Next Generation Antivirus (NGAV) gilt im Bereich der Antivirenlösungen (AV) als Schritt nach vorn und nutzt bekannte, signaturbasierte Präventionstechniken in Kombination mit Funktionen der Extended Detection and Response (XDR), die künstliche Intelligenz (KI) und/oder maschinelles Lernen (ML) einbeziehen. Durch den Einsatz fortschrittlicher Analysen zur Korrelation von Warnmeldungen aus verschiedenen Telemetriequellen identifiziert NGAV schnell verwertbare Bedrohungsinformationen, um Gefährdungen schneller zu erkennen und zu verhindern.
NGAV wird in Form von cloudbasierter Software eingesetzt, die geringere Auswirkungen auf Systeme und Endpunkte hat. In Organisationen und Unternehmen ist sie zunehmend die häufigere Art von AV.
Wenn XDR und NGAV zusammenwirken, schützen sie den Netzwerkperimeter und erweitern die Techniken zur Erkennung von Bedrohungen über diesen Umfang hinaus. EDR findet an dem Endpunkt statt, der innerhalb dieses Sicherheitsperimeters liegt. Angreifer könnten immer noch einen Weg zu einem Endpunkt wie einem Handy oder Laptop finden. Aus diesem Grund ist eine gute EDR-Lösung die letzte Verteidigungslinie.
Auch hier geht es um das Allgemeine versus das Spezifische. Wie bereits erwähnt, ist eine moderne NGAV-Lösung so konzipiert, dass sie fortschrittliche Analysen zur Sicherung, Früherkennung und Abwehr von Bedrohungen innerhalb und außerhalb des Netzwerkperimeters nutzt. Anti-Malware-Lösungen sind in erster Linie darauf ausgelegt, einzelne Systeme auf Malware zu scannen, die Sicherheitskontrollen umgehen soll.
NGAV funktioniert, indem Malware und dateilose Angriffe erkannt und verhindert werden. Sie nutzt Methoden im Vorfeld der Ausführung, um vor Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTP) und bösartigem Verhalten zu schützen, das von Angreifern absichtlich oder unwissentlich von jemandem eingesetzt wird, der sich ordnungsgemäß legitimiert hat. Schauen wir uns genauer an, wie eine NGAV-Lösung ihre Ziele in puncto Erkennung und Prävention erreicht:
Anbieter von NGAV-Lösungen und -Diensten entwickeln die Technologie in der Regel so, dass sie schnell eingeführt werden kann und so funktioniert, dass die Leistung von Netzwerksystemen oder Endpunkten nicht beeinträchtigt wird.
Wenn wir über NGAV sprechen, spielen die letzten beiden Buchstaben kulturell gesehen immer noch eine große Rolle. Der Begriff „Antivirus“ ist seit Jahrzehnten Teil der computergestützten Gesellschaft. Also lohnt es sich, die Frage zu stellen: Was genau sind die Unterschiede zwischen einem modernen NGAV und der traditionellen Auffassung von AV?
AV konzentriert sich in erster Linie auf den Schutz des Endpunkts und/oder die schnelle Entfernung eines betroffenen Geräts, das möglicherweise Teil einer größeren kritischen Infrastruktur ist und so möglicherweise größere Störungen bei nicht betroffenen Geräten verursacht. Dies könnte dazu führen, dass ein Unternehmen einen erheblichen finanziellen und Reputationsschaden erleidet.
NGAV geht über diese herkömmlichen AV-Prozesse hinaus und blockiert verschiedene Angriffe – einschließlich dateiloser Malware – im gesamten Endpunkt-Ökosystem. Das Hauptziel von NGAV besteht darin, Angriffe auf kritische Endgeräte im gesamten Netzwerk zu erkennen und zu verhindern. Und nicht nur das: Durch ML- und KI-Lernen kann es dazu beitragen, Ausweichmanövern einen Riegel vorzuschieben. Mehr Erkennungstechnologie wird das Problem von Malware und anderen Bedrohungen nicht lösen. Es ist vielmehr eine intelligentere, auf Prävention ausgerichtete Erkennung, die Angreifer in die Defensive drängt.
