Erste Generation: Antivirus
Die erste Generation von Antivirenprodukten basierte ausschließlich auf der Signatur-Erkennung.
Diese Technologie war in den 1990ern vorherrschend und beinhaltete polymorphe Engines sowie elementare, auf Richtlinien basierende MS-DOS-, Win32-, Macro- und später auch Skript-Heuristik. In dieser Zeit tauchten auch die ersten, massiv genutzten Win32-Trojaner wie NetBus oder BackOrifice auf.
Zweite Generation: Antimalware
Ab 2000 verbreiteten sich neue Malware-Typen. Dazu gehörten auch nicht-dateiförmige Würmer und Spyware, die nicht nur Aufmerksamkeit erregten sondern auch massive Schäden anrichteten.
Die Antivirus-Engine wurde nun weiterentwickelt, um Personal Firewalls einzurichten, die die Netzwerkwürmer identifizieren und stoppen sollten. Dazu dienten sowohl Paketsignaturen als auch System Cleaner, die die geänderten Einstellungen des Betriebssystems wie Registrierungseinträge, HOST-Dateien, Browser Helper Objects usw. wiederherstellen sollten. Ab der zweiten Generation integrierte Panda die SmartClean-Technologie in die Anti-Malware-Engine. Sie diente dazu, das Betriebssystem von Spyware und Backdoor-Trojanern befreien und wiederherstellen zu können.
Dritte Generation: Proaktive Technologien
TruPrevent
Panda veröffentlichte 2004 nach mehr als 3 Jahren intensiver Forschung und Entwicklung die TruPrevent-Technologie. Sie galt als Antwort auf die explosionsartige Ausbreitung neuer Bedrohungen, für die Signaturen nicht mehr rechtzeitig aktualisiert werden konnten. TruPrevent wird ergänzend zur Antimalware-Engine eingesetzt und kann neue und bislang unbekannte Bedrohungen am Verhalten erkennen ohne von Signaturen oder ähnlichem abhängig zu sein. Die Technologie wird unentwegt an neue Malware-Techniken und Schwachstellen angepasst.
Verhaltensanalyse und Verhaltensblockade bilden die Hauptkomponenten von TruPrevent. Die Verhaltensanalyse erkennt schädliche Anwendungen allein anhand ihres Verhaltens auf der Basis eines speziellen Regelwerks, ohne Rücksicht auf Gestalt und Name. (Ein Bot wäre kein Bot, wenn er sich nicht als solcher verhielte.) Die Verhaltensblockade verhindert, dass bestehende Applikationen durch Code-Injections missbraucht werden.
Heuristik-Engine mit Tiefenanalyse
Die ersten Grundgedanken zur Heuristik-Technologie entstammen der Genetik in der Biologie. Dafür ist es notwendig, zu wissen, wie Organismen individuell identifiziert und anderen Organismen zugeordnet werden können. Diese Technologie basiert auf der Verarbeitung und Interpretation von „digitalen Genen“, die in diesem Fall durch einige hundert Charakteristiken von jeder gescannten Datei dargestellt werden.
Die Heuristik-Engine mit Tiefenanalyse wurde erstmals 2005 veröffentlicht. Das Ziel der Heuristik-Engine ist es, genetische Dateieigenschaften über einen rechtlich geschützten Algorithmus zu vergleichen. Die digitalen genetischen Eigenschaften geben Auskunft über das Potential der Software zur Ausführung schädlicher oder eher harmloser Aktionen, wenn sie auf einem Computer ausgeführt wird. Die Engine ist in der Lage, zu bestimmen, ob es sich bei einer Datei um eine harmlose Datei, einen Wurm, Spyware, einen Trojaner, einen Virus etc. handelt.
Collective Intelligence. Die nächste Generation.
Von 2006 auf 2007 kursierte zehn Mal mehr Malware als im Jahr zuvor. Daher ergab sich die offensichtliche Schlussfolgerung, dass Sicherheitslösungen für einen adäquaten Schutz zehn Mal mehr Malware erkennen müssen. Obwohl eine verhaltensbasierte Technologie eine große Anzahl neuer Malware-Exemplare erkennt und blockierte, war es dennoch möglich, dass unbekannte Malware diesen Schutz umgeht.
Mit der Collective Intelligence-Technologie setzte Panda im Jahr 2007 dem massiven Malware-Zuwachs eine Methode entgegen, die einen Großteil der Scan-Prozesse automatisiert und ins Internet, „in the Cloud“, verlagerte. Hierbei werden umfassende Datenbanken von Panda Security auf externen Servern in die „Cloud“ verlagert, um die Ressourcen des jeweiligen Computers nicht zu beanspruchen und maximalen Schutz ohne Einfluss auf die Performance zu gewährleisten. Dies erfolgt nicht allein durch den Abgleich eingehender Malware-Exemplare mit den bekannten Signaturen der Malware-Datenbank. Zusätzlich können bislang unbekannte, potentielle Schädlinge auch anhand ihrer graphischen Darstellung, der Datenspur in Größe und Charakteristik mit der Informations-Datenbank von Panda Security abgeglichen und bewertet werden. Da jeder Rechner jederzeit Anfragen stellen kann, hängt die Sicherheit nicht mehr von den Roll-Out-Zyklen der Hersteller ab.
Die Collective Intelligence, die Cloud und die Community bilden die Ecksteine von Pandas mehrfach ausgezeichneter Erkennungsrate und der minimalen Systembelastung. Die Collective Intelligence ist eine Sicherheitsplattform, die mit Datenbanken auf speziell dafür bereit gestellten Servern in der Cloud alle notwendigen Informationen für die Erkennung und Entfernung von Bedrohungen bereitstellt. In der Cloud bearbeitet, klassifiziert und entfernt die Collective Intelligence alle neuen Malwareexemplare auf diesen Servern automatisch und belastet die PC-Leistung des jeweiligen Users nicht. Die Community, das heißt alle registrierten Panda-User stellen auf feiwilliger Basis in einem globalen Netzwerk ihre neuen Malware-Exemplare zur Analyse zur Verfügung und sorgen somit für die ständige Verbesserung der Technologie durch größer werdende Datenbanken.
Die seit 2007 konsequent weiterentwickelte Technologe ist seit 2010 vollständig in alle Panda-Produkte integriert.
Hier bloggt Margarita Mitroussi aus der Panda PR Abteilung über aktuelle Sicherheits- themen, sowie Neuigkeiten rund um Panda Security und seine Produkte.
