Die Funktionsprinzipien moderner Antivirenprogramme am Beispiel von Kaspersky Endpoint Security Cloud Automatische übersetzen

Die moderne Cyberbedrohung entwickelt sich rasant und erfordert radikal neue Ansätze für Sicherheitssysteme zum Schutz der Unternehmensinfrastruktur. Moderne Antivirentechnologien bestehen aus komplexen integrierten Lösungen, die traditionelle Erkennungsmethoden mit fortschrittlichen Algorithmen für maschinelles Lernen und Cloud-Diensten kombinieren. Kaspersky Endpoint Security Cloud zeigt, wie sich moderne Sicherheitssysteme an die Herausforderungen des digitalen Zeitalters anpassen und bietet einen mehrschichtigen Ansatz zur Gewährleistung der Endpunktsicherheit.

Architektonische Grundlagen des Cloud-Sicherheitssystems

Hybrides Infrastrukturmodell

Kaspersky Endpoint Security Cloud basiert auf dem Prinzip einer hybriden Architektur und kombiniert die Cloud-Infrastruktur des Anbieters mit der Client-Umgebung des Unternehmens. Dieser Ansatz ermöglicht die Zentralisierung des Sicherheitsmanagements bei gleichzeitiger lokaler Kontrolle kritischer Vorgänge.

Die Cloud-Infrastruktur der Kaspersky Security Center Cloud Console umfasst eine webbasierte Administrationskonsole, die die Erstellung und Betreuung eines Schutzsystems für Unternehmensnetzwerke ermöglicht. Diese Konsole fungiert als zentraler Verwaltungsknoten, über den Administratoren Zugriff auf Sicherheitsrichtlinieneinstellungen, Gerätestatusüberwachung und Sicherheitsvorfallanalyse erhalten.

Die Client-Infrastruktur eines Unternehmens kann verschiedene Komponenten umfassen: Windows-Arbeitsstationen, Server, iOS- und Android-Mobilgeräte sowie macOS-Computer. Jeder Gerätetyp wird durch spezielle, an das jeweilige Betriebssystem angepasste Agenten geschützt.

Netzwerke und Protokolle

Das System verwendet spezifische Portbereiche, um eine zuverlässige Kommunikation zwischen den Komponenten zu gewährleisten. Die TCP-Ports 23100 – 23199 und 27200 – 27299 dienen der Verbindung mit der Kaspersky Security Center Cloud Console und bieten so Flexibilität bei der Netzwerkkonfiguration. Port 13000 ist für die Verwaltung von Client-Geräten und die Bereitstellung von Updates zuständig, während Port 443 für die Verbindung mit den Kaspersky-Cloud-Diensten und dem Konsolenerkennungsdienst verwendet wird.

Diese Architektur gewährleistet einen stabilen Betrieb des Systems auch bei vorübergehenden Netzwerkverbindungsausfällen, da Agenten auf Geräten im Offline-Modus mit anschließender Datensynchronisierung weiterarbeiten können, wenn die Verbindung wiederhergestellt ist.

Technologische Komponenten des Schutzsystems

Plattformübergreifende Sicherheitsagenten

Kaspersky Endpoint Security Cloud enthält spezielle Komponenten für jede unterstützte Plattform. Der Administrationsagent für Microsoft Windows arbeitet mit Kaspersky Endpoint Security zusammen und bietet mehrschichtigen Schutz durch die Integration grundlegender und erweiterter Mechanismen zur Bedrohungserkennung.

Die Schutzstufe „Basic“ wirkt Massenangriffen mithilfe bewährter Signaturanalysen und heuristischer Erkennungstechnologien effektiv entgegen. Die Stufe „Advanced“ ist darauf ausgelegt, komplexe, zielgerichtete Angriffe mithilfe von Verhaltensanalysen und Technologien des maschinellen Lernens zu verhindern.

Kontrollkomponenten reduzieren die Angriffsfläche und gewährleisten die Einhaltung der Sicherheitsrichtlinien des Unternehmens. Der Administrationsagent fungiert als Vermittler zwischen der lokalen Schutzkomponente und der Cloud-Konsole und übermittelt Konfigurationsänderungen und Informationen über erkannte Bedrohungen.

Sicherheit mobiler Geräte

Das System unterstützt die Verwaltung mobiler Geräte je nach Betriebssystem durch verschiedene Mechanismen. Bei iOS-Geräten wird die Mobile Device Management-Technologie über eine spezielle XML-Datei mit Serveradresse und Sicherheitszertifikat genutzt. Nach der Installation dieses Profils wird das Gerät zentral verwaltet.

