NGAV-Lösungen (Next-Generation Antivirus, Virenschutz der nächsten Generation) verhindern Angriffe aller Art, ob bekannt oder unbekannt, indem sie Systeme auf Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) von Angreifern hin überwachen und darauf reagieren.

Virenschutz der nächsten Generation (NGAV) – Definition

NGAV verleiht herkömmlicher Virenschutzsoftware mit erweitertem Schutz der Endpunktsicherheit eine völlig neue Dimension. Dieser systemorientierte, Cloud-basierte Ansatz geht über bekannte dateibasierte Malware-Signaturen und Heuristiken hinaus. Er kombiniert maschinelles Lernen und künstliche Intelligenz auf der Basis prädiktiver Analysefunktionen mit Threat Intelligence, um

• Malware-Angriffe und dateilose Nicht-Malware-Angriffe zu erkennen und zu verhindern,
• bösartiges Verhalten und TTPs aus unbekannten Quellen zu erkennen,
• umfassende Endpunktdaten zu erfassen und zu analysieren, um die Ursachen zu bestimmen, und
• auf neu auftretende Bedrohungen zu reagieren, die bis dato nicht erkannt wurden.
  

Angreifer wissen heute genau, wo sie Lücken und Schwachstellen in der Perimetersicherheit eines Unternehmens finden, und dringen in diese Bereiche ein, ohne von herkömmlicher Virenschutzsoftware bemerkt zu werden. Diese Angreifer nutzen hochentwickelte Tools, um Schwachstellen auszunutzen:

• Speicherbasierte Angriffe
• PowerShell-Skriptsprache
• Remote-Anmeldungen
• Makrobasierte Angriffe

Da sich herkömmlicher Virenschutz (AV, Antivirus) nur auf signatur- oder definitionsbasierte Bedrohungen konzentriert, werden Umgebungen durch AV nicht vor modernen Bedrohungen geschützt, die keine neuen Dateien in das System einschleusen.

Bei NGAV liegt der Schwerpunkt jedoch auf Ereignissen – Dateien, Prozessen, Anwendungen und Netzwerkverbindungen. Dabei wird untersucht, wie Aktionen oder Ereignisströme in jedem dieser Bereiche zusammenhängen. Die Analyse von Ereignisströmen trägt dazu bei, bösartige Absichten, Verhaltensweisen und Aktivitäten zu identifizieren. Einmal identifiziert, können die Angreifer blockiert werden.

Ein solcher Ansatz wird heute immer wichtiger. Immer mehr Organisationen wie die Major League Baseball, die National Hockey League und andere große Sportverbände stellen fest, dass Angreifer ihre individuellen Netzwerke ins Visier nehmen. Diese Angriffe sind mehrstufig, personalisiert und mit einem deutlich höheren Risiko behaftet. Mit herkömmlichen AV-Lösungen sind sie nicht zu stoppen.

Laut dem 2017 Market Guide for Endpoint Detection and Response Solutions stuft Gartner Endpunkterkennung und -reaktion (EDR) jetzt als grundlegende Sicherheitsfunktion ein. Unternehmen können mit einer Kombination aus EDR und NGAV verdächtige und nicht autorisierte Aktivitäten genauer identifizieren und so viele dieser Verhaltensweisen bereits im Vorfeld verhindern. Zudem verfügen sie nun über die erforderlichen Funktionen, um schneller und besser als je zuvor auf komplexe bösartige Bedrohungen zu reagieren und diese zu eliminieren.

Mit dem ganzheitlichen Datenerfassungsansatz von EDR können NGAV-Lösungen Bedrohungen identifizieren, die herkömmlichem AV entgehen. Dieser Ansatz fördert maschinelles Lernen, prädiktive Analysefunktionen und Verhaltensüberwachung, indem ein vollständiges Abbild der Umgebung bereitgestellt wird. Gemeinsam unterstützen diese Technologien Unternehmen dabei, Ereignisse zu überwachen, verdächtige Muster zu erkennen und diese in Angriffsvisualisierungen zu überführen. So können Administratoren und Responder die gewonnenen Erkenntnisse auf einfache Weise nutzen.

Mit EDR gelingt es Sicherheitsteams selbst kleinste Änderungen in Dateien, Registrys und Netzwerken zu erkennen und so verborgene, bösartige Aktivitäten aufzudecken. Anschließend unterstützt EDR Responder dabei, die identifizierten Bedrohungen einzudämmen und neu auftretende, noch nie gesehene Angriffe zu blockieren. Angriffe dieser Art würden den meisten NGAV-Lösungen ohne EDR entgehen.

Report „State of Endpoint Security“ des Ponemon Institute:

Anbieter von Virenschutzsoftware konkurrieren nicht nur mit Mitbewerbern, sondern auch direkt mit bösartigen Angreifern. In diesem Kopf-an-Kopf-Rennen haben Angreifer die Oberhand.

Laut dem Report gaben 77% der Unternehmen, die bereits durch einen Endpunktangriff geschädigt wurden, an, dass es sich um einen dateilosen Angriff oder ein Exploit handelte.

Es ist klar, dass die Virenschutzsoftware dieses Rennen verliert.