Es gibt eine bestimmte Sichtweise auf den derzeitigen Cybersecurity-Markt, die gerne von den Medien adoptiert wird. Einige propagieren eine Aufspaltung zwischen der „First Generation“ bzw. der „Traditional Generation“ Malware-Erkennungstechnologie und den vermeintlichen Supertechnologien der "Next-Generation", die weniger auf Signaturen setzen.
Eine Theorie von Evolution
Zunächst einmal habe ich so meine Probleme mit der Terminologie der „First Generation“. Eine moderne Mainstream Security Suite kann nicht mehr mit frühen 'Single-Layer'-Technologien – wie mit statischen Signatur-Scannern – verglichen werden. Man vergleicht das heutige Microsoft Word auch nicht mit dem damaligen EDLIN. Zwar können beide den gleichen grundlegenden Zweck, wie die Erkennung von Malware oder Textverarbeitung, erfüllen. Dennoch sind die heutigen Anwendungen viel funktionaler. Ein modernes Textverarbeitungsprogramm enthält nun beispielsweise Elemente, die früher ausschließlich Tabellenkalkulationsprogrammen oder Datenbankanwendungen vorbehalten waren.
Eine moderne Anti-Malware Security Suite ist natürlich nicht ganz so umfangreich in ihren Programm-Elementen. Dennoch beinhaltet sie einen umfassenden Schutz, der weit über Signaturen (wie generischen Signaturen) hinausgeht. Auch aus Anti-Malware Security Suites haben sich komplexere Generationen entwickelt und enthalten mehr Technologie als zuvor. Ausschließlich Newcomer als die „Next-Generation“ zu bezeichnen, ist falsch und irreführend.
Virensignaturen als Erkennungsmerkmal
Heutzutage gehen selbst moderne, kommerzielle und einschichtige Anti-Malware-Scanner weit über die bloße Suche nach bestimmten Merkmalen und einfachen statischen Signaturen hinaus. Sie wurden um das Erkennen von Hash-spezifischen Malware-Familien, Whitelisting, Verhaltenserkennung, Verhaltensblockierung und Änderungserkennung erweitert. Das ist längst keine Raketenwissenschaft mehr. Damit spreche ich aber keine generelle Empfehlung aus, dass User sich ausschließlich auf einschichtige Sicherheits-Scanner verlassen sollten. Diese sind zwar oftmals kostenlos erhältlich. Vielmehr sollten die User aber auch andere "Schutzschichten" verwenden, entweder indem sie eine kommerzielle Sicherheitssuite erwerben oder die mehrschichtige Funktionalität einer solchen Suite nachbilden. Dazu müssten sie aber verschiedene Komponenten, aus einer Vielzahl von Quellen beziehen und separat steuern. Letzteres erfordert ein durchaus hohes Maß an Verständnis über Bedrohungen und Sicherheitstechnologien. Den meisten Menschen dürfte das schwer fallen. Auch Organisationen und Unternehmen haben nicht immer Zugang zu den notwendigen Wissens-Ressourcen. Viele lassen sich deshalb vom Marketing und technischen Beratungen der „Next-Generation“ blenden.
Back to Basics
"Es ist klar, dass der Unterschied bloß ein terminologischer als ein technischer ist."