Android-Geräte werden durch eine einzige Anwendung geschützt: Kaspersky Security for Mobile, die Schutz- und Cloud-Server-Kommunikationsfunktionen kombiniert. Dieser Ansatz bietet umfassenden Schutz für die mobile Infrastruktur eines Unternehmens bei minimalen Auswirkungen auf das Benutzererlebnis.

Methoden zur Bedrohungserkennung und -analyse

Signaturanalyse als Grundlage der Erkennung

Die Signaturanalyse ist nach wie vor eine grundlegende Methode zur Erkennung bekannter Bedrohungen in modernen Antivirensystemen. Sie basiert auf der Suche nach bestimmten Zeichenfolgen oder Mustern in gescannten Dateien sowie der Analyse der Hash-Summen ganzer Dateien. Kaspersky Security Cloud nutzt eine umfangreiche Antivirendatenbank, die regelmäßig aktualisiert wird, um Schutz vor den neuesten Bedrohungen zu bieten.

Zu den Vorteilen der Signaturanalyse zählen eine hohe Erkennungsgeschwindigkeit, minimale Fehlalarme und geringe Anforderungen an die Rechenressourcen des geschützten Geräts. Allerdings stößt diese Methode bei der Arbeit mit polymorpher Malware und neuen Varianten bestehender Bedrohungen an ihre Grenzen.

Um diese Einschränkungen zu überwinden, verwendet das System strukturelle heuristische Signaturen und die SmartHash-Technologie, die in der Lage sind, unbekannte und polymorphe Malware durch die Analyse der strukturellen Merkmale von Dateien zu erkennen.

Heuristische Analyse und Emulation

Die heuristische Analyse erweitert die Erkennungsmöglichkeiten erheblich, indem sie das Verhalten von Objekten in einer kontrollierten Umgebung analysiert. Das System erstellt eine sichere künstliche Umgebung, in der es die Ausführung verdächtiger Dateien oder Skripte emuliert. Wird während der Emulation verdächtige Aktivität erkannt, wird das Objekt als potenziell schädlich eingestuft.

Der Emulator bildet eine funktionale Ausführungsumgebung nach, einschließlich Systemfunktionen und verschiedener Subsysteme des Zielbetriebssystems, ohne reale Systemkomponenten einzubeziehen. Dieser Ansatz ermöglicht eine sichere Analyse des Verhaltens verdächtiger Objekte ohne das Risiko einer Infektion des realen Systems.

Die heuristische Analyse ist besonders effektiv gegen neue und bisher unbekannte Bedrohungen, da sie die Aktionen des Programms und nicht dessen Signatur analysiert. Das System kann schädliches Verhalten erkennen, selbst wenn die jeweilige Malware-Variante noch nicht in Signaturdatenbanken erfasst ist.

SmartHash-Technologie und intelligentes Hashing

SmartHash ist ein patentierter Algorithmus zur Erstellung intelligenter Hashes, der die Dateilokalisierung berücksichtigt. Diese Technologie ermöglicht die Gruppierung von Dateien nach funktionaler Ähnlichkeit, selbst wenn sie sich auf Binärcodeebene unterscheiden.

Verschiedene Dateien können denselben SmartHash-Wert haben, wenn sie ähnlich funktionieren. Ein bestimmter SmartHash-Wert identifiziert einen ganzen Cluster ähnlicher Dateien und ermöglicht so die effektive Erkennung unbekannter Malware anhand bekannter Familien.

Die SmartHash-Technologie nutzt mehrere Präzisionsstufen und gewährleistet so die Erkennung selbst hochgradig polymorpher Malware bei gleichzeitiger Minimierung von Fehlalarmen. Die Online-Komponente von SmartHash vergleicht clientseitig berechnete Werte über das globale Kaspersky Security Network mit Milliarden bekannter, sicherer Dateien in der Datenbank.

Anwendung von maschinellem Lernen in Sicherheitssystemen

Überwachte und unüberwachte Lernmethoden

Kaspersky Endpoint Security Cloud setzt in allen Phasen der Bedrohungserkennung aktiv Methoden des maschinellen Lernens ein. Das System nutzt sowohl überwachte als auch unüberwachte Lernmethoden für verschiedene Sicherheitsanalyseaufgaben.

