Status Quo der aktuellen Antivirus-Lösungen

In Bezug auf IT-Sicherheit erhalten die klassischen Antiviren-Lösungen von den Experten schon lange keine positiven Stimmen mehr. Die Experten verwenden für die Beschreibung häufig die Begriffe „uneffektiv“, „mangelhaft“ und „altmodisch“. Natürlich gibt es für diese Bemerkungen auch viele Gründe. Die klassische AV-Lösung hat ihre einstige Macht verloren und ist heute nicht mehr in der Lage die meisten Hackerangriffe zuverlässig aufzuhalten.

Während sich die Angriffsmöglichkeiten und die Kreativität der Angreifer weiterentwickelten, trabten die AV-Hersteller mit Ihren Lösungen auf der Stelle und wurden schlichtweg überholt. Die Folgen bekamen viele Unter-nehmen durch Angriffe auf die entstandenen Sicherheitslücken und Angriffsflächen zu spüren. Heutzutage liegt die Trefferquote für erfolgreiche Ermittlungen von Schadsoftware bei weniger als 50%. Geschuldet ist dieser erschreckend niedrige Wert an der Arbeitsweise der klassischen AV-Lösungen.

Wie arbeitet der Virenscanner im Pre-Infection Bereich

Die gängigen AV-Systeme beschränken sich beim Schutz nur auf den sogenannten Pre-Infection-Bereich. Man bezeichnet damit die Erkennung von Malware bevor diese auf einem System ausgeführt wird und somit Schaden anrichten kann.

Einzelne Angriffe sind herkömmlich in einer Datei versteckt. Eine bestimmte Datei kann anhand einer Signatur oder auch Pattern erkannt werden. Über einen Abgleich mit der lokalen Signaturdatenbank wird so versucht die möglichen Bedrohungen vor dem Eindringen abzuhalten. Da diese Methode stark von der Aktualität der Datenbank abhängig ist, kann das System nur die Bedrohungen abwehren, die es auch kennt. Im Umkehrschluss bedeutet dies, dass alle unbekannten bzw. nicht identifizierbaren Bedrohungen nicht aufgehalten werden.

Angriffe kommen heute auch komplett ohne Dateien aus. Man spricht hier von Fileless-Malware. Führt man sich das eben ausgeführte zum Thema Erkennung von Malware vor Augen, so wird schnell klar, dass eine Erkennung anhand einer Signatur auf eine Datei bei dieser Angriffsform fehlt.

Als eine Weiterentwicklung der klassischen AV-Lösungen stehen die Next Generation Antivirus Systeme (NGAV) mit ihren neuen Methoden zum Schutz im Pre-Infection-Bereich zur Verfügung. Die Hersteller haben das klassische patternbasierte Arbeitsweise abgeschafft und setzt nun auf das Erkennen/ Blockieren von maliziöser Software über die Überwachung von z.B. einzelnen Prozessen an jedem Endpoint.  Die Erkennung wird mit neuartigen Mechanismen wie Deep Learning oder Artificial-Intelligence umgesetzt.

Ziel ist das Ausfindig machen und Verhindern von bekannten Techniken, Tools und Vorgehensweisen, die gerne bei Angriffen genutzt werden. Dieser Ansatz stellt zwar eine Verbesserung im Vergleich zur älteren Vorgehensweise dar, jedoch kann durch die hohe Anzahl an neuen und verschiedenen Bedrohungen, kein umfassender Schutz gewährleistet werden.

In der unteren Grafik sind die verschiedenen Formen und Typen von Malware aufgezeichnet und zu welchem Zeitpunkt bzw. wie man diese erkennen kann:

Der Faktor Zeit bei der Erkennung

Unabhängig vom Hersteller eines Antivieren-Systems und dessen Produkt, kann anhand dieser Grafik deutlich gemacht werden, dass der Schutz im Pre-Infection-Bereich nur noch wenig Erfolg hat.  Ein wesentlicher Punkt ist der Faktor Zeit. Zeit die man bei einem Angriff nicht hat. Hierbei gilt es zwei Dinge zu überlegen:

1. Wie lange benötigt ein Antivirus Produkt um über die Mechanismen Pattern-Update, Deep Learning etc. eine neue Bedrohung zu erkennen?
2. Wie lange benötigt ein Schadcode ein System nachhaltig zu zerstören und Schaden anzurichten?

Durch Beobachtung verschiedener Malware Samples auf z.B. Virustotal wird klar, dass die meisten klassischen, aber gerade auch die NGAV (Next-Generation Antivirus) Produkte, zwischen erstem auftreten von Angriffen bis hin zur Erkennung lange Zeitspannen verstreichen lassem. Diese bewegen sich in der Regel zwischen 48 und 72 Stunden. Stellt man dem gegenüber, dass WannaCry gerade einmal 50 Sekunden benötigt um ein System Schachmatt zu setzen, wird schnell klar, dass ein Schutz auf der Pre-Infection Seite schwer möglich ist. Da die meisten Bedrohungen ihren Weg in den Post-Infection-Bereich finden und somit ihr Unheil anrichten können, sind die Lösungen gefragt, die Ihren Schutz nach der Infektion anbieten und die eingedrungenen Bedrohungen wieder beseitigen.

Der Schnupfen

Sich prophylaktisch vor einer Erkältung zu schützen ist durchaus besser als keine Schutzmaßnahmen zu treffen, aber immer noch keine Garantie für die eigene Gesundheit. Wir alle wissen, dass man sich vor einer Erkältung nicht wirklich schützen kann. Daher ist der Besitz des richtigen Heilmittels – Post-Infection – umso wichtiger.