In meinem Artikel von gestern hatte ich über die weltweite Ausbreitung der WannaCry-Ransomware berichtet. Dass eine Sicherheitslücke in Windows-Betriebsystemen ausgenutzt wird, ist die eine Sache, dass aber offensichtlich auch AV-Software WannaCry/Wana Decrypt0r nicht erkannt hat, die andere. Ehrlich gesagt verblüfft mich das aber auch nicht weiter, denn traditionelle AV-Software tut sich zunehmend schwerer damit, Ransomware zu erkennen und wirkungsvoll zu stoppen. Erpresstes Lösegeld aus Ransomware-Infektionen ist schnell und leicht verdientes Geld, und deshalb versuchen Cyberkriminelle natürlich auch, ihre Ransomware so gut wie möglich vor der frühzeitigen Entdeckung durch AV-Software zu schützen, was ihnen in den meisten Fällen auch gelingt.

Selbst mit Techniken wie verhaltensbasierter Kontrolle oder Sandboxing bekommt man Ransomware nicht effektiv in den Griff – hier hilft aus meiner Sicht nur Application Whitelisting und der Einsatz von Anti-Malware-Lösungen der nächsten Generation. Dass ich mit meiner Einschätzung nicht ganz falsch liege, zeigt ein Blogbeitrag von Sparkcognition, der mit DeepArmor eine Next Gen AV-Software im Portfolio hat. Während wie bereits erwähnt offensichtlich zahlreiche traditionelle AV-Lösungen WannaCry nicht erkannt haben, hat DeepArmor ohne Signaturenupdates oder dergleichen die Ransomware identifiziert und gestoppt:

Bemerkenswert daran ist, dass DeepArmor diese Ransomware-Variante noch nie zuvor gesehen hat, aber aufgrund seiner Funktionsweise (machine learning und artificial intelligence) in der Lage war, sie zu erkennen und unschädlich zu machen. DeepArmor wurde mit mit tausenden von sauberen und bösartigen Programmen trainiert und konnte deshalb Ähnlichkeiten zwischen den in WannaCry und vorhergehenden Ransomware-Varianten verwendeten Techniken erkennen. Wer glaubt, dass das alles auf dem Mist der Marketingabteilung von Sparkcognition gewachsen ist, den möchte ich eines besseren belehren: Ich habe mittlerweile einiges an Erfahrung mit einem adäquaten Produkt sammeln können, das ebenfalls signaturenlos und auf Basis von mathematischen Modellen und machine learning arbeitet, und wer eine derartige Lösung einmal im praktischen Einsatz erlebt hat, möchte nichts anderes mehr haben.

Abschließend möchte ich nochmal deutlich betonen, dass die Zukunft im Bereich Endpoint Security aus meiner Sicht ganz klar den AV-Lösungen der nächsten Generation gehört. Das sage ich nicht, weil ich es schick finde, jeden Trend mitmachen zu müssen, sondern weil ich als IT Security Analyst und Incident Responder täglich sehe, was in der Praxis funktioniert – oder eben auch nicht. Insbesondere im Unternehmensumfeld sollte man sich vor Augen führen, dass Endgeräte aus IT Security-Sicht der schwächste Punkt im Glied sind und dementsprechend auch effektiv geschützt werden müssen.

2 Thoughts on “Sparkcognition DeepArmor Next-Gen AV bietet Schutz vor WannaCry-Ransomware”

  • Danke für diesen interessanten Beitrag. Dieses DeepArmor klingt schon recht interessant, ich habe davon bislang noch nie etwas gehört. Wo kann man diese Software denn erwerben? Die Alternative wäre noch SecureAPlus, das Sie ja auch vertreiben. Ist dieses Produkt wirklich so gut, dass es auch unbekannte Schadsoftware erkennt bzw. blockieren kann? Sie scheinen davon ja wirklich überzeugt zu sein?

    • Ja, das bin ich. SecureAPlus hat als Application Whitelisting-Lösung den großen Vorteil, dass es weder mit Signaturen noch mit anderen Erkennungsmethoden arbeiten muss, die von AV-Programmen üblicherweise verwendet werden. Wer die Sicherheit auf die Spitze treiben möchte, verwendet Whitelisting plus eine Next-Gen-basierte AV-Lösung, sobald diese auch für den Homebereich zur Verfügung steht – diese Kombination dürfte aus meiner Sicht äußerst schwer zu umgehen sein, vor allem für reguläre Malware und Ransomware.

Leave a Reply

Your email address will not be published. Required fields are marked *