Sparkcognition DeepArmor Next-Gen AV bietet Schutz vor WannaCry-Ransomware

In meinem Artikel von gestern hatte ich über die weltweite Ausbreitung der WannaCry-Ransomware berichtet. Dass eine Sicherheitslücke in Windows-Betriebsystemen ausgenutzt wird, ist die eine Sache, dass aber offensichtlich auch AV-Software WannaCry/Wana Decrypt0r nicht erkannt hat, die andere. Ehrlich gesagt verblüfft mich das aber auch nicht weiter, denn traditionelle AV-Software tut sich zunehmend schwerer damit, Ransomware zu erkennen und wirkungsvoll zu stoppen. Erpresstes Lösegeld aus Ransomware-Infektionen ist schnell und leicht verdientes Geld, und deshalb versuchen Cyberkriminelle natürlich auch, ihre Ransomware so gut wie möglich vor der frühzeitigen Entdeckung durch AV-Software zu schützen, was ihnen in den meisten Fällen auch gelingt.

Selbst mit Techniken wie verhaltensbasierter Kontrolle oder Sandboxing bekommt man Ransomware nicht effektiv in den Griff – hier hilft aus meiner Sicht nur Application Whitelisting und der Einsatz von Anti-Malware-Lösungen der nächsten Generation. Dass ich mit meiner Einschätzung nicht ganz falsch liege, zeigt ein Blogbeitrag von Sparkcognition, der mit DeepArmor eine Next Gen AV-Software im Portfolio hat. Während wie bereits erwähnt offensichtlich zahlreiche traditionelle AV-Lösungen WannaCry nicht erkannt haben, hat DeepArmor ohne Signaturenupdates oder dergleichen die Ransomware identifiziert und gestoppt:

Bemerkenswert daran ist, dass DeepArmor diese Ransomware-Variante noch nie zuvor gesehen hat, aber aufgrund seiner Funktionsweise (machine learning und artificial intelligence) in der Lage war, sie zu erkennen und unschädlich zu machen. DeepArmor wurde mit mit tausenden von sauberen und bösartigen Programmen trainiert und konnte deshalb Ähnlichkeiten zwischen den in WannaCry und vorhergehenden Ransomware-Varianten verwendeten Techniken erkennen. Wer glaubt, dass das alles auf dem Mist der Marketingabteilung von Sparkcognition gewachsen ist, den möchte ich eines besseren belehren: Ich habe mittlerweile einiges an Erfahrung mit einem adäquaten Produkt sammeln können, das ebenfalls signaturenlos und auf Basis von mathematischen Modellen und machine learning arbeitet, und wer eine derartige Lösung einmal im praktischen Einsatz erlebt hat, möchte nichts anderes mehr haben.

Abschließend möchte ich nochmal deutlich betonen, dass die Zukunft im Bereich Endpoint Security aus meiner Sicht ganz klar den AV-Lösungen der nächsten Generation gehört. Das sage ich nicht, weil ich es schick finde, jeden Trend mitmachen zu müssen, sondern weil ich als IT Security Analyst und Incident Responder täglich sehe, was in der Praxis funktioniert – oder eben auch nicht. Insbesondere im Unternehmensumfeld sollte man sich vor Augen führen, dass Endgeräte aus IT Security-Sicht der schwächste Punkt im Glied sind und dementsprechend auch effektiv geschützt werden müssen.