„Next-Gen“ Sicherheitssoftware-Anbieter propagieren: Updates für das eigene Virenschutzprogramm sind so 90er. Next-Generation Software-Sicherheitslösungen benötigen diese nicht. Sie lernen Bedrohungen direkt am Endpunkt zu erkennen. – Natürlich stimmt das nicht ganz. In Wahrheit stehen die Virenschutz-Lösungen ohne reguläre Sicherheitsupdates gegen eine ganze Armee von Cyber-Kriminellen allein dar. Dann ist es nur eine Frage der Zeit, bevor der eigene Computer als einfache Beute entdeckt ist.
Auftauchende „Next-Gen“ Virenschutz-Anbieter kritisieren etablierte Wettbewerber für ihr Festhalten an regulären Sicherheitsupdates. Als Alternative bieten sie Geschäftskunden Sicherheit, die lediglich auf einem Machine Learning Algorithmus basiert. Alle notwendigen Daten bezieht das Virenschutzprogramm dann über den lokalen Computer und der Sicherheitsumgebungen in der er sich befinden. Die „Next-Gen“ Sicherheitssoftware-Hersteller sehen sich in der Überlegenheit keine Sicherheitsupdates mehr anbieten zu müssen. Doch ist das wirklich ein Vorteil?
Virenschutzlösungen, die Systeme lokal schützen, können sehr effektiv und relativ erfolgreich im Aufspüren von Bedrohungen sein. Das gilt aber nur für:
- Spezifische Umgebungen mit eingeschränkter Funktionalität; oder
- Systeme die kaum geändert werden oder ganz bzw. teilweise von der Außenwelt abgeschnitten sind.
Nicht jedes Unternehmen arbeitet mit einem so eingeschränkten Fokus, wie es beispielsweise der Fall in der Fließbandproduktion ist. Im Gegenteil, die überwiegende Mehrheit der Computerarbeitsplätze in kleinen, mittleren und großen Unternehmen wird für die Kommunikation mit Auftragnehmern, Kunden und potenziellen Partnern gebraucht. Dafür ist eine ständige Verbindung in die Außenwelt über das Internet erforderlich.
“Updates der Erkennungsdatenbank sind die Möglichkeit, Fehler zu korrigieren und unnötige Fehlalarme zu vermeiden.“
Selbst wenn der Sicherheitsalgorithmus gut aus den Daten der User und ihrem Netzwerk lernen kann, ohne Updates wird der Machine Learning Algorithmus seine Schwierigkeiten haben, externe eingehende Daten als gut- oder bösartig einzustufen. Das kann zu einer hohen Falsch-Positiven-Erkennungsrate führen. Im schlimmsten Fall wird eine Kompromittierung des Computers durch die fälschlicherweise gutartige Einstufung einer Malware hervorgerufen.
Updates der Erkennungsdatenbank sind die Möglichkeit, solche Fehler zu korrigieren und unnötige Fehlalarme zu vermeiden.
Wenn die Sicherheitsupdates ins Spiel kommen …
Wer sich für eine regelmäßig aktualisierende Virenschutzlösung eines etablierten Herstellers – wie ESET – entscheidet, profitiert von einem globalen Sicherheitsnetz (im unseren Fall vom ESET LiveGrid®). Auf der Basis von Dutzenden von Millionen Knotenpunkten kombiniert ESETs Schutzsystem menschliche Aufsicht mit der neusten Technologie, um Whitelists und Systeme mit real-time Updates zu versorgen. Auf diese Weise werden verdächtige oder unbekannte Objekte mit einer hohen Trefferquote richtig erkannt und eingestuft.
Darüber hinaus haben Sicherheitsupdates auch noch andere Vorzüge.
Neben niedrigeren Falsch-Positiven-Erkennungsraten reduzieren Updates auch firmeneigene Hardwareanforderungen. Wenn ein Malware-Sample beispielsweise schon von einem anderen Computer im globalen Netzwerk ausgewertet und verifiziert wurde, bedarf es keiner Neubewertung.
Außerdem kann eine aktualisierte Sicherheitslösung die Daten dafür verwenden, eine verlässliche Bedrohungsdatenbank in einer Cloud aufzubauen. Durch das Teilen mit bekannten Endpunkten können User vor einer größeren Anzahl von Bedrohungen geschützt werden, als wenn ein Machine Learning Algorithmus nur von einer sehr limitierten Anzahl von Maschinen lernt.
