Der IT-Sicherheitsspezialist McAfee nutzt das Internet und die auf Millionen Anwender-PCs installierte Software aus dem eigenen Haus, um Bedrohungen durch bösartigen Code noch schneller zu erkennen. Die erweiterte Technologie wurde in den hauseigenen McAfee Labs entwickelt.
Der neue Ansatz ist Teil von McAfee Global Threat Intelligence und bietet zwei entscheidende Vorteile:
Zum einen können die Forscher der McAfee Labs nun mittels Millionen vernetzter PCs, auf denen McAfee-Software installiert ist und als Sensor funktioniert, nach neuen Schädlingen fahnden - und zwar ohne die Systemleistung auf diesen Rechnern zu beeinträchtigen. Werden verdächtige Aktivitäten bemerkt, wird dies in die Cloud gemeldet und mit den Meldungen anderer Systeme abgeglichen. Erkennen die Experten eine neue Bedrohung, richten sie eine Quarantäne ein, forschen nach, entwickeln Gegenmaßnahmen und setzen sie um.
Zum anderen sind die Spezialisten der McAfee Labs in der Lage, Maßnahmen gegen Schadsoftware zu entwickeln, die weit über die bisherige Signaturerkennung hinausgehen. Erstmals begegnen sie den Cyberkriminellen damit auf Augenhöhe. Mit dem neuen Ansatz können die McAfee Labs auch auf breiter Basis die Wirksamkeit ihrer Gegenmaßnahmen testen - und gleichzeitig die Zahl der Falschmeldungen auf ein Minimum reduzieren.
"Mit dieser neuen Technologie nutzen wir unsere globale Präsenz und die vielen Millionen Computer mit installiertem McAfee-Schutz um Bedrohungen zu erkennen, die andere Sicherheitsanbieter möglicherweise so nicht sehen", erläutert Jeff Green, Senior Vice President der McAfee Labs.
Computersicherheitsprogramme erkennen traditionell nur Schädlinge, die bereits auffällig geworden und deren Signaturen in den Datenbanken der Sicherheitsanbieter erfasst sind. Grundlage dieser Signaturendatenbanken bilden die in der Branche zirkulierenden Sammlungen von Malware-Exemplaren, die von Kunden oder externen Sicherheitsspezialisten eingereicht wurden. "Unsere Prioritäten sind nun durch den bösartigen Code bestimmt, der tatsächlich gerade im Internet kursiert und weniger durch die Malware-Sammlungen der Industrie", erklärt Mike Gallagher, McAfee Labs Chief Technology Officer.
"Es ist Zeit, über den Schutz hinauszugehen, der auf den Malware-Samples basiert, die unter den Unternehmen in der IT-Sicherheitsindustrie ausgetauscht werden", so Green. "Die Dateien sind immer noch wichtig, aber die Industrie hat sich zu sehr auf Dateien fokussiert und versucht, Signaturen zur Erkennung der rapide steigenden Anzahl von Dateien zu generieren. Das wird den heutigen Anforderungen im Kampf gegen Malware nicht gerecht, die Kriminellen haben diese Schlacht längst gewonnen."
Laut McAfee Labs steigt das Malware-Aufkommen seit Jahren an. So registrierten die Mitarbeiter in der ersten Hälfte des Jahres 2010 durchschnittlich mehr als 55.000 neue Malware-Exemplare pro Tag. Zurückzuführen ist diese hohe Zahl auf den Umstand, dass Cyberkriminelle zahlreiche, leicht unterschiedliche Varianten ihrer Schadprogramme in Umlauf bringen, um so die Erkennung durch Sicherheitssoftware zu erschweren.
