Symantec zeigt mit „Ubiquity“ cloudbasierten Anti-Malware-Ansatz

Symantec hat seiner cloudbasierten Sicherheitsstrategie einen Namen gegeben und sie offiziell vorgestellt. „Ubiquity“ vergleicht auf dem PC des Nutzers gesammelte Daten mit einer Datenbank von Kundendaten, die es mit seinem „Global Intelligence Network“ gesammelt hat. So soll die Lösung in der Lage sein, modifizierte Formen von Viren oder Spionagesoftware frühzeitig zu erkennen.

Ubiquity ist Symantec zufolge in den Produkten der Reihe Norton 2011 wie auch der gehosteten Version von Endpoint Protection bereits aktiv, wenn auch nicht unter diesem Namen. Im kommenden Jahr soll es in einer Reihe weiterer Unternehmensprodukte Einzug halten, darunter Symantec Web Gateway.

„Indem es anonyme Software-Nutzungsprofile von über 100 Millionen Kunden verwendet, ermöglicht Ubiquity es Symantec, für so gut wie jede im Internet verfügbare Software eine Sicherheitseinstufung zu berechnen“, sagt Manager Stephen Trilling. „Das gibt uns die Möglichkeit, unsere Kunden vor gezielten, veränderten Malware-Angriffen zu schützen, die die Fingerabdruck-Methode traditioneller Virenscanner nicht entdecken würde.“

Der Grund für diesen Ansatz liegt in der Erkenntnis, dass es neben wenigen Schadcodes mit gewaltiger Verbreitung auch immer mehr Malware gibt, die nur eine kleine Zahl Systeme befällt. Symantec will im Verlauf des vergangenen Jahres 240 Millionen Bedrohungen gefunden haben, die 20 oder weniger Einzel-PCs infiziert hatten. Es sei fast unmöglich, alle Bedrohungen – große wie kleine – vollständig und zeitnah zu erfassen.

Ubiquity konzentriert sich daher auf den Kontext jeder Datei – woher sie stammt, wie alt sie ist und wie verbreitet. Auf solchen Werten basiert die vorgenommene Sicherheitseinstufung. Symantec zufolge ist es für Kriminelle heute leicht, eine Malware so zu verändern, dass sie von Virenscannern nicht gefunden wird – auf die Kontextdaten hätten Autoren von Schadsoftware aber weit weniger Einfluss.

Symantec hofft auch, die Zahl der False Positives zu verringern, also von Fällen, in denen legitime Programme als Schadsoftware eingestuft wurden. Denn die Ubiquity-Datenbank fungiert gleichzeitig auch als gewaltige Whitelist, die fast jedes reguläre Programm im Web enthält – derzeit laut Anbieter über 1,5 Milliarden Dateien. Wöchentlich kommen rund 22 Millionen neue hinzu.

Laut Symantec verbessert Ubiquity auch die Performance der Anti-Malware-Lösungen – schließlich müssten sie nur als riskant eingestufte Daten untersuchen. Der Administrator bekomme durch die Datenbank zudem mehr Kontrolle über von Anwendern eingesetzte Programme.

Cloud-Computing gilt seit Jahren als die Zukunft der Malware-Abwehr. Neben Symantec engagiert sich Trend Micro hier besonders. Umstritten ist, ob Whitelisting in der Cloud sich bewähren kann. Symantecs Ansatz, schwarze und weiße Listen durch Crowdsourcing zu erstellen, sorgt für eine besonders umfassende Datenbank. Allerdings muss der Nutzer sich damit abfinden, dass Symantec auch seine Daten – anonymisiert – speichert und zur Verbesserung seines Diensts verwendet.