{"id":17453,"date":"2018-08-13T09:51:12","date_gmt":"2018-08-13T07:51:12","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17453"},"modified":"2020-10-01T13:35:17","modified_gmt":"2020-10-01T11:35:17","slug":"behavioral-model","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/behavioral-model\/17453\/","title":{"rendered":"Der iTod von eVoldemort"},"content":{"rendered":"

M\u00e4rchen und Fantasiegeschichten haben dem Mythos \u00fcber die Unbesiegbarkeit globaler Machthaber und \u00dcbelt\u00e4ter bereits vor langer Zeit ein Ende gesetzt (auch wir entlarven nun schon seit mehr als 20 Jahren<\/a> den gleichen Mythos im Cyberspace<\/a>). Jeder Voldemort verl\u00e4sst sich auf die Sicherheit seines Tagebuchs, seines Ringes, seiner Schlange\u00a0\u2026 ich denke, Sie wissen genug \u00fcber Horkruxe. Und der Erfolg Ihres Kampfes gegen die Schurkerei auf dieser Welt, ganz gleich ob im M\u00e4rchen oder virtuell, h\u00e4ngt von zwei Schl\u00fcsselqualit\u00e4ten ab: Ausdauer und Verstand (im technologischen Sinne). Heute m\u00f6chte ich Ihnen erz\u00e4hlen, wie Ausdauer und Verstand, gepaart mit neuronalen Netzwerken, maschinellem Lernen<\/a>, Cloud-Sicherheit<\/a> und Fachwissen<\/a> \u2013 alles in unseren Produkten integriert \u2013 Sie vor m\u00f6glichen zuk\u00fcnftigen Cyberbedrohungen sch\u00fctzen k\u00f6nnen.\"\"<\/a><\/p>\n

Wir haben bereits des \u00d6fteren<\/a> (nicht nur einmal<\/a> oder zweimal<\/a>, sondern gleich mehrere Male<\/a>) von den Technologien zum Schutz vor zuk\u00fcnftigen Cyberbedrohungen berichtet. Sie fragen sich jetzt wahrscheinlich, warum wir so besessen von diesem Thema sind.<\/p>\n

Das liegt daran, dass diese Technologien genau das sind, was einen robusten Schutz von gef\u00e4lschter k\u00fcnstlicher Intelligenz<\/a> und Produkten,\u00a0<\/a>die gestohlene Informationen verwenden<\/a>, um Malware zu erkennen, unterscheidet<\/a>. Die Codefolge mithilfe einer bekannten Signatur zu identifizieren, nachdem sich die Malware bereits in das System des Nutzers eingeschlichen und diesem bereits einen b\u00f6sen Streich gespielt hat? Damit kann niemand etwas anfangen.<\/p>\n

Aber den Denkmustern der Cyberschurken zuvorzukommen, die Schwachstellen zu erkennen, die sie attraktiv finden k\u00f6nnten und unsichtbare Fangnetze zu verbreiten, die zur automatischen sofortigen Erkennung ausgelegt sind \u2013 dazu sind, traurig aber wahr, nur die wenigsten Branchenakteure in der Lage. Sehr wenige, wenn man einen Blick auf die Statistiken unabh\u00e4ngiger Tests<\/a> wirft. WannaCry<\/a>, die gr\u00f6\u00dfte Epidemie des Jahrzehnts, ist ein sehr gutes Beispiel daf\u00fcr: Dank der System-Watcher-Technologie konnten unsere Produkte unsere Nutzer proaktiv vor dem Cyberangriff sch\u00fctzen.<\/p>\n

Der entscheidende Punkt ist: Man kann nie genug<\/em> Schutz vor zuk\u00fcnftigen Cyberbedrohungen haben. Es gibt kein Emulator- oder Big-Data-Experten-Analysesystem<\/a>, das alle m\u00f6glichen Bedrohungsvektoren abdeckt. Unsichtbare Fangnetze sollten jede Ebene und jeden Kanal so gut wie m\u00f6glich abdecken und die Aktivit\u00e4ten aller Objekte auf dem System bis ins kleinste Detail verfolgen, um sicherzustellen, dass von ihnen keine Gefahr ausgeht, w\u00e4hrend der Ressourcenverbrauch auf ein Minimum reduziert wird, die Fehlalarmquote bei Null liegt und sie hundertprozentig mit anderen Anwendungen kompatibel sind, um l\u00e4stige Bluescreens zu vermeiden.<\/p>\n