Mit dem neuen Ansatz von McAfee Global Threat Intelligence betrachten die Forscher der McAfee Labs nun nicht mehr nur die einzelnen Malware-Exemplare, sondern beziehen in ihre Untersuchungen und die Entwicklung von Gegenmitteln auch zusätzliche Informationen im Zusammenhang mit einer bösartigen Datei mit ein. Diese Vorgehensweise bewirkt, dass Schadcode schneller, zuverlässiger und in all seinen Variationen erkannt wird. Zudem lassen sich ganze Typenklassen von Malware einfach abwehren. So konnten die McAfee Labs beispielsweise zahlreiche Varianten von gefälschten Sicherheitsprogrammen - sogenannter Scareware - schneller erkennen, analysieren und sperren.
McAfee nutzt die erweiterten Möglichkeiten von McAfee Global Threat Intelligence seit April dieses Jahres. Das über die Signaturerstellung hinausgehende Fachwissen wird den Mitarbeitern der McAfee Labs in speziellen Schulungen vermittelt, in denen sie zu sogenannten "Threat Prospectors" ausgebildet werden. McAfee will die Nutzung des neuen Ansatzes bis Anfang 2011 allmählich ausweiten, so dass Kunden in diesem Zeitraum verstärkt von den Vorteilen profitieren können.
McAfee Global Threat Intelligence
McAfee Global Threat Intelligence wurde in den McAfee Labs entwickelt und ist das derzeit umfassendste Gefahrenerkennungssystem im Internet. Anhand der Daten, die Millionen von Sensoren weltweit an allen von Angreifern genutzten Einfallstoren sammeln - Dateien, World Wide Web, E-Mail-Verkehr und Netzwerke - gewinnt McAfee Global Threat Intelligence sekundenaktuelle Erkenntnisse über Dateien, IP-Adressen, URLs, Web-Domains, Bilder, E-Mail-Nachrichten, Netzwerkverbindungen und Anwendungsprogramme. McAfee Global Threat Intelligence schützt vor bekannten Gefahren ebenso wie vor neuen, noch unentdeckten - vor Malware-Epidemien, Zero-Day-Attacken und Spam-Fluten aus Zombie-Netzen ebenso wie vor Angriffen aus dem Web. McAfee Global Threat Intelligence ermöglicht Kunden, durch umfassenderen Schutz ihr Sicherheitsrisiko zu senken, die Kosten für Störfallbehebung und IT-Verwaltung zu senken und ihre Sicherheitslage zu bewerten.
Der neue Ansatz ist Teil von McAfee Global Threat Intelligence und bietet zwei entscheidende Vorteile:
Zum einen können die Forscher der McAfee Labs nun mittels Millionen vernetzter PCs, auf denen McAfee-Software installiert ist und als Sensor funktioniert, nach neuen Schädlingen fahnden - und zwar ohne die Systemleistung auf diesen Rechnern zu beeinträchtigen. Werden verdächtige Aktivitäten bemerkt, wird dies in die Cloud gemeldet und mit den Meldungen anderer Systeme abgeglichen. Erkennen die Experten eine neue Bedrohung, richten sie eine Quarantäne ein, forschen nach, entwickeln Gegenmaßnahmen und setzen sie um.
Zum anderen sind die Spezialisten der McAfee Labs in der Lage, Maßnahmen gegen Schadsoftware zu entwickeln, die weit über die bisherige Signaturerkennung hinausgehen. Erstmals begegnen sie den Cyberkriminellen damit auf Augenhöhe. Mit dem neuen Ansatz können die McAfee Labs auch auf breiter Basis die Wirksamkeit ihrer Gegenmaßnahmen testen - und gleichzeitig die Zahl der Falschmeldungen auf ein Minimum reduzieren.
"Mit dieser neuen Technologie nutzen wir unsere globale Präsenz und die vielen Millionen Computer mit installiertem McAfee-Schutz um Bedrohungen zu erkennen, die andere Sicherheitsanbieter möglicherweise so nicht sehen", erläutert Jeff Green, Senior Vice President der McAfee Labs.