Im Gegensatz dazu werden Sicherheitslösungen, die sich ausschließlich auf lokale Informationen verlassen, wahrscheinlich irgendwann einen Fehler produzieren. Und ohne menschliche Aufsicht und von außen aktualisierte Datenbanken, wird dieser Fehler ein Teil des Lernmaterials des Machine Learning Algorithmus werden. Der Fehler verschwindet nicht mehr aus dem System – für Angreifer kann das von Vorteil sein.
Reine Machine Learning Lösungen treffen Entscheidungen anhand von Merkmalen, die sie schädlichen Objekten entnehmen. Wenn ein Malware-Sample aber nun ganz anders als seine Vorgänger erscheint, kann der Algorithmus nicht mehr einschätzen, was er der Malware entnehmen muss – er wird praktisch blind. Im Gegensatz dazu können Virenschutzlösungen, die Updates beziehen, Extraktionsmethoden und Samples aufdecken, wozu Machine Learning niemals im Stande wäre.
Keine Tests – Kein Aufsehen
Um zur größeren Verwirrung beizutragen, vermeiden die postfaktischen Virenschutzhersteller unabhängige Test. Wenn die Entwickler die nicht-updatenden Sicherheitssoftware keinem realen Szenario unterziehen, gibt es auch keinen Beleg dafür, dass ihr Produkt die angepriesenen Features erfüllt. Die oftmals propagierten ausgezeichneten Ergebnisse stammen aus künstlich geschaffen Szenarien, in denen der Machine Learning Algorithmus bloß mit bekannten Malware-Samples umgehen muss.
Gegenwärtig ist die überwiegende Mehrheit der vorhandenen bösartigen Malware nicht dazu bestimmt, unter den Radar dieser sogenannten "Next-Gen" - Produkte abzutauchen. Die Anzahl der Computer, welche diese Produkte installiert haben, ist noch zu klein. Allerdings kann sich diese Situation schnell ändern.
Updaten oder nicht updaten? Das ist hier nicht die Frage!
Das Ignorieren von Updates bedeutet auch die reale Welt und die Weise, wie sie funktioniert, zu ignorieren. Die Befürworter sind gut finanziert und ebenso kreativ wie ihre Kollegen in der Cyber Security Branche. Das Unterschätzen ihrer Fähigkeiten, neue Workarounds für vorherrschende Situationen zu finden, kann in schädliche Resultate münden.
Computer, die auf dem neusten Stand sind, greifen auf eine Datenbank zurück, die von vielen anderen Systemen gefüttert werden. Aus diesem Grund sind sie auch gegen von ihnen noch nicht entdeckte Bedrohungen gewappnet. Programme, die bloß auf Machine Learning vertrauen, kennen nur das von ihnen bereits gesehene. Durch die Anerkennung des globalen Kontextes, der Implementierung mehrerer Schutztechnologien und dem Hinzufügen von proaktiven und Machine Learning Komponenten ist ESET als etablierter Anbieter ständig bemüht, ein Gleichgewicht zu erreichen, das bestmögliche Erkennungen mit geringster Falsch-Positiven-Erkennungsrate verbindet.
ESET bietet real-time Sicherheitsupdates für Whitelists und alle Systeme, wenn Benutzer mit LiveGrid® verbunden sind. Um mehr über Machine Learning und unsere Technologie zu erfahren, sollten auch die anderen Artikel dieser Serie angesehen werden.
Die Serie im Überblick:
- Prolog: Der Kampf um die Wahrheit in der Cyber Security
- Was ist Machine Learning und was künstliche Intelligenz?
- Häufige Missverständnisse bei Machine Learning und künstlicher Intelligenz
- Warum Machine Learning basierte Sicherheit intelligente Gegner nicht interessiert
- Warum eine Schutzschicht nicht genügt – auch wenn Machine Learning unterstützt
- Geister fangen: Die tatsächlichen Kosten der hohen Falsch-Positiv-Raten in der Cyber Security
- Wie Updates Antiviren Software stärkt
- Auch wir kennen Machine Learning und nutzen es seit Jahren
Mitwirkende: Jakub Debski & Peter Kosinar