Die Nadel im Heuhaufen finden. Astraea stellt sich vor.

Irgendwo in unserem Büro gibt es ein gut bewachtes kleines großes schwarzes Buch, das eine Sammlung der aktuellen KL-Fakten und -Zahlen enthält, die wir bei unseren öffentlichen Auftritten nutzen. Sie wissen schon, wieviele Mitarbeiter wir haben, wie viele Büros, unsere Umsatzzahlen, etc., etc. Eine der am meisten benutzten Zahlen aus diesem Buch, ist die tägliche Anzahl von Schadprogrammen – auch Malware genannt. Und vielleicht ist diese Zahl so populär, weil sie täglich rasend schnell wächst. Das Wachstum beeindruckt sogar mich: Vor einem Jahr waren es 70.000 Malware-Samples – denken Sie daran: pro Tag; im Mai 2012 waren es 125.000 pro Tag; und jetzt – beim Hammer von Thor – sind es bereits… 200.000 pro Tag!

Ich veräpple Sie nicht: Jeden einzelnen Tag entdecken und analysieren wir so viele schädliche Programme, und entwickeln den Schutz davor!

Wie wir das machen?

Einfach gesagt, durch unser Expertenwissen und die daraus resultierenden Technologien – über die alleine von den Einträgen in diesem Blog ein weiteres großes schwarzes Buch geschrieben werden könnte (schauen Sie mal unter Technologie). Man mag sich fragen, ob wir keine Angst haben, dass diese Einträge über unsere Technologien auch von den Cyber-Kriminellen gelesen werden. Das ist schon beunruhigend. Aber für uns ist es wichtiger, den Anwendern zu erklären, wie ihr (unser) Schutz arbeitet, was die Cyber-Halunken motiviert und welche Tricks sie bei Ihrem Cyber-Schwindel anwenden.

Heute gibt es also einen weiteren wichtigen Eintrag in unserem Techno-Wälzer – über die Astraea-Technologie. Sie ist eines der Schlüsselelemente unseres KSN-Cloud-Systems (Hier finden Sie ein Video und Details dazu), das automatisch die Hinweise von geschützten Computern analysiert und damit dabei hilft, bisher unbekannte Bedrohungen aufzudecken. Aber Astraea kann noch mehr – Dinge, ohne die sich unsere Security-Analysten ihren Arbeitstag gar nicht mehr vorstellen können. Und wie es in meinen technischen Blog-Einträgen Tradition ist, zeige ich Ihnen die Technologie Schritt für Schritt…

Lassen Sie uns mit einer weiteren wichtigen Statistik beginnen: über 60 Millionen. Das ist die aktuelle Zahl unserer Kunden, die KSN nutzen. Und wenn ich sage „nutzen“, meine ich einen konstanten Austausch mit den Informationen in der Cloud über verdächtige Dateien, Webseiten, System-Events, Entdeckungen und viel mehr. Alles zusammengefasst unter dem Titel “das epidemiologische Millieu im Internet”!

Den riesigen Datenfluss des KSN in der entsprechenden Zeit von Hand zu analysieren ist praktisch unmöglich, wie Sie sich vielleicht schon gedacht haben. Es ist, wie wenn man eine Nadel im Heuhaufen sucht. Doch gleichzeitig ist darin wirklich eine Nadel versteckt (und sogar eine sehr wertvolle), für die sich die Suche lohnt. Die Aufgabe, diese Nadel zu suchen, ist im Grunde eine Sache der Software-Programmierung.

Es zeigt sich sogar, dass man gleich alle drei sprichwörtlichen Fliegen mit einer Klappe schlagen kann, wenn man die Verarbeitung dieses Datenflusses richtig angeht: (i) schnell, effektiv und mit minimalem Aufwand Malware entdecken; (ii) eine wertvolle statistische Datenbasis aufbauen, um den Finger immer am sprichwörtlichen Malware-Puls zu haben und Trends im Bereich der Virenprogrammierung erkennen zu können; und (iii) ein ständig verbessertes automatisches Expertensystem zu entwickeln, das von selbst „Behandlungsmethoden“ veröffentlichen kann – und dabei die Zahl von False Positives trotzdem gering hält.