Überwachtes Lernen analysiert eine Reihe von Objekteigenschaften und die entsprechenden Klassifizierungsbezeichnungen, um ein Modell zu erstellen, das den Status bisher unbekannter Objekte korrekt bestimmen kann. Zu den Eigenschaften können Dateistatistiken, eine Liste der verwendeten API-Funktionen und weitere Merkmale gehören. Die Klassifizierungen reichen von einer einfachen Einstufung als „gutartig“ oder „bösartig“ bis hin zu einer detaillierteren Kategorisierung von Bedrohungsarten.

Unüberwachte Lernmethoden werden eingesetzt, um verborgene Muster in Daten zu entdecken, Gruppen ähnlicher Objekte zu erkennen und miteinander verbundene Eigenschaften zu identifizieren. Dieser Ansatz ist besonders nützlich, um neue Arten von Bedrohungen zu identifizieren, die nicht in bestehende Klassifizierungskategorien passen.

Statische und dynamische Analyse

Das System implementiert zwei Hauptansätze zur Objektanalyse basierend auf maschinellem Lernen: statische Analyse ohne Ausführung des Objekts und dynamische Analyse des Verhaltens während der Ausführung.

Die statische Analyse verarbeitet Informationen über ein Objekt, ohne es auszuführen, und verfügt über eine hohe Generalisierungsfähigkeit und Produktivität. Der Detektor arbeitet zweistufig: Zunächst wird ein flexibler Hash berechnet, um zu prüfen, ob das Objekt zu einem „schmutzigen“ Bereich gehört. Anschließend wird bei Bedarf eine detaillierte Analyse durchgeführt.

Die dynamische Analyse untersucht das Verhalten eines Objekts während der Ausführung, einschließlich Systemaufrufen, Netzwerkaktivität, Dateisystem- und Registrierungsänderungen sowie der während der Ausführung generierten Daten. Ein Speicherauszug ermöglicht den Zugriff auf den Originalcode und ermöglicht die Erkennung von Daten, die auf böswillige Absichten hinweisen.

Automatisiertes Modelltraining

Das System nutzt ein automatisiertes Threat Intelligence Center, das kontinuierlich große Sammlungen schädlicher und sicherer Dateien verarbeitet. Das Center extrahiert grundlegende Verhaltensmerkmale und trainiert Modelle, die dann in Verhaltensszenarien umgewandelt und über inkrementelle Updates an den Detektor übermittelt werden.

Roboter verarbeiten Sandbox-Protokolle zeilenweise und untersuchen Ausführungsprotokolle neuer Schadprogramme mithilfe von maschinellem Lernen, um neue Erkennungsindikatoren zu finden. Die gefundenen Indikatoren bereichern die mathematischen Modelle der von Experten erstellten Erkennungsmethoden und heuristischen Verhaltensprotokolle.

Verhaltensanalyse und Aktivitätsüberwachung

Mehrstufige Überwachung von Systemereignissen

Die Verhaltensanalyse in Kaspersky Endpoint Security Cloud analysiert die Aktivität aller Komponenten in der vertrauenswürdigen Umgebung des geschützten Geräts. Das System unterscheidet mehrere Analyseebenen, beginnend mit der Überwachung wichtiger Systemereignisse.

Die erste Ebene umfasst die Verfolgung der Prozesserstellung, Änderungen an wichtigen Registrierungswerten, Dateiänderungen und anderer kritischer Systemvorgänge. Alle empfangenen Ereignisse werden normalisiert und in eine einheitliche Form gebracht, die anschließend von verschiedenen Analysemodulen verarbeitet werden kann.

Im nächsten Schritt werden einigen Ereignissen zusätzliche Informationen hinzugefügt: Das System ermittelt, ob die geänderte Datei ausführbar ist, analysiert Zugriffsrechte, prüft digitale Signaturen und führt weitere Prüfungen des Ereigniskontexts durch.

Filterung und Aggregation von Verhaltensmustern

In den Phasen Filterung, Aggregation und Szenarioextraktion identifiziert das System signifikante Kombinationen und Abfolgen von Ereignissen, die spezifische Verhaltensszenarien bilden. Die Bibliothek bösartiger Szenarien wird von einem automatisierten Zentrum generiert und regelmäßig basierend auf der Analyse neuer Bedrohungen aktualisiert.

Die Verhaltensanalyse bietet den Vorteil, dass sie die Aktionen von Programmen tatsächlich beobachtet, im Gegensatz zu dem angenommenen Aktionsmuster, das während der Angriffsprävention analysiert wurde. Das System kann komplexe mehrstufige Angriffe erkennen, die legitime Systemtools nutzen, um bösartige Ziele zu erreichen.

