Neue Wege für den Schutz vor Viren, Trojanern, Würmern und anderer Malware

Automatismus für mehr Sicherheit vor den alltäglichen Bedrohungen aus dem Internet

(04.07.07) - Ein intelligentes System, das auf der Basis ausgefeilter Regeln und Algorithmen selbständig erkennt, was sich auf Betriebssystemebene, im Root-Verzeichnis oder auf der Festplatte breit machen darf und was nicht, ist das Ziel bei der Weiterentwicklung von Safe'n'Sec. Die Lösung, die der Hersteller S.N. Safe & Software anbietet, nennt sich "Intelligent Decision Maker" und soll neue Wege für den Schutz vor Viren, Trojanern, Würmern und anderer Malware eröffnen. Zum einen soll über den Intelligent Decision Maker (IDM) aufgrund der Verhaltensweise bestimmter Prozesse automatisch entschieden werden, ob ein Prozess bösartig oder gutartig ist. Zum anderen soll der "intelligente Entscheider" laufend dazu lernen, um immer bessere und genauere Entscheidungen zu treffen, wenn Anwendungen auf einem Rechner aktiv werden oder von außen auf das System zugreifen oder installiert werden sollen.

Wie dies im Einzelnen funktioniert, lässt sich an einem kurzen Beispiel erläutern: Der IDM trifft die entsprechenden Entscheidungen auf Basis der Abfolge von Aktivitäten, ihrer Anzahl, Periodizität und dem Wiederholungsmuster. Betrachtet man beispielsweise die Aktionen eines Netzwerk-wurms, der sich auf einem System ausbreitet, wird die Vorgehensweise deutlicher. Analysiert man jede Aktion einzeln, die der Wurm auslöst, offenbart sich zunächst kein Grund dafür, diese Aktivität zu blocken: Eine aus dem Internet herunter geladene Datei wird ausgeführt, dieser Prozess öffnet das Outlook-Adressbuch und E-Mailnachrichten werden versandt. Betrachtet man jedoch die gesamte Abfolge dieser Aktionen, liegt der Verdacht nahe, dass es sich hierbei um einen bösartigen Vorgang handelt. Nachdem der Intelligent Decision Maker die Daten gesammelt und analysiert hat, trifft er selbständig die Entscheidung die Aktivitäten des Netzwerkwurms zu blocken, ohne den Anwender mit mehrfachen Nachfragen und der Aufforderung, die Blockierung des Wurms zu bestätigen, zu belästigen. Dies ist sehr hilfreich, wenn man bedenkt, dass andere Lösungen die Systemadministratoren ständig darüber benachrichtigen, dass die Anwendung "A" das Adressbuch geöffnet hat oder die Anwendung "B" aus dem Internet herunter geladen wurde und ausgeführt wird. Jede dieser Nachrichten muss dann vom Anwender oder Administrator analysiert werden, um über den bös- oder gutartigen Charakter einer Anwendung eine Entscheidung zu treffen.

Natürlich sind neben dem IDM noch wesentlich mehr technische Merkmale dafür verantwortlich, dass zuverlässiger Schutz garantiert wird. So verlässt sich die Safe’n’Sec Technologie auch auf andere Parameter, wie beispielsweise Speicherorte auf der Festplatte, digitale Signaturen, Modulmengen etc., die weder von der Anwendungsversion noch vom Betriebssystem abhängen. Ein weiteres Sicherheitsnetz stellt die Rules & Policies Datenbank dar, in der alle potenziellen Aktivitäten von Anwendungen hinterlegt sind, wie beispielsweise das Löschen von Systemdateien, nicht autorisierter Zugriff auf Benutzerdaten, Änderung von Systemeinstellungen und ähnliche Vorgänge. Das Aktivitätssteuerungsverfahren über das Vorgänge, wie Blockieren, Zulassen, Anwender fragen usw. geregelt werden, kann vom Anwender erweitert oder geändert werden, um individuellen Anforderungen gerecht zu werden oder eigene Policies zu definieren. (S.N. Safe & Software: ra)