Obwohl einige Hersteller der sogenannten „Next-Gen-Produkte“ ein großes Geheimnis über ihre Technologie machen und Mainstream-Produkte dagegen eher wie Open-Source-Software erscheinen, ist klar, dass der Unterschied bloß ein terminologischer als ein technischer ist. Ich glaube nicht, dass die Technologie der „Next-Gen-Produkte“ über die grundlegenden Ansätze, die vor langer Zeit von Fred Cohen definiert wurden, hinausgeht:
- Identifizieren und Sperren von bösartigem Verhalten
- Erkennen unerwarteter und unangemessener Systemänderungen
- Erkennung von Mustern, die auf das Vorhandensein bekannter oder unbekannter Malware hindeuten
Die Umsetzung dieser Ansätze ist natürlich unmessbar fortschrittlich geworden, aber diese Entwicklung ist nicht bloß den „Next-Generation“-Produkten vorbehalten. Beispielsweise könnten die IoCs (Indicators if Compromise) auch als (eher schwache) Signatur verstanden werden. Nicht nur ein Anbieter scheiterte bereits daran, zwischen dem Gebrauch von Verhaltensanalysen der Mainstream Anti-Malware Produkte und dem eigenen zu differenzieren. Stattdessen haben sie sich darauf fokussiert, ihre irreführende Propaganda über erfahrene Antiviren-Hersteller zu verbreiten und ihr Marketing mit Buzzwords aufzublähen.
Willkommen in der Maschinerie
Betrachten wir beispielsweise das betonte Anpreisen der "Next-Generation" von „Verhaltensanalyse“ und „Machine Learning“. In Wirklichkeit beschränkt sich "Machine Learning" nicht auf einen Marktsektor. Fortschritte in den Bereichen wie der neuronalen Vernetzung und der Parallelverarbeitung sind in der „Mainstreamsicherheit“ ebenso nützlich, wie in anderen Bereichen des Computings. Ohne einen gewissen Automatisierungsgrad im Stichprobenklassifizierungsprozess bräuchten wir erst gar nicht anfangen, die tägliche Lawine von hunderttausend Bedrohungen zu untersuchen, um eine genauere Entdeckungsrate zu entwickeln.
"Die „Next-Generation“-Hersteller benutzen den Terminus „Machine Learning“ eher oratorisch als technisch korrekt."
Die „Next-Generation“-Hersteller benutzen den Terminus „Machine Learning“ eher oratorisch als technisch korrekt. In ihrem Gebrauch klingt es nicht nur so, als ob „Machine Learning“ für eine gute Entdeckungsrate allein zuständig wäre, sondern auch so, als ob die Malware-Technologie so intelligent ist, dass kein menschliches Zutun mehr notwendig wäre. Tatsächlich sind die „Machine Learning“-Ansätze lange bekannt und werden von Antiviren-Herstellern rege gebraucht. Dennoch bringen sie ihre Vor- und Nachteile mit sich. Nicht zuletzt sind auch die Entwickler von Malware mit dem Thema „Machine Learning“ vertraut. Ständig suchen sie Wege, unbemerkt an den Antiviren-Produkten vorbeizukommen.
Die Verhaltensanalyse als exklusive Entdeckung?
Auf gleiche Weise verhält es sich, wenn die „Next-Generation“-Hersteller von ihrer exklusiven Entdeckung der "Verhaltensanalyse" sprechen. Der Begriff Verhaltensanalyse und die dahinterstehende Technologie werden seit Jahrzehnten von „Mainstream“ Antiviren-Herstellern eingesetzt. In der Tat kann fast jede Detektionsmethode, die über eine statische Signatur hinausgeht, als Verhaltensanalyse definiert werden.
Natürliche und unnatürliche Selektion
Der Journalist Kevin Townsend fragte mich vor Kurzem:
„Gibt es einen Weg, der es dem User ermöglicht, zwischen ‚First-Generation‘ und ‚Next-Generation‘ in Bezug auf Malware auszuwählen und zu unterscheiden?“
Abgesehen von der völlig irreführenden ‚First-Generation‘ und ‚Next-Generation‘ Terminologie gibt es natürlich einen Weg. Tatsächlich haben einige der Unternehmen, die sich selbst als „Next-Generation“ betrachten, behauptet, dass ihre Technologie zu fortgeschritten sei, um sie zu testen. Dennoch stießen sie durch ihre eigenen Versuche eine bereits offene Tür noch weiter auf. Ihr Ziel: Die Effektivität ihrer eigenen Produkte mit der Konkurrenz vergleichen. Beispielsweise hat mindestens ein „Next-Gen“-Anbieter Malware-Samples in einer öffentlichen Präsentation benutzt. Wenn unterschiedliche Produktgenerationen gar nicht in einer unabhängigen Testumgebung verglichen werden können, wie können solche Demonstrationen dann für die eigene Presse instrumentalisiert werden?