Da haben Sie es! Jetzt kennen Sie die grundsätzlichen Funktionen von Astraea – einem System, das riesige Datenmengen verarbeiten und die entsprechend benötigten Resultate liefern kann, so genannte Big Data, auch bekannt als automatische Suche nach der Nadel im Heuhaufen.

Und jetzt – um Sie endgültig zu verwirren – noch mehr Daten! Über 150 Million KSN-Hinweise laufen jeden Tag durch Astraea. Und dadurch werden 10 Millionen Objekte (Dateien und Webseiten) bewertet!

Wie funktioniert das?

Am Anfang steht klassisches Crowdsourcing auf dem Programm, und Astraea erhält Hinweise auf verdächtige Dateien und Webseiten von den KSN-Teilnehmern. Alle werden automatisch analysiert und nach ihrer Wichtigkeit (wie häufig Objekte vorkommen und wie populär sie sind) und ihrem Gefahrenpotenzial bewertet. Das Gefahrenpotenzial wird auf Basis dynamischer Gewichtung berechnet. Das bedeutet, dass es zwischen den Hinweisen und dem Expertensystem immer Feedback gibt. Die Liste der Gewichtungen enthält derzeit Hunderte von Kriterien, die regelmäßig von unseren Analysten angepasst und in der Liste aktualisiert werden. Im Grunde enthält die Liste einen Großteil des Wissens eines qualifizierten Security-Analysten – Regeln, durch die Malware normalerweise gefunden werden kann.

Am Ende der Verarbeitungskette, gibt Astraea die berechnete Bewertung an das KSN zurück, wo sie sofort für alle Nutzer unserer Produkte verfügbar ist – und da schließt sich der Kreis. Und je umfangreicher die statistischen Daten, desto größer ist die Chance, neue Malware-Epidemien frühzeitig zu entdecken und ihren Ausbruch einzudämmen.

Dank unserer Statistiken, die zeigen, wie sich Schadprogramme auf den Computern der Anwender verhalten, weiß Astraea alles über Malware-Merkmale – etwa das Fehlen digitaler Signaturen, Einträge ins Autostart-Menü, die Nutzung bestimmter Packroutinen, etc. Und wenn Astraea Hinweise darauf bekommt, dass eine neue Datei Malware-Merkmale besitzt, reduziert sie deren Bewertung entsprechend der Menge der aufgelaufenen Hinweise. Sobald die Wertung einen kritischen Schwellwert erreicht, markiert sie das System als schädlich, produziert die nötigen Signaturen und schickt diese über das KSN an die Anwender. Und das macht Astraea alles automatisch!

In gleicher Weise sucht das System selbst vorsorglich nach schädlichen Webseiten. Es entdeckt Ressourcen, die Seiten ähneln, die Malware verteilen oder sich als Fälschungen legitimer Seiten erweisen. Auch hier gibt es wieder viele Kriterien, etwa die Übereinstimmung der E-Mail-Adressen oder der Seitenbesitzer, das Datum der Registrierung, die Präsenz verdächtiger Dateien auf dem Server, etc.

Wichtig ist hier, dass das System nicht einfach Bewertungen für Dateien und Seiten berechnet, sondern sie auch vergleicht, um genauere Urteile fällen zu können. Man kann ja schließlich annehmen, dass eine Datei von einer Seite, die schon einmal Schadprogramme enthalten hat, schlechter bewertet werden kann, als eine Datei von einer „sauberen“ Seite.