Der Detektor entscheidet über die Bösartigkeit von Objekten, indem er bösartige Verhaltensszenarien identifiziert. Dadurch können komplexe Bedrohungen blockiert werden, darunter auch Zero-Day-Schwachstellen-Exploits und dateilose Angriffe.

Cloudbasierte Technologien zur Bedrohungsaufklärung

Kaspersky Cloud Sandbox und virtuelle Analyseumgebung

Kaspersky Cloud Sandbox ist ein fortschrittliches automatisiertes Malware-Analysesystem, das auf Basis von über zwanzig Jahren Erfahrung in der Bedrohungsforschung entwickelt wurde. Das System nutzt einen hybriden Ansatz, der Bedrohungsforschung auf Basis von Petabytes an statistischen Daten mit Verhaltensanalysen kombiniert.

Die Sandbox umfasst robuste Technologien zur Umgehung von Angriffen und zur Modellierung menschlichen Verhaltens, wie z. B. Autoclicker, Dokument-Scrolling und Dummy-Prozesse. Diese Technologien ermöglichen die Aktivierung von Schadsoftware, die versucht, die virtuelle Umgebung zu erkennen und einer Analyse zu entgehen.

Das System bietet höchste Erkennungsrate und identifiziert täglich Tausende neuer Schaddateien. Dadurch erkennt es komplexe, gezielte Bedrohungen und ausgeklügelte Angriffe, die herkömmliche Antivirenlösungen umgehen.

Detaillierte Analyse des Dateiverhaltens

Kaspersky Cloud Sandbox bietet detaillierte Informationen zu Aktionen und Verhalten ausführbarer Dateien. Das System überwacht das Laden und Starten von DLL-Bibliotheken, die Erstellung gegenseitiger Ausschlüsse, die Änderung und Erstellung von Registrierungsabschnitten sowie externe Verbindungen mit Domänennamen und IP-Adressen.

Die Analyse umfasst die Überwachung von HTTP- und DNS-Anfragen, die Erstellung von Prozessen über ausführbare Dateien sowie das Erstellen, Ändern und Löschen von Dateien. Das System liefert kontextbezogene Empfehlungen für jede erkannte Aktivitätsart und hilft Analysten, die Art der Bedrohung zu verstehen und entsprechende Maßnahmen zu ergreifen.

Die benutzerfreundliche Oberfläche erleichtert die Interpretation der Analyseergebnisse. Der Export in die Formate JSON, STIX und CSV gewährleistet die Integration in bestehende Sicherheitsanalysesysteme. Dank REST-API-Unterstützung können Sie Analyseprozesse automatisieren und die Sandbox in die Arbeitsabläufe Ihres Unternehmens integrieren.

Funktionen zur Vorfallerkennung und -reaktion

Integration von EDR-Technologien

Die Kaspersky Security Center Cloud Console integriert Funktionen zur Bedrohungserkennung und -reaktion (EDR) zum Schutz vor komplexen Cyberbedrohungen. Die Lösung kombiniert automatische Bedrohungserkennung mit Reaktionsfunktionen zum Schutz vor komplexen Angriffen, darunter neue Exploits, Ransomware und dateilose Angriffe.

Wenn die Endpoint Protection Platform eine Bedrohung erkennt, fügt das System der Benachrichtigungsliste eine Warnung hinzu. Die Warnung enthält detaillierte Informationen zur erkannten Bedrohung und ermöglicht die Analyse und Untersuchung ihrer Merkmale. Administratoren können Bedrohungen visualisieren, indem sie ein Bedrohungskettendiagramm erstellen, das die Entwicklungsstadien eines Angriffs im Zeitverlauf beschreibt.

Das System bietet eine Reihe vordefinierter Reaktionsaktionen: Isolieren eines nicht vertrauenswürdigen Objekts, Isolieren eines kompromittierten Geräts vom Netzwerk, Erstellen von Regeln zur Ausführungsverhinderung für verdächtige Objekte und andere Reaktionsmaßnahmen.

Verwaltete Erkennung und Reaktion

Kaspersky Endpoint Security Cloud unterstützt die Integration mit Managed Detection and Response (MDR)-Diensten. Nach Erkennung einer Bedrohung erstellt das System einen neuen Vorfall in der Vorfallliste mit detaillierten Informationen zur Bedrohung.

Analysten des Security Operations Centers untersuchen Vorfälle und empfehlen Abhilfemaßnahmen. Organisationen können vorgeschlagene Maßnahmen manuell annehmen oder ablehnen oder die automatische Annahme aller Empfehlungen aktivieren, um den Reaktionsprozess zu beschleunigen.