Computersicherheitsprogramme erkennen traditionell nur Schädlinge, die bereits auffällig geworden und deren Signaturen in den Datenbanken der Sicherheitsanbieter erfasst sind. Grundlage dieser Signaturendatenbanken bilden die in der Branche zirkulierenden Sammlungen von Malware-Exemplaren, die von Kunden oder externen Sicherheitsspezialisten eingereicht wurden. "Unsere Prioritäten sind nun durch den bösartigen Code bestimmt, der tatsächlich gerade im Internet kursiert und weniger durch die Malware-Sammlungen der Industrie", erklärt Mike Gallagher, McAfee Labs Chief Technology Officer.
"Es ist Zeit, über den Schutz hinauszugehen, der auf den Malware-Samples basiert, die unter den Unternehmen in der IT-Sicherheitsindustrie ausgetauscht werden", so Green. "Die Dateien sind immer noch wichtig, aber die Industrie hat sich zu sehr auf Dateien fokussiert und versucht, Signaturen zur Erkennung der rapide steigenden Anzahl von Dateien zu generieren. Das wird den heutigen Anforderungen im Kampf gegen Malware nicht gerecht, die Kriminellen haben diese Schlacht längst gewonnen."
Laut McAfee Labs steigt das Malware-Aufkommen seit Jahren an. So registrierten die Mitarbeiter in der ersten Hälfte des Jahres 2010 durchschnittlich mehr als 55.000 neue Malware-Exemplare pro Tag. Zurückzuführen ist diese hohe Zahl auf den Umstand, dass Cyberkriminelle zahlreiche, leicht unterschiedliche Varianten ihrer Schadprogramme in Umlauf bringen, um so die Erkennung durch Sicherheitssoftware zu erschweren.
Mit dem neuen Ansatz von McAfee Global Threat Intelligence betrachten die Forscher der McAfee Labs nun nicht mehr nur die einzelnen Malware-Exemplare, sondern beziehen in ihre Untersuchungen und die Entwicklung von Gegenmitteln auch zusätzliche Informationen im Zusammenhang mit einer bösartigen Datei mit ein. Diese Vorgehensweise bewirkt, dass Schadcode schneller, zuverlässiger und in all seinen Variationen erkannt wird. Zudem lassen sich ganze Typenklassen von Malware einfach abwehren. So konnten die McAfee Labs beispielsweise zahlreiche Varianten von gefälschten Sicherheitsprogrammen - sogenannter Scareware - schneller erkennen, analysieren und sperren.
McAfee nutzt die erweiterten Möglichkeiten von McAfee Global Threat Intelligence seit April dieses Jahres. Das über die Signaturerstellung hinausgehende Fachwissen wird den Mitarbeitern der McAfee Labs in speziellen Schulungen vermittelt, in denen sie zu sogenannten "Threat Prospectors" ausgebildet werden. McAfee will die Nutzung des neuen Ansatzes bis Anfang 2011 allmählich ausweiten, so dass Kunden in diesem Zeitraum verstärkt von den Vorteilen profitieren können.
McAfee Global Threat Intelligence
McAfee Global Threat Intelligence wurde in den McAfee Labs entwickelt und ist das derzeit umfassendste Gefahrenerkennungssystem im Internet. Anhand der Daten, die Millionen von Sensoren weltweit an allen von Angreifern genutzten Einfallstoren sammeln - Dateien, World Wide Web, E-Mail-Verkehr und Netzwerke - gewinnt McAfee Global Threat Intelligence sekundenaktuelle Erkenntnisse über Dateien, IP-Adressen, URLs, Web-Domains, Bilder, E-Mail-Nachrichten, Netzwerkverbindungen und Anwendungsprogramme. McAfee Global Threat Intelligence schützt vor bekannten Gefahren ebenso wie vor neuen, noch unentdeckten - vor Malware-Epidemien, Zero-Day-Attacken und Spam-Fluten aus Zombie-Netzen ebenso wie vor Angriffen aus dem Web. McAfee Global Threat Intelligence ermöglicht Kunden, durch umfassenderen Schutz ihr Sicherheitsrisiko zu senken, die Kosten für Störfallbehebung und IT-Verwaltung zu senken und ihre Sicherheitslage zu bewerten.
