Antivirusbescherming wordt sociaal

Mensen vertrouwen vaak op hun vriendenkring voor steun. Nu hoopt een startend bedrijf die sociale connecties te benutten om beveiligingssoftware te maken en te leveren die gebruikers zal beschermen tegen computervirussen en andere digitale bedreigingen.





Beoordeling van bedreiging: Immunet Protect (hierboven) geeft updates over de bedreigingen die zijn gestopt door de software die nog in ontwikkeling is. Toekomstige versies zullen informatie bevatten over kwaadaardige software die is gedetecteerd op de computers van vrienden.

Op woensdag start Immunet bekend gemaakt het eerste product, Immunet Protect, een programma dat gedownloade bestanden controleert op een map met schadelijke software, zoals virussen en Trojaanse paarden. Het bedrijf voegt zich bij een handvol anderen bij het omzetten van veel van zijn detectiemogelijkheden in een service die wordt aangeboden via internet of de cloud. Maar het echte verschil, zeggen de oprichters, is het vermogen van de software om digitale gemeenschappen te beschermen – die gebruikers die met elkaar verbonden zijn via sociale netwerken zoals instant messaging, Facebook of Twitter.

Omdat kwaadaardige software snel door berichten gaat die naar vrienden zijn verzonden via e-mail, instant messaging en andere sociale technologieën, is Immunet van plan om dezelfde paden te gebruiken om de benodigde informatie te verzenden om gebruikers te beschermen, zegt Oliver Friedrichs, CEO en oprichter van de vierkoppige firma.



We zien een toename van het aantal bedreigingen dat via sociale netwerken wordt verspreid, evenals aanvallen op sociale netwerksites in het algemeen, zegt Friedrichs. Uw sociale netwerk wordt een grotere aanvalsvector dan in het verleden. Onze aanpak is om dat sociale netwerk te beschermen.

Immunet-gebruikers kunnen zien wie in hun sociale netwerk een huidige gebruiker van de service is. Zo konden Facebook-gebruikers zien wie van hun vrienden ook Immunet Protect heeft geïnstalleerd. Met de service kunnen gebruikers ook zien of hun vrienden een groter deel van de bedreigingen hebben gezien dan de populatie van Immunet Protect-gebruikers als geheel.

Het idee is om kwaadaardige programma's niet zozeer te behandelen als een analyseprobleem (waarbij een bestand wordt onderzocht om te bepalen of het een bedreiging vormt) en meer als een dataminingprobleem, zegt Friedrichs. Wanneer een nieuw bestand wordt gedownload naar de computer van een gebruiker, wordt informatie over meer dan 100 kenmerken naar de servers van Immunet verzonden. Als een dreiging wordt herkend, reageert de dienst binnen een vijfde van een seconde; anders mag het bestand worden uitgevoerd terwijl het bedrijf probeert de kenmerken van het bestand te analyseren.



Er zijn tegenwoordig zoveel bedreigingen dat een analist ze niet allemaal kan analyseren, dus gebruiken we dataminingtechnieken om de spelden in de hooiberg te vinden, zegt Friedrichs. We beschouwen ons gebruikersbestand als een zeer groot sensornetwerk.

Het is geen geheim dat de huidige antivirussoftware moeite heeft met het detecteren van de nieuwste bedreigingen. Vorige week bracht antivirusbedrijf Panda Security een rapport uit waaruit blijkt dat 52 procent van de kwaadaardige software langer dan 24 uur niet wordt gezien, omdat de cybercriminelen die verantwoordelijk zijn voor het verspreiden van de software de binaire code elke dag op een andere manier comprimeren en herschikken, een techniek bekend als verpakking. De mogelijkheid om code te herschikken heeft traditionele antivirusbedrijven benadeeld. In een onderzoekspaper vorig jaar gepubliceerd, ontdekten computerwetenschappers van de Universiteit van Michigan dat zelfs de beste antivirusprogramma's slechts driekwart van de nieuw verpakte kwaadaardige code konden detecteren. Het duurde drie maanden voordat de beste antivirus-engine 90 procent van de gevaarlijke software detecteerde.

Veiligheid in cijfers: Immunet Protect integreert met Facebook zodat gebruikers kunnen zien of hun vrienden de software gebruiken.



Er is helaas geen gemakkelijke oplossing voor het probleem, zegt Jon Oberheide , een promovendus aan de Universiteit van Michigan en de hoofdauteur van het artikel. De strijd is vrij asymmetrisch, waarbij de weegschaal zwaar in het voordeel van de aanvaller wordt doorgeslagen. We moeten onze inspanningen en middelen concentreren op benaderingen die deze asymmetrie aanzienlijk verminderen, in plaats van het eindeloze spel van reactieve inhaalbewegingen voort te zetten, dat de leveranciers duidelijk aan het verliezen zijn.

Om virussen sneller te verwerken en te analyseren, zijn verschillende bedrijven overgestapt op een cloudmodel, waarbij de scanner, in plaats van een intelligente analyse-engine op de computer van elke gebruiker te plaatsen, een dom programma is dat elk nieuw bestand omzet in een lijst met attributen die vervolgens worden verzonden. naar de servers van de softwareleverancier. Die servers analyseren de bestandskenmerken en bepalen of het kwaadaardig is.

Andere antivirusbedrijven zijn al begonnen met het herbouwen van hun antivirussoftware met het cloud computing-model. McAfee, Panda en Prevx bieden al een bepaald niveau van geautomatiseerde analyse als een online service voor gebruikers.



Pedro Bustamante, senior onderzoeksadviseur bij Panda Security, stelt dat communitygegevens antivirusbedrijven kunnen helpen bij het prioriteren van hun analyse-inspanningen. Panda ziet bijna 50.000 bestanden per dag, waarvan ongeveer 37.000 voorbeelden van kwaadaardige code.

Ik heb nog geen product gezien dat community als detectiefactor gebruikt, zegt hij. Ik denk dat het een mooie aanvulling zou kunnen zijn op detectietechnologie, maar geen op zichzelf staande oplossing.

De aanpak van Immunet plaatst het bedrijf echter in de zeer vroege stadia van een cloud-antivirusoplossing, voegt Bustamante eraan toe. Het duurt lang om deze technologieën in de cloud te ontwikkelen.

Friedrichs onderstreept dat de service van Immunet niet compleet is - hij is nog in ontwikkeling. Het bedrijf werkt aan het toevoegen van generieke detecties en heuristieken voor het markeren van grote categorieën bedreigingen, waardoor ze gemakkelijker te identificeren moeten zijn. Bovendien overweegt het bedrijf momenteel manieren om potentieel schadelijke bestanden te verwerken wanneer de computer van de gebruiker niet is verbonden met internet.

zich verstoppen