Adaptive Anomaly Control

Die Reduzierung der Angriffsfläche kann also eine sehr effektive und kostengünstige Präventionsmethode sein. Wenn Sie die Schwachstellen Ihres Systems kennen und um dessen übermäßigen Funktionsumfang wissen, können Sie proaktiv Aktionen blockieren, die zu einer Ausnutzung dieser Schwachstellen führen könnten.

Allerdings gibt es bei der Anwendung solcher Methoden im täglichen Betrieb auch Nachteile. Zunächst einmal kann man mit verallgemeinernden Einschränkungen keine spezifische Szenarien berücksichtigen, wodurch legitime Benutzer belastet werden. So kann man beispielsweise mit Makros in MS Word-Dokumenten die PowerShell direkt aus dem Dokument aufrufen, diese „nützliche“ Funktionalität hat aber viele Malware-Epidemien ausgelöst. Wenn Sie aber die Aktivierung von Makros für das gesamte Unternehmen sperren, werden zumindest die Mitarbeiter in der Finanzabteilung nicht besonders erfreut sein, denn sie brauchen MS Word-Dokumente mit Makros.

Hinzu kommt, dass manuelles Härten für die Experten einen immensen Arbeitsaufwand bedeutet. Selbst erfahrene Administratoren würde die Anpassung jeder einzelnen Blockierungsregel für unzählige Gruppen und Anwendung unendlich viel Zeit kosten. Hinzu kommt, dass neue Bedrohungen und Änderungen an der Infrastruktur erfordern, dass diese Sicherheitsrichtlinien regelmäßig überarbeitet werden

Adaptive Anomaly Control (AAC),ein neues Schutzmodul innerhalb von Kaspersky Endpoint Security, ist ein intelligentes Tool zur automatischen Reduzierung der Angriffsfläche. Mit dieser Technologie können Sie Ihr System bis auf die Ebene von Einzelpersonen oder Nutzergruppen härten, wobei individuelle Anforderungen berücksichtigt und gleichzeitig die Ausnutzung der Schwachstellen eines Systems oder ein übergroßer Funktionsumfang vermieden werden.

Wichtige Funktionen der Adaptive Anomaly Control:

(1)  Umfassende effektive Kontrollregeln , die auf Daten basieren, die über Techniken des maschinellen Lernens ermittelt und von Kaspersky-Experten erstellt werden. Mithilfe von Algorithmen zur Verhaltensanalyse werden neue potentielle Heuristiken verdächtiger Aktionen im System gefunden. Da diese Aktionen jedoch in bestimmten Fällen legitim sein können, dürfen sie nicht grundsätzlich blockiert werden. Die Definition und Feststellung solcher Ausnahmen mithilfe von Experten kann diese potentielle Heuristik in voll funktionsfähige Härtungsregeln umwandeln.

Ein typisches Beispiel für verdächtiges Verhalten ist eine Anwendung, die von einem Systemprozess wie zum Beispiel Windows Session Manager, Local Security Authority Process oder die Windows-Startanwendung gestartet wird. Es gibt Situationen, in denen dies eine legitime Aktion ist, z. B. beim Starten des Windows-Betriebssystems. Die Aufgabe der Experten besteht darin, diese Bedingungen zu identifizieren und dann eine Kontrollregel zu erstellen, die die Ausführung von Programmen durch einen Systemprozess blockiert – jedoch mit entsprechenden Ausnahmen, die den ordnungsgemäßen Betrieb des Betriebssystems ermöglichen.

(2) Automatisierte Anpassung (Smart-Modus), die auf der Analyse der Benutzeraktivität basiert. Dadurch wird die Notwendigkeit einer manuellen Konfiguration von Kontrollregeln deutlich reduziert. Zunächst arbeitet das AAC-Modul im Lernmodus und erfasst statistische Daten zu Kontrollregeln, die über einen bestimmten Zeitraum ausgelöst wurden. So wird ein Modell der normalen Aktivität für einen Benutzer oder eine Gruppe erstellt (legitimes Szenario). Daraufhin aktiviert das System im Präventionsmodus nur die Regeln, die ungewöhnliche Aktionen für dieses Gruppen- oder Benutzerszenario blockieren. Sollte sich ein normales Aktivitätsmuster aus irgendeinem Grund ändern, kann das AAC-Modul zurück in den Lernmodus versetzt werden, um ein neues Szenario zu erstellen.

So kann beispielsweise das Vorhandensein von JavaScript im Archiv auf einen gefährlichen E-Mail-Anhang hindeuten: Mitarbeiter der Finanzabteilung würden solche Archive im Normalfall niemals austauschen. Unter Entwicklern wiederum sind solche Situationen alltäglich. Wenn die Adaptive Anomaly Control diese unterschiedlichen Szenarien erkennt, blockiert sie die Anhänge mit aktivem Inhalt für eine Benutzergruppe (Finanzabteilung), aber nicht für eine andere Gruppe (Entwickler).

(3) Feineinstellung. Neben dem automatischen Modus kann der Systemadministrator die Aktivierung von Blockierungsregeln steuern und individuelle Ausnahmen erstellen, wenn das zu blockierende Verhalten Teil einer legitimen Aktivität bestimmter Benutzer, Programme oder Geräte sein könnte.

So ist eine Regel, die die Ausführung von Dateien mit doppelter Erweiterung (z. B. img18.jpg.exe) blockiert, in 99 % aller Fälle richtig. In manchen Systemen werden die doppelten Dateierweiterungen jedoch auf legitime Weise verwendet (update.txt.cmd). In diesem Fall kann der Administrator einfach eine Ausnahme dafür hinzufügen.

(4) Zusammenspiel mehrerer Werkzeuge. Das Adaptive Anomaly Control-Modul reduziert nicht nur die Angriffsfläche und das Bedrohungsrisiko, einschließlich Zero-Day-Bedrohungen, sondern verbessert auch die kollaborative Leistung der Kaspersky Endpoint Security als Teil einer mehrschichtigen Sicherheitsplattform. Die Auslösung einer bestimmten AAC-Regel kann als Signal zur näheren Untersuchung eines verdächtigen Objekts durch andere Schutzmodule oder Experten dienen.