Startseite > Security > Zeitfenster für Angriffe minimieren

Adaptive Defense von Panda Security prüft Reputation von Apps

Zeitfenster für Angriffe minimieren

19. Mai 2016, 6:27 Uhr | LANline/Dr. Wilhelm Greiner

Panda Security, international tätiger Sicherheitsspezialist mit Hauptsitz in Spanien, hat seine Malware-Abwehrlösung Adaptive Defense in Version 2.3 vorgestellt. Adaptive Defense kombiniert die automatisierte Erkennung und Klassifizierung von Bedrohungen mit Managed Services für die Analyse von Grenzfällen, die nicht automatisiert erfassbar sind. Damit, so Panda, könne man das Zeitfenster für die Erkennung und Abwehr unbekannter Gefahren im Alltag auf unter 24 Stunden verringern.

Adaptive Defense geht über die bekannten Blacklisting- und Whitelisting-Verfahren hinaus, nachdem sich diese im Kampf gegen Malware als nur begrenzt wirksam erwiesen haben: Blacklisting, indem die Abhängigkeit von Signaturen immer zu Verzögerungen bei der Abwehr führt; Whitelisting, weil die Applikationslandschaft in Unternehmen zu heterogen ist, als dass die Pflege einer Whitelist praktikabel wäre.

Panda Security beschreitet mit Adaptive Defense deshalb einen dritten Weg, den der Hersteller als „laufende Reputationsanalyse von Windows Portable Executables“ beschreibt: Ist eine ausführbare Datei auf einem Windows-Rechner nicht in Pandas Cloud-basierter Blacklisting-Datenbank („Collective Intelligence“) erfasst, so hat eine IT-Organisation die Wahl zwischen zwei Vorgehensmöglichkeiten: Hardening-Modus und Lock-Modus.

Im Hardening-Modus wird ein unbekanntes Programm ausgeführt, aber seine Aktivität im Hintergrund laufend überwacht. Laut Panda-Angaben werden bei der Ausführung rund 2.000 Events überprüft, darunter Zugriffe auf Dateiformate oder auch der Versuch, Dateien aus dem Internet nachzuladen – das Standardvorgehen von Ransomware. Dieses Nachladen werde generell unterbunden, betont Panda, sodass schon dieser Schritt einen wirkungsvollen Schutz vor Erpressersoftware biete.

Im Hardening-Modus erlernt Adaptive Defense das Applikationsverhalten und kann auf dieser Basis Veränderungen durch Malware-Befall (zum Beispiel Ausbruch aus der Java-Sandbox) erkennen, so der Hersteller. Da die Abwehrlösung nach dem Parent/Child-Verfahren funktioniere, könne die Applikation weiterlaufen, während nur der verdächtige Prozess terminiert werde. Neben der Selbstlernfähigkeit der Software nutze man auch Kooperationen mit den großen Softwarehäusern, um aktualisierte Applikationen ohne Zeitverzug vom Blockieren ausnehmen zu können.

Die Lösung ist laut Hersteller in der Lage, mindestens 99,2 Prozent aller unbekannten Anwendungen auf diese Weise automatisch zu klassifizieren. In den restlichen Fällen ergänzt der Managed Service einer Analyse durch Pandas Expertenteam das Softwareangebot.

Alle Daten zum Applikationsverhalten werden lokal nur gecacht, die Auswertung erfolgt laut Panda in der hauseigenen Cloud-Umgebung. So könne die Analyse für das Client-System sehr ressourcenschonend erfolgen: Die CPU-Last gibt Panda mit höchstens fünf Prozent an.

Ein angenehmer Nebeneffekt des Loggings sei eine umfassende Nachvollziehbarkeit für die forensische Analyse. So ließen sich alle Aktionen einer ausführbaren Datei bis zu deren Blockade klar nachverfolgen. Dies erleichtere es zum Beispiel, im Nachfeld eines Angriffs den Eintrittspunkt eines Angreifers zu ermitteln.

Als Alternative zu dieser kontinuierlichen Verhaltensprüfung der Applikationen im Hardening-Modus bietet Adaptive Defense den schärferen Lock-Modus. Dieser entspricht dem klassischen Whitelisting-Ansatz: Alles Unbekannte ist verboten. Panda Security empfiehlt diesen Modus für Hochsicherheitsumgebungen oder einzelne Maschinen, die es besonders zu schützen gilt.

Der Administrator kann sich per Web-Portal informieren, wie die vorhandenen Dateien eingestuft wurden und welche Dateien sich gerade in der Analyse befinden. Außerdem bietet das Portal eine grafische Darstellung von Infektionsverläufen sowie Landkarten („Heat Maps“) zur Erkennung, wo sich Angriffe häufen.

Endanwender wiederum erfahren nur an einer Stelle von der Lösung: Bei unbekannten Applikationen werden sie per Pop-up-Fenster gefragt, ob ihnen die gerade genutzte Software bekannt ist. Die Auswertung dieser Antworten soll in der Lernphase das Whitelisting unternehmensspezifischer Anwendungen beschleunigen.

Adaptive Defense ist verfügbar als Einzellösung zur Ergänzung einer bestehenden Sicherheitsplattform oder aber zusammen mit Pandas hauseigener Anti-Malware-Suite „Endpoint Protection Plus“ (EPP), in Kombination „Adaptive Defense 360“ genannt. Die Integration von EPP bietet laut Hersteller den Vorteil der umgehenden Desinfektion befallener Systeme.

In der neuen Version 2.3 kann Adaptive Defense laut Panda Security nun auch veraltete Apps identifizieren und damit helfen, dadurch verursachte Schwachstellen zu unterbinden. Makros und Skripte werden derzeit laut Panda nur über Blacklisting abgedeckt, künftig wolle man aber auch Maßnahmen gegen Malware liefern, die Powershell für Angriffe nutzt.

Während EPP auch für Mac OS X, Linux und Android verfügbar ist, gibt es Adaptive Defense derzeit nur für Windows. Unterstützt werden Clients ab Windows XP SP2 bis einschließlich Windows 10 sowie Server-Systeme mit Windows Server 2003, 2008 oder 2012. Die Web-Konsole für die Überwachung erfordert einen handelsüblichen Browser.

Panda Security empfiehlt die Lösung für IT-Umgebungen mit mindestens 50 Maschinen. Denn in kleineren Umgebungen sei die Masse der Endgeräte zu gering, als dass die Software ihre Selbstlernphase sinnvoll absolvieren könnte.

Lizenziert wird Adaptive Defense pro Maschine, unabhängig davon, ob es sich um Server oder Endgeräte handelt. Eine Lizenz kostet laut Hersteller rund 50 Euro pro Maschine und Jahr, für Adaptive Defense 360 liegt der Preis bei 110 Euro pro Maschine und Jahr.

Weitere Informationen finden sich unter www.pandasecurity.com/germany.