Symantec: Genkend muteret malware på omdømmet

Nye varianter af virus rammer ofte blot 50 brugere, før varianten muterer og gør en signaturfil ubrugelig. I stedet skal ondsindede filer kunne vurderes på eksempelvis alder, og hvem der downloader den.

Efter fire års dataindsamling hos forbrugerne får Symantecs antivirus til virksomheder nu mulighed for at genkende en ondsindet fil ud fra dens omdømme i stedet for med en traditionel binær signatur.

Det skal imødegå problemet med, at malware i dag muterer så hurtigt, at det i praksis er umuligt for antivirusfirmaer at beskytte alle brugere ved hjælp af traditionelle signaturfiler.

»Der er varianter, som rammer færre end 50 brugere. Vi skal have set filen, før vi kan lave en signatur, så hvad gør vi med alt det, vi ikke når at se,« siger pre-sales engineer Peter Schjött fra Symantec til Version2.

Symantec har derfor i 2010-udgaven af dets Norton-antivirus til forbrugere implementeret en teknologi, som skal vurdere risikoen ved en fil ud fra en række andre parametre, såkaldt reputation-baseret sikkerhed, som også kendes fra browsere, der advarer om usikre websteder.

Den teknologi bliver nu også implementeret i Symantecs antivirus til virksomheder, og motoren bag er baseret på indsamling af data de sidste fire år fra slutbrugere af Norton.

På den baggrund har Symantec udviklet en algoritme, der måler en eksekverbar programfil ud fra parametre som, hvor gammel filen er, og hvilke maskiner den kommer fra. Men den måles også på eksempelvis, hvilke andre brugere der har downloadet filen tidligere.

»Det er for eksempel mere sandsynligt, at du downloader virus, hvis du har virus på din maskine i forvejen,« forklarer Peter Schjött.

Uforsigtige forbrugere kommer på den måde til at hjælpe med til at beskytte andre. Hvor det i Norton er op til forbrugeren at tage stilling til, om en ukendt fil er skadelig ud fra, hvad antivirusklienten fortæller, så kan systemadministratoren bruge Symantecs cloud-tjeneste til at sætte en tærskel for, hvilken risikoværdi filen skal have, før den sættes i karatæne.

Symantecs netværk til rapportering om filer består af cirka 200 millioner klienter, og systemet behandler dagligt omkring to milliarder forespørgsler på filer.

Peter Schjött understreger dog, at selvom signaturbaseret antivirus ikke kan følge med til at stoppe nye trusler, så forsvinder teknologien ikke.

»Det betyder ikke, at vi opgiver de gamle måder. Vi får et ekstra lag. Signaturer er rigtig gode til blacklisting,« siger han.

Signaturerne måles i dag i alt fra tusinder til millioner alt efter, hvilke varianter der kan genkendes med generiske signaturer, og hvilke signaturer der ikke er aktuelle. Det har betydet, at antivirussoftware er blevet meget ressourcekrævende, når der eksempelvis skal foretages en komplet scanning af en pc.

Det forsøger flere af antivirusfirmaerne at løse ved blandt andet at indføre whitelisting, som Symantec nu også tilbyder i dets Endpoint Security til virksomheder. Med whitelisting bliver kendte filer som eksempelvis en kontorpakke udeladt fra scanningen, medmindre der er sket ændringer. På den måde skal der scannes færre filer, hvilket dermed bruger færre ressourcer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere