BEAST: das volle Bild über Cybergefahren

Cyberkriminelle arbeiten ständig daran, Schadprogramme zu entwickeln, die von Sicherheitslösungen nicht erkannt werden. BEAST, die neue Security-Technologie von G DATA erkennt schädliche Prozesse auf Basis einer verhaltensbasierten Erkennung und stoppt diese.

von G DATA Software AG 30.09.2019

Online-Kriminelle setzen auf immer neue Strategien, um ihre Ziele – zum Beispiel Erpressung, Datenspionage oder Manipulationen im digitalen Zahlungsverkehr – zu erreichen. Um mit dem zunehmenden Tempo der Hacker Schritt zu halten, setzt das Cyber-Defense-Unternehmen G DATA auf zeitgemässe Technologien wie etwa Künstliche Intelligenz. Die neueste Entwicklung für die Abwehr von Schadprogrammen ist BEAST. Die Technologie erkennt Schadcode anhand des schädlichen Verhaltens und stoppt diese umgehend.

Thomas Siebert, Forschungs- und Entwicklungsleiter für Schutztechnologien bei G DATA erklärt die besonderen Eigenschaften von BEAST:

Thomas Siebert © G DATA Thomas Siebert © G DATA Zoom  Warum wurde BEAST entwickelt?

Thomas Siebert: Cybercrime ist ein Milliardengeschäft und die Malware-Autoren arbeiten kontinuierlich daran, ihre Schadprogramme so zu gestalten, dass sie von Sicherheitslösungen nicht erkannt werden. Dazu setzen die Täter auf spezialisierte Programme, von denen es nur wenige Exemplare gibt, immer neu verpackten Schadcode oder sie führen eigentlich legitime Tools zu einer Angriffskette zusammen. Die Lösung ist eine Verhaltensüberwachung, die schadhafte Prozesse zuverlässig erkennt und stoppt – genau das leistet BEAST.

Was ist das Besondere an BEAST?

Thomas Siebert: BEAST zeichnet verdächtige Prozesse in einem Graphen nach. Hierzu haben wir eine performanceoptimierte Graphdatenbank entwickelt, die lokal auf dem Kunden-Rechner läuft. Diese zeigt ein vollständiges Bild und erkennt Bedrohungen trennscharf. Einzelne Aktionen sind dabei nicht immer schadhaft. Wenn aber beispielsweise ein Mail-Anhang ein Word-Datei mit einem Makro enthält, dass Powershell öffnet und eine ausführbare Datei aus dem Internet nachlädt und startet, haben wir es hier eindeutig mit einem sehr bekannten Infektionsweg einer Malware zu tun. Dabei kann BEAST auch komplexe und weniger bekannte schadhafte Kombinationen von Prozessen erkennen und auch Schadprogramme dingfest machen, die für jede Aktion einen eigenen Prozess startet. BEAST liefert unseren Kunden das volle Bild über aktuelle Cyberbedrohungen.

Was unterscheidet BEAST von herkömmlichen verhaltensbasierten Security-Technologien?

Thomas Siebert: Herkömmliche Verhaltensüberwachungen versuchen, möglicherweise schadhaftes Verhalten von Schadprogrammen anhand verschiedener Indikatoren in numerische Werte zu übersetzen, um eine Entscheidung zu treffen, ob der betreffende Prozess schädlich ist oder nicht. Dieses Verfahren ist sehr ungenau, denn abhängig von den Schwellwerten werden Schädlinge entweder nicht erkannt oder es treten häufig Fehlalarme auf.
Mit BEAST verfolgen wir einen ganz anderen Ansatz. Die Technologie zeichnet verdächtige Prozesse in einem Graphen nach. Hierdurch wird ein vollständiges Bild mit allen Informationen in der Graphdatenbank nachgezeichnet und Bedrohungen eindeutig als solche identifiziert – sicher, schnell und ohne die Gefahr von Fehlalarmen.

Wie profitieren Unternehmen und Anwender von der neuen Technologie?

Thomas Siebert: Fehlalarme sind gerade im Unternehmensumfeld fatal, denn ihre Beseitigung kostet viel Geld und unnütze Warnung können dazu führen, dass Alarme nicht mehr ernst genommen werden. BEAST liefert schnell und vollautomatisiert eindeutig verwertbare Erkenntnisse. Ein weiterer Vorteil ist, dass die Informationen über die verdächtigen Prozesse in der Graphdatenbank für einige Zeit gesichert werden, so können Aktionen durch Schadprogramme auch nach einer Infektion noch zurückgerollt werden. Nicht jede Malware beginnt nach einer Infektion gleich mit der Ausführung der Schadfunktionen. Ist dies der Fall, kann BEAST die Installation des Schadcodes vollständig zurückrollen.


G DATA Sicherheitstipps für Internetnutzer

  • Gut geschützt ins Internet: Eine umfassende Sicherheitslösung mit einem leistungsfähigen Echtzeitschutz gehört zur Grundausstattung jedes Computers, Smartphones und Tablets.
  • Auf dem aktuellsten Stand sein: Die auf dem PC und dem Mobilgerät installierte Software, Apps und das Betriebssystem sollten immer auf dem aktuellsten Stand sein und alle verfügbaren Updates umgehend installiert werden. Anwender schliessen so Sicherheitslücken, die Kriminelle für Angriffe ausnutzen könnten.
  • Ab in den digitalen Papierkorb: Alle Spam-Mails am besten umgehend löschen und enthaltene Links und Dateianhänge auf keinen Fall öffnen.
  • Passphrasen verwenden: Ein einziges Wort als Passwort zu benutzen, gilt als nicht ausreichende Sicherung. Zu einfach lassen sich beispielsweise Passwörter wie „fussball1234“ oder „passwort+“ erraten. Deshalb sollte grundsätzlich eine Passphrase verwendet werden, die in keinem Wörterbuch zu finden aber gleichzeitig gut zu merken ist. Das ist wichtig, denn Cyberkriminelle verwenden statistisch wahrscheinliche Kombinationen, die eine bekannte Wortfolge schnell aufdecken und somit das Passwort wiederum unsicher machen.
  • Vorsicht bei Kurz-URLs: Verkürzte Links können geradewegs in die Schadcode-Falle führen, Nutzer sollten daher vorsichtig sein und URLs von Unbekannten am besten gar nicht anklicken.

    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.