Man muss nicht extra erwähnen, dass Astraea die Interaktionen mit dem KSN speichert. Das hilft uns, bei einem Virenausbruch sofort reagieren zu können und die Quelle zu finden, aber auch, die Entwicklung des Schädlings verfolgen zu können – zeitlich und geografisch (in welchen Ländern der Virus aktiv ist). Nebenbei können diese Daten noch genutzt werden, (i) um spezielle, komplett individualisierbare Berichte und Trendanalysen anzufertigen – verschiedene „Hitlisten“ für einzelne Länder, Server, Dateien, Malware-Familien und viel mehr (inklusive Kreuzverweisen auf andere Berichte); (ii) um die Entwicklung der Cyber-kriminellen Aktivität für verschiedene Industriezweige vorhersagen zu können und (iii) um je nach Verhalten von Schadprogrammen Vorhersagen zum Wachstum von Malware für verschiedene Plattformen erstellen zu können.

Aber das ist immer noch nicht alles!

Astraea bietet auch proaktive Erkennung. Das System kann also nicht nur bekannte Bedrohungen aufspüren, sondern auch solche, die gerade erst in den Köpfen der Virenschreiben geplant werden! Da das System auf eine riesige Datenbank mit Informationen zum realen Verhalten von Malware zugreift, können wir Verhaltensmuster erstellen und zum KSN hinzufügen. Die Reaktionszeit auf neue, bisher unbekannte Bedrohungen liegt derzeit bei 40 Sekunden; doch mit dem proaktiven Ansatz wird sie praktisch auf Null sinken!

Noch ein anderer Vorteil von Astraea: Das System verringert False Positives.

Einerseits arbeitet das System mit einer gigantischen statistischen Datenbank und einem ausgefeilten mathematischen Modell, die es erlauben, die Zahl der Falschalarme auf ein Minimum zu reduzieren. Seit 2010, als sich Astraea zum Dienst meldete, gab es laut unseren Spezialisten keinen einzigen mehr oder weniger bedeutenden Vorfall.

Andererseits ist ein Mechanismus in das System eingebaut, der den menschlichen Faktor überwacht. Wenn ein Security-Analyst einen neuen Eintrag zur Black- oder Whitelist hinzufügt, wird dieser Eintrag automatisch geprüft.

Hier ein paar Beispiele:

Die Datei “ABC” steht auf der Liste der sauberen Dateien (Whitelist), doch plötzlich erhält Astraea einen Hinweis, dass eines unserer Produkte einen Trojaner darin gefunden hat. Das System findet eine falsche Signatur, kennzeichnet diese als False Positive und startet einen Prozess zur Prüfung und Korrektur der falschen Entdeckung.

Oder so: Ein Security-Analyst im Rausch der Leidenschaft (oder mit Kater) fügt die Datei “XYZ” zur Blacklist hinzu. Allerdings ist diese Datei bereits auf der Whitelist. Das System teilt dem Analysten mit, dass er vielleicht etwas überarbeitet ist (oder letzte Nacht zu viel getrunken hat) und lehnt die neue Einstufung der Datei ab, solange der Konflikt ungeklärt ist.

Eigentlich wächst Astraea sogar die ganze Zeit, doch es gibt zu viele Beispiele, um sie hier alle zu beschreiben.

Mit Astraea „graben“ wir aktiv tief und breit. Wir modernisieren das mathematische Analysemodell für Dateien, fügen neue und neu bewertete Kriterien hinzu, bringen neue Technologien ein, um die Geschwindigkeit und Qualität der Malware-Entdeckung zu erhöhen, und entwickeln zusätzliche Systeme, die komplexe Zusammenhänge herstellen. Allgemein gesagt, sind unsere Pläne wie immer recht ambitioniert und weitreichend, aber das sollte nichts schlechtes sein J. Und da es immer mehr Patent-Trolle gibt, patentieren wir diese appetitlichen Häppchen auch laufend. Unter anderem halten wir Patente auf die Minimierung von False Positives, die Warnung vor Virenausbrüchen und die Entdeckung bisher unbekannter Bedrohungen.

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.