Anti-Malware-Netzwerk entlastet AV-Client auf dem PC

Trend Micro stellt webbasierte Antivirenlösung vor

Trend Micro hat mit dem "Smart Protection Network" (SPN) seinen Ansatz für ein sicheres Internet der Zukunft vorgestellt. In einer Cloud-Client-Architektur wird der Großteil der Erkennungslast vom lokal installierten AV-Client "into the Cloud", also ins Internet, verlagert.

"Das ist eine große Veränderung für die gesamte AV-Industrie", ist Eva Chen, Gründerin und CEO, bei der Präsentation in London überzeugt. Die schlankere lokale Installation wird Computern weniger Ressourcen abverlangen und in Kombination mit Scan-Servern gleichzeitig für mehr Sicherheit im Internet sorgen, so das Konzept. Ein wichtiger Faktor sind dabei die Nutzer, denn jeder einzelne Anwender dient als Informationsquelle für das vorgestellte Netzwerk.

Nur noch 15 Prozent derzeitiger Pattern-Dateigrößen werden im neuen System vom lokalen Client genutzt, erklärt Raimund Genes, Trend Micro CTO, gegenüber pressetext in London. Dieser Rest dient dazu, wichtige Malware-Familien zu erkennen und dem System auch offline einen gewissen Schutz zu bieten - diese Funktionalität muss beispielsweise wegen Malware, die den Endanwender via USB-Datenspeicher erreicht, erhalten bleiben. Der Löwenanteil der Gefahrensuche wird online abgewickelt - in der Regel mit einem Scan-Server in einem von derzeit fünf global verteilten Trend-Micro-Datenzentren. Speziell für Enterprise-Kunden sind auch eigene Scan-Server für das jeweilige Firmen-Intranet vorgesehen.

Schon jetzt hat Trend Micro in vielen Produkten zwei von drei Schlüsselkomponenten des SPN implementiert. Die E-Mail-Reputation-Technologie dient dazu, Spam und gefährliche E-Mails zu blockieren, während die Web-Reputation-Technologie vor infizierten Webseiten schützt. "Wir blockieren dabei nur die begrenzte Zahl der echten Malware-Hosts", betont Rik Ferguson, Solutions Architect EMEA, gegenüber pressetext. Das sei angesichts der steigenden Zahl von Injection-Angriffen unumgänglich, die auf seriösen Seiten Code einschleusen und Nutzer zu Malwareschleudern umleiten. Vor letzteren müssten die Anwender geschützt werden, ohne dabei auf den ungefährlichen Rest des seriösen Webangebots verzichten zu müssen.

Ergänzt werden die beiden Komponenten nun um ein File-Reputation-System für Downloads und E-Mail-Attachments. Gleichzeitig ist eine noch stärke Korrelation zwischen den drei Elementen vorgesehen. Stößt ein lokaler AV-Client auf etwas Verdächtiges - sei es eine E-Mail, URL oder Datei - meldet er den Fund ans SNP und setzt Vorsichtsmaßnahmen. Besonders wichtig ist dabei, dass bei einer unbekannten Datei, die aus dem Internet weitere Dateien nachladen will, dieser Vorgang zunächst unterbunden wird. Damit soll verhindert werden, dass auf den Computer gelangte Downloader ahnungslose Nutzer mit weiterer, noch gefährlicherer Malware infizieren. Das SPN meldet dem Client, ob es die potenzielle Bedrohung erkennt. Falls es sich um keinen gefährlichen Fund handelt, dürfen Downloads durchgeführt werden - etwa die Aktualisierung einer Anwendung. Ist eine potenzielle Bedrohung dem SPN jedoch unbekannt, startet das System im Hintergrund Nachforschungen und analysiert das gesamte Netzwerk der potenziellen Bedrohung.

"Malware muss weiter verlinken", erklärt Chen. Eine E-Mail etwa könnte eine URL enthalten, die auf einen Malware-Host verweist, der einen Downloader im System des Anwenders einschleust. Dieses Programm würde dann Adressen weiterer Hosts enthalten, von denen es weitere Malware nachladen soll - und diese enthält womöglich auch Code, der neue Spam-E-Mails versenden würde. Oft könnten in so einer Kette Glieder zu finden sein, die dem SPN bereits bekannt sind - etwa häufig genutzte Malware-Hosts. Die gesamte Analyse erfolge innerhalb von 30 Minuten, so Genes. Das Ziel sei, diese Reaktionszeit auf 15 Minuten zu drücken und damit durch das SPN schnell umfassenden Schutz zu bieten. Dabei profitieren alle Nutzer des Systems von jeder Analyse - sprich jeder User ist praktisch ein Sensor und die Qualität des Schutz-Netzes steigt mit der Anwenderzahl.

Dieser neue Ansatz soll der explodierenden Malware-Menge im Netz besser standhalten als die lokale Signatur-basierte Erkennung. Heute würden stündlich knapp 800 einzigartige Samples bei Trend Micro eingehen, so Genes. Im Jahr 2010 werden es bereits rund dreimal so viele sein, bis 2015 schon über 26.500, so die hauseigene Prognose. Nur mit der neuen Lösung habe man die Möglichkeit, gegen die florierende Malware-Industrie zurückzuschlagen, meint Chen. Bereits im August soll Chen zufolge das erste SPN-Pilotprodukt starten. Der großflächige Rollout ist für das vierte Quartal mit einer Enterprise-Lösung geplant und soll jedenfalls im Laufe des Jahres 2009 für alle Kundensegmente erfolgen. Gerade im Heimanwender-Bereich hoffe man, mit dem neuen System Marktanteile zu gewinnen, so Chen. (pte/hal)