Andere irreführende Marketing-Claims der „Next-Generation“-Hersteller behaupten, dass die erfahrenen Antiviren-Hersteller sogenannte Fileless-Malware im RAM nicht zu erkennen vermögen. Natürlich kann unsere Technologie das seit Jahrzehnten. Ein besonders ungeschicktes Beispiel liefert eine schlecht konstruierte Befragung, die darauf abzielte, „traditionelle“ Antiviren-Produkte in ein schlechtes Licht zu rücken. Dabei wurde nicht einmal der Versuch unternommen, zwischen Angriffen und erfolgreichen Angriffen zu unterscheiden.
Häufig wird VirusTotal (VT) von den „Next-Gen“-Anbietern für Pseudo-Tests missbraucht, um dann Reports zu beschönigen. Dabei erklärte VT bereits, nicht als „multi-engine Antiviren Testing Service“ geeignet zu sein:
VirusTotal sollte nicht verwendet werden, um Vergleichsmetriken zwischen verschiedenen Antivirenprodukten aufzustellen. Antivirus-Engines können hoch entwickelte Tools mit zusätzlichen Erkennungsfunktionen sein, die möglicherweise nicht in der VirusTotal-Scan-Umgebung funktionieren. Aus diesem Grund sind VirusTotal Scan-Ergebnisse nicht für den Vergleich der Wirksamkeit von Antivirus-Produkten geeignet.
VT kann dazu verwendet werden, eine Test-Datei einer Reihe von Erkennungsmodulen auszusetzen. Dabei ist aber nie das volle Erkennungspotenzial der ganzen Antiviren-Software implementiert. Deshalb ist ein Vergleich zwischen einzelnen Antiviren-Programmen nicht repräsentativ. Beispielsweise sprach ein „Next-Gen“-Anbieter von der Erkennung einer spezifischen Ransomware, einen Monat bevor das Test-Sample an Virus Total übermittelt wurde. Doch ein „traditioneller“ Antiviren-Hersteller entdeckte den Ransomware-Hash bereits früher als der „Next-Gen“-Anbieter. Anhand von VT kann die Effizienz eines Antiviren-Produkts nicht einfach abgeleitet werden. VT ist kein Tester und die Berichte spiegeln nur einen Funktionsausschnitt eines Antiviren-Produkts wieder. Ansonsten hätten reputierliche Mainstream-Tester wie Virus Bulletin, SE Labs, AV-Comparatives und AV-Test kaum eine Berechtigung.
Der Weg zur Zusammenarbeit
Das Jahr 2016 brachte eine dramatische Wendung – zumindest für die „Next-Generation“-Anbieter. VirusTotal änderte seine Geschäftsbedingungen und verhinderte somit, dass die „Next-Gen“-Hersteller vom Zugang zu den Test-Samples der „traditionellen“ Antiviren-Hersteller profitierten, aber selbst keine Daten einsenden. Um den VirusTotal Blog zu zitieren:
…alle scannenden Unternehmen müssen nun ihre Detection Scanner im öffentlichen VT-Interface integrieren, um Anspruch auf Antivirus-Ergebnisse als Teil ihrer VirusTotal API-Dienste zu erhalten. Zusätzlich müssen neue Scanner, die der Community beitreten wollen, eine Zertifizierung und/oder eine unabhängige Bewertung von Sicherheitstestern gemäß der Anti-Malware Testing Standards Organisation (AMTSO) nachweisen.