Auch die Malwareindustrie entwickelt sich weiter. Cyberschurken haben ihren Kreationen beigebracht (und tun das auch weiterhin), sich effektiv im System zu verbergen; ihre Struktur und ihr Verhalten zu ver\u00e4ndern, zu \u201egem\u00fctlichen\u201c Aktionsmechanismen zu wechseln (den Einsatz von Computerressourcen zu minimieren, rechtzeitig aktiv zu werden, unmittelbar nach der Infektion keine Aufmerksamkeit zu erregen, usw.), sich tief in das System einzuschleusen, ihre Spuren zu verdecken und einwandfreie bzw. nahezu einwandfreie Methoden zu verwenden. Aber wenn ein Voldemort existiert, gibt es auch Horcruxe, die zerst\u00f6rt werden k\u00f6nnen, um seiner sch\u00e4dlichen Existenz ein Ende zu setzen. Die Frage ist, wie man sie findet.<\/p>\n

Vor einigen Jahren haben unsere Produkte ihr Arsenal proaktiver Technologien zum Schutz vor fortgeschrittenen Cyberbedrohungen durch die Einf\u00fchrung einer interessanten Erfindung (Patent RU2654151<\/a>) gest\u00e4rkt und erweitert. Sie verwendet ein schulbares Objekt-Verhaltensmodell zur hochpr\u00e4zisen Identifizierung verd\u00e4chtiger Anomalien im System, zur Quellenlokalisierung und Unterdr\u00fcckung der scheinbar \u201evorsichtigsten\u201c W\u00fcrmer.<\/p>\n

Wie funktioniert das Ganze?<\/p>\n

Jedes aktive Objekt hinterl\u00e4sst Spuren auf einem Computer. Egal ob durch die Nutzung der Festplatte oder des Speichers, durch den Zugriff auf die Systemressourcen oder die \u00dcbertragung von Dateien \u00fcber das Netzwerk \u2013 fr\u00fcher oder sp\u00e4ter manifestiert sich jede<\/em> Art von Malware, ganz egal, wie raffiniert sie ist; denn es ist unm\u00f6glich, alle Spuren vollst\u00e4ndig zu entfernen. Selbst durch den Versuch, bestimmte Spuren zu verwischen, werden rekursiv mehr Spuren erzeugt, usw.<\/p>\n

Aber wie erkennen wir, welche Spuren zu legitimen Anwendungen und welche zu Malware geh\u00f6ren, ohne dabei \u00fcberm\u00e4\u00dfig Rechenleistung zu beanspruchen? So funktioniert\u2019s:<\/p>\n

Das Antivirus-Produkt erfasst Informationen \u00fcber die Aktivit\u00e4ten der Apps (ausgef\u00fchrte Befehle, deren Parameter, Zugang zu kritischen Systemressourcen, usw.) und verwendet diese Informationen, um Verhaltensmodelle zu erstellen, Anomalien zu erkennen und den Bosheitsfaktor zu berechnen. Ich m\u00f6chte allerdings, dass Sie einen genaueren Blick auf die Methode, mit der das erreicht wird, werfen. Denken Sie daran, wir haben es nicht nur auf die Zuverl\u00e4ssigkeit, sondern auch auf die Geschwindigkeit der Operation abgesehen. Und genau an dieser Stelle kommen mathematische Hashwerte<\/a> ins Spiel.<\/p>\n

Das resultierende Verhaltensmodell wird relativ klein gepackt \u2013 so wird einerseits die erforderliche Tiefe der objektspezifischen Verhaltensinformationen erhalten und andererseits keine wesentlichen Systemressourcen verbraucht. Selbst jemand, der die Rechenleistung genau \u00fcberwacht, wird keinerlei Anzeichen dieser Technologie erkennen.<\/p>\n

Hier ein anschauliches Beispiel:<\/p>\n

Die Berechnung des Bosheitsfaktors beruht auf vier externen Attributen:<\/p>\n