Ein letzter wichtiger Unterschied konzentriert sich auf das zuvor erwähnte Konzept des Lernens. Herkömmliche Virenschutzprogramme können einen Endpunkt stark belasten, was bedeutet, dass sie nicht wirklich in der Lage sind, sich an das einzigartige Verhalten eines Systems anzupassen. Sie sind, was sie sind, und das ist alles, was sie jemals sein werden. Ein NGAV hingegen kann aus früheren Verhaltensweisen der Endpunkte, Systeme und Netzwerke, auf denen es installiert ist, lernen. Aus diesem Grund ist sie so gut darin, Ausweichmanöver zu erkennen und Bedrohungen viel früher in der Killchain zu blockieren, als dies bisher möglich war.
Die Vorteile von NGAV im Vergleich zu herkömmlicher AV sind zahlreich und können das Network Detection and Response (NDR)-Programm eines Unternehmens beschleunigen.
Um sich gegen moderne Bedrohungen zu behaupten, müssen Unternehmen und Sicherheitsorganisationen versuchen, den Einsatz von Technologien bösartiger Akteure zu überbieten, die die Leistung von NGAV (Next-Generation Antivirus) beeinträchtigen. Dazu gehört das frühzeitige Blockieren bekannter und unbekannter Bedrohungen in der Killchain, das Unterbinden des Zugriffs auf Endgeräte und Deep-Systems oder sogar das vollständige Verhindern des Netzwerkzugriffs . Herkömmliche Antivirensoftware verwendet in der Regel signaturbasierte Erkennungsmethoden, während NGAV eine Kombination aus signaturbasierter Erkennung, künstlicher Intelligenz (AI) und maschinellem Lernen (ML) einsetzt, um die Taktiken, Techniken und Verfahren (TTPs) aufzudecken, die von heutigen Angreifern verwendet werden.
Wie bereits erwähnt, verleihen ML und KI den NGAV-Lösungen die Fähigkeit, sich an bestimmte Verhaltensweisen in den Systemen anzupassen, die sie schützen sollen. Dies hilft Analysten, ein tieferes Verständnis ihrer Endpunkte und Netzwerksysteme zu erlangen, damit sie sich gegen Bedrohungen verteidigen und bessere Schutzmaßnahmen auf der Grundlage von Telemetriedaten entwickeln können, die auf bevorstehende Angriffe hinweisen könnten.
NGAV-Lösungen sind im Allgemeinen als leichte Zusatztechnologie konzipiert, die den Systembetrieb – und damit die Produktivität des Sicherheitspersonals – nicht verlangsamt. Sie verfügt in der Regel über einen geringen Platzbedarf, kann schnell bereitgestellt werden, liefert wichtige Erkenntnisse und ermöglicht eine schnellere mittlere Reaktionszeit (MTTR) mit Aktionen wie der automatisierten Asset- und Prozesseindämmung.
Mit niedrigeren Betriebskosten, effizienteren Bedrohungsinformationen und Erkennungsfunktionen sowie einer umfassenden Abdeckung sind NGAV-Lösungen in der Regel ideal für Sicherheitsexperten, die eine weitere Konsolidierung des gesamten Technologie-Stacks anstreben. Als Mehrwert für eine bestehende Erkennungs- und Reaktionslösung (D&R), über die ein Unternehmen möglicherweise bereits verfügt, kann NGAV das Aufbrechen von Silos zwischen Sicherheitsverfahren beschleunigen. Dies kann ein Produktivitäts-, Effizienz- und Wachstumstreiber für Security Operations Center (SOCs) sein, die bereits stark ausgelastet sind.
Wie bei jeder Lösung – vor allem beim Kauf einer Lösung innerhalb einer Kategorie, die den Modebegriff „Next Gen“ im Namen trägt – gibt es viele Optionen und potenzielle Anbieter. Sie sollten also wissen, wie Sie einen Anbieter finden, der eine NGAV-Lösung an Ihre einzigartige Umgebung anpassen kann.
Antivirus: Aktuelles aus dem Rapid7-Blog
Rapid7 Forschung: Verkapselung von Techniken zur Vermeidung von Viren (AV) im Metasploit-Framework