Natürlich beschwerten sich die „Next-Gen“-Anbieter durch die Bank weg. Einige größere Namen lenkten jedoch ein. Sie bemühten sich, die Anforderungen zu erfüllen und traten auch gleich der AMTSO bei. Damit sollte unabhängigem Testen nichts mehr im Weg stehen. „Next-Generation“-Anbieter, die in der Vergangenheit noch protestierten, dass ihre eigenen Produkte vor allem durch die in der AMTSO vertretenen "voreingenommenen" Tester nicht fair getestet werden könnten, bekamen dazu nun die Gelegenheit. Das brachte vielleicht die Erkenntnis, dass sich nicht alle Kunden ausschließlich auf Marketing-Claims verlassen, um Kaufentscheidungen zu treffen.
Nehmen und Geben
Warum beschlossen die „Next-Gen“-Anbieter dennoch mit VirusTotal zu arbeiten? Nun ja, VT teilt die Test-Samples mit allen Anbietern und liefert eine dazugehörige API, mit der Dateien automatisch mit allen Test-Engines geprüft werden können. Das ermöglicht den Herstellern nicht nur auf einen gemeinsamen Pool von Samples zuzugreifen, sondern sie auch auf unbestimmte Samples und eigene Detektionen zu prüfen. Damit werden Algorithmen für den weiteren Lernprozess trainiert. Die Mainstream-Anbieter nutzen VT auf diese Weise schon sehr lange. Der Unterschied liegt in der Tatsache, dass sich der Vorteil nach den aktualisierten Geschäftsbedingungen dreiteilt.
„Traditionelle“ und „Next-Gen“-Anbieter profitieren vom Zugriff auf die Ressourcen von VirusTotal und dem riesigen Sample-Pool.
„Traditionelle“ und „Next-Gen“-Anbieter profitieren vom Zugriff auf die Ressourcen von VirusTotal und dem riesigen Sample-Pool. VirusTotal hat als Aggregator die Informationshoheit und übernimmt die Rolle als Anbieter von Premium-Dienstleistungen. Und der Rest der Welt profitiert von der Existenz eines kostenlosen Services, der es ihnen ermöglicht, einzelne verdächtige Dateien mit einer breiten Palette von Produkten zu überprüfen. Die Ausweitung dieses Produktspektrums auf weniger traditionelle Technologien sollte die Genauigkeit der angebotenen Dienste verbessern. Neue Teilnehmer möchte man dazu bewegen, gewissenhafter mit VT-Berichten umzugehen und diese Pseudotests nicht in ihrem Marketing zu instrumentalisieren.
Vollständige Produktprüfung
Die Art und Weise, in der sich die AMTSO-orientierten Tester in den letzten Jahren in Richtung "Vollproduktprüfung" bewegt haben, ist genau die Richtung, die Testende einschlagen müssen, um auch die weniger traditionellen Produkte fair bewerten zu können. (Oder auf jeden Fall so fair wie die Mainstream-Produkte.) Man kann argumentieren, dass die Testenden sehr konservative Methoden einsetzen. Es ist noch nicht so lange her, dass statische Tests an der Tagesordnung waren. In der Summe ist die AMTSO trotz all seiner Fehler repräsentativ, da dort mehr Sicherheitsforscher und testende Organisationen als Marketing-Interessierte vertreten sind. Wenn sich die „Next-Gen“-Anbieter dazu durchringen können, sich mit dieser Test-Kultur zu beschäftigen, dann profitieren wir alle.
Was liegt vor uns?
Vor einigen Jahren fasste ich einen Artikel für Virus Bulletin mit den folgenden Worten zusammen:
„Können wir uns eine Welt ohne Antivirus vorstellen? … Ich glaube, ich habe eine Antwort auf diese Frage. Wenn die selbsternannten „Next-Generation“-Anbieter sich mit ihren eigenen Limits auseinandersetzen, ihr aggressives Marketing mäßigen und vom Gedanken der Gemeinsamkeit lernen würden, dann ist der Nutzen für alle größer."
Dieser Artikel ist eine angepasste Version des entsprechenden Abschnitts aus dem ESET Whitepaper Trends 2017 Security Held Ransom.