Suchen

Reputation Scan für Symantec-Lösungen Symantec Ubiquity soll False Positives beim Antivirus-Scan verhindern

Redakteur: Stephan Augsten

Der Antivirus-Experte Symantec hat mit Ubiquity eine Reputations- und Kontext-bezogene Scan-Technik entwickelt, die Fehlalarme reduzieren soll. Der Sicherheitsansatz wurde bereits mit Norton 2011 und Symantec Hosted Endpoint Protection eingeführt, die darauf aufbauende Reputationsdatenbank kennt mittlerweile 1,5 Milliarden Anwendungen.

Firma zum Thema

Neues Logo, neuer Sicherheitsansatz: Der Reputation Scan durch Ubiquity soll die Symantec-Lösungen beschleunigen und für mehr Sicherheit sorgen.
Neues Logo, neuer Sicherheitsansatz: Der Reputation Scan durch Ubiquity soll die Symantec-Lösungen beschleunigen und für mehr Sicherheit sorgen.
( Archiv: Vogel Business Media )

Viren-Signaturen haben bei der Malware-Bekämpfung zwar noch nicht ausgedient, doch allein ihr schieres Ausmaß zwingt Antivirus-Spezialisten zum Umdenken. Und so warten aktuelle Antivirenlösungen mit Heuristik und Verhaltenserkennung aus, die jedoch nie ganz zuverlässig arbeiten und immer wieder Fehlalarme (False Positives) produzieren.

Symantec will derartige Fehlalarme mithilfe der sogenannten Reputation zumindest minimieren. Ubiquity heißt der neue Sicherheitsansatz, der von der Symantec-Abteilung Security Technology and Response (STAR) entwickelt wurde.

Ganz neu ist die Idee hinter Ubiquity im Grunde genommen nicht: In einer Reputationsdatenbank werden bekannte ausführbare Dateien hinterlegt und entsprechend ihres Gefahrenpotenzials eingestuft. In diese Wertung können unter anderem die Verbreitung, die Versionsnummer, mögliches Missbrauchspotenzial und das Anwendungsverhalten einfließen.

Darin besteht laut Symantec der größte Unterschied zu anderen Reputations-basierenden Lösungen: Ubiquity soll den gesamten Kontext einer Anwendung erfassen und das potenzielle Risiko ermitteln. Hierfür werden ähnliche ausführbare Dateien, die auf anderen von Symantec geschützten Systemen gefunden und bereits gescannt wurden, als Referenz herangezogen.

Ist der Ruf erst ruiniert...

Der Vorteil Reputations- und Kontext-bezogener Sicherheitslösungen ist ihre Schnelligkeit, denn in vielen Fällen muss nicht mehr die ganze Datei auf einen Virus untersucht werden. Meist genügt ein Hashwert oder Fingerprint, um die Dateien zu erkennen und in der Folge als gut- oder bösartig einzustufen.

Symantec Ubiquity hebt sich allerdings schon durch die schiere Masse an Informationen von ähnlichen Sicherheitsansätzen ab: Über 118 Millionen Systeme senden bereits anonymisierte Anwendungsdaten an die Symantec-Server Nach aktuellem Stand umfasst die Reputationsdatenbank 1,5 Milliarden ausführbare Dateien, wöchentlich kommen laut Symantec rund 22 Millionen neue Dateien hinzu.

Ubiquity ist als neuer Sicherheitsansatz bereits in die Endkunden-Produkte der Linie Norton 2011 und erst kürzlich in Symantec Hosted Endpoint Protection eingeflossen. Weitere Enterprise-Produkte sollen ab dem kommenden Jahr ebenfalls von Ubiquity profitieren, beginnend mit dem Symantec Web Gateway.

(ID:2047568)