparatur. Das neuste Patent von Kaspersky Lab ist eine neue Technologie, die beide effektiver macht.

Der bekannteste Präventionsansatz ist die Nachverfolgung der Vorgänge auf Ihrem Computer und die Neutralisierung von gefährlichen Objekten. Wenn das Sicherheitsprogramm einen Trojaner, eine Phishing- oder Spam-E-Mail oder eine schädliche Webseite entdeckt, tut es sein Bestes, um den Nutzer zu schützen.

How System Watcher works in Kaspersky Internet Security

Wenn die Prävention versagt, muss sich die Sicherheitslösung um den infizierten Computer kümmern. Die Säuberung eines infizierten Systems besteht nicht nur aus dem Löschen einer schädlichen Datei. Um einen infizierten PC zu säubern, muss der Antivirus den schädlichen Code entfernen und die normalen Funktionen des betroffenen PCs wiederherstellen. Es ist nicht genug, die Krankheit zu entfernen, man muss auch die Gesundheit wieder herstellen – und das ist kompliziert.

Genau deshalb zeigen unabhängige Sicherheitsstadardtests, dass, obwohl viele Antivirusanbieter bei der Prävention recht gut abschneiden, sie nicht mehr so glänzen, wenn es zur Desinfizierung eines bereits betroffenen Systems kommt.

Bessere Erkennung…

Listen von Virensignaturen und andere traditionelle Erkennungsmethoden sind für Sicherheitslösungen wichtig. Jedoch spielen auch heuristische Methoden eine wichtige Rolle. Durch Heuristiken, oder das Nutzen von Erfahrung zum Lernen und Wachsen, kann eine Antivirussoftware nicht nur nach schädlichen Objekten suchen, sondern auch nach verdächtiger Aktivität.

Die Erfassung von verdächtiger Aktivität ist der Kern einer Technologie, die von Mikhail Pavlyuschik, Alexey Monastyrsky und Denis Nazarov von Kaspersky Lab entwickelt und kürzlich patentiert wurde. Diese Technologie kann Interaktionen zwischen einem Programm und anderen Komponenten und Software des Betriebssystems aufzeichnen. In diesem Fall beziehen sich Interaktionen auf ein Programm, das mit einem Speicher arbeitet, der von anderen Prozessen verwendet wird.

Es ist nicht nötig, alle Aktivitäten zu verfolgen – was gut ist, da die Verfolgung von allem eine Auslastung der Computerressourcen bedeuten würde. Technologie, die Interaktionen verfolgt, ist eine hochpräzise Verhaltensüberwachung und erkennt viele zuvor unbekannten schädliche Programme.

…und Prävention

Stellen Sie sich einen Computer vor, der von einer Malware angegriffen wurde, der Tastenanschläge sammelt (ein Keylogger).

Wenn der Keylogger es schaffte, den Computer zu infizieren, bedeutet das, dass er den Schutz umging oder durch falsch eingestellte Sicherheitseinstellungen eingedrungen ist, was ein häufiges Szenario ist. Er muss gestoppt werden, bevor er die Daten an die Person hinter dem Angriff versendet (das kann Ihr E-Mail-Passwort, Baking-Login, eine Webcam-Aufnahme und vieles mehr sein).

Und da kommt Verhaltensanalyse ins Spiel. Die Technologie ist in unser Modul System Watcher eingebettet und erkennt mithilfe anderer Sicherheitskomponenten die bekannten schädlichen Interaktionen, die die nicht vertrauenswürdige Software erstellt, bevor der Schaden unwiderruflich ist. Vielmehr kann es die Änderungen, die von der Malware vorgenommen wurden, zurückverfolgen, weil es das Verhalten der Malware verfolgt.

Eine starke Sicherheitslösung, wie Kaspersky Internet Security erlaubt selten, dass eine Malware so tief in das System eindringt, dass ein Rollback nötigt wird. Wir fügen unserer Virusdatenbank neue Bedrohungen sehr schnell hinzu; Kaspersky Security Network hilft uns dabei, über neue Malwarebeispiele von der Cloud zu lernen. Aber wenn es zur Antivirusentwicklung kommt, kann man nicht genügend Schutz haben. Kontinuierliche Arbeit zur Entwicklung neuer Technologien zur Erfassung und Reparation ist der fundamentale Unterschied zwischen einer großartigen Sicherheitslösung und einer mittelmäßigen Lösung: umfassende Schutzmaßnahmen hängen davon ab.