Dieser Ansatz bietet Organisationen Zugriff auf das Fachwissen und die Erfahrung von Sicherheitsexperten, ohne dass sie ein eigenes Sicherheitsbetriebszentrum einrichten müssen.

Schutz virtueller und Cloud-Umgebungen

Spezialisierte Lösungen für die Virtualisierung

Moderne Unternehmen nutzen aktiv virtuelle und Cloud-Technologien, die spezielle Sicherheitsansätze erfordern. Kaspersky Security for Virtual and Cloud Environments schützt virtuelle Maschinen, öffentliche Clouds sowie Server unter Windows und Linux.

Das System bietet Schutz der nächsten Generation vor modernen Cyberbedrohungen, verbessert den Schutz von Unternehmensservern und reduziert das Risiko erfolgreicher Angriffe. Das mehrstufige System umfasst Funktionen zur Erhöhung der Zuverlässigkeit, zum Schutz vor Exploits, zur Überwachung der Dateiintegrität und zur Blockierung von Netzwerkangriffen.

Die Lösung lässt sich in gängige Cloud-Plattformen integrieren, darunter AWS, Microsoft Azure, Google Cloud und Yandex.Cloud, und bietet einheitlichen Schutz für die hybride Infrastruktur eines Unternehmens.

SharedCache-Technologie und Ressourcenoptimierung

Für virtuelle Desktop-Infrastrukturen (VDI) unterstützt das System die schnelle Bereitstellung von Maschinen durch Linked- und Full-Clone-Technologien. Durch die Vorinstallation eines kompakten Agenten können Sie neue virtuelle Maschinen durch einfaches Klonen einer Vorlage erstellen.

Nach Abschluss des Klonvorgangs wird die neue Maschine automatisch durch eine zentrale virtuelle Sicherheits-Appliance geschützt. Dieser Ansatz vereinfacht die VDI-Verwaltung und macht die ständige Aktualisierung der Sicherheitsprodukte im virtuellen Desktop-Image überflüssig.

Die SharedCache-Technologie optimiert die Ressourcennutzung in einer virtuellen Umgebung und gewährleistet einen effizienten Betrieb des Schutzsystems, ohne die Leistung virtueller Maschinen zu beeinträchtigen.

Zentralisiertes Management und Administration

Cloud-Verwaltungskonsole

Kaspersky Endpoint Security Cloud bietet Administratoren Zugriff auf eine ständig verfügbare Cloud-Konsole, mit der sie Sicherheitsfunktionen von jedem internetfähigen Gerät aus anwenden und ändern können. Dieser Ansatz ist besonders praktisch für Unternehmen ohne Systemadministratoren vor Ort.

Dank der Cloud-Architektur der Konsole entfällt der Kauf und die Wartung zusätzlicher Hardware. Die Ersteinrichtung erfolgt schnellstmöglich. Alle Sicherheitsfunktionen werden über eine einzige Konsole auf allen Gerätetypen konfiguriert und bereitgestellt: Windows-Workstations, Laptops, Dateiserver und Mobilgeräte.

Eine einfache und benutzerfreundliche Oberfläche ermöglicht Ihnen die schnelle Konfiguration von Richtlinien und deren Anwendung auf alle Arbeitsplätze im Unternehmen. Vorinstallierte, von Experten entwickelte Sicherheitsrichtlinien vereinfachen die Erstkonfiguration des Systems.

Sicherheitsprofile und Richtlinien

Das System nutzt das Konzept von Sicherheitsprofilen, um die Schutzeinstellungen für verschiedene Gerätegruppen zu verwalten. Administratoren können mithilfe von Voreinstellungen der Hersteller einheitliche Sicherheitsprofile für alle Gerätetypen und Betriebssysteme erstellen.

Der Abschnitt Sicherheitsprofile enthält eine Liste konfigurierter Konfigurationen, die jeweils die Parameter für die Erkennung verschiedener Objekttypen definieren. Das System ermöglicht Ihnen, die Erkennung von Viren, Würmern, Trojanern und schädlichen Dienstprogrammen zu konfigurieren und die Liste um die Kontrolle von Werbeprogrammen und legalen Anwendungen zu erweitern, die von Eindringlingen genutzt werden können.

Durch die Flexibilität der Richtlinieneinstellungen können Sie das Sicherheitssystem an die spezifischen Anforderungen der Organisation anpassen und dabei ein Gleichgewicht zwischen dem Sicherheitsniveau und der Benutzerfreundlichkeit der Unternehmensressourcen herstellen.