Wat Is Cloud Antivirus en hoe werkt het?
Antivirus producenten geven steeds meer aandacht aan de cloudgebaseerde mogelijkheden van hun producten en prijzen voordelen zoals “de snelheid van cloud computing om realtime bescherming te leveren.” Wat betekent dat? Wat is cloud antivirus eigenlijk? Laten we de belangrijkste kenmerken van cloud antivirus producten bekijken en de betreffende technologie ontdekken in een poging de hype te doorbreken.
De definitie van cloud antivirus
Cloud antivirus is een anti-malware technologie die gebruik maakt van lichtgewicht softwareagent op de beschermde eindpunt, terwijl het de meerderheid van de data-analyse aan de infrastructuur van de provider toevertrouwd.
Deze definitie lijkt ons in overeenstemming met de beschrijving, de mogelijkheden en de architectuur van de meeste cloud antivirus producten.
Een lichtgewicht software voor minder impact op het systeem
Op de beschermde eindpunt gebruikt Cloud antivirus softwareagenten die veel lichter zijn dan de geïnstalleerde componenten van traditionele antivirus tools. Dit impliceert dat cloud antivirus de systeembronnen minder belast. In plaats van te moeten bepalen of een bestand kwaadaardig is door het uitvoeren van analyses ter plaatse, vangt de agent de relevante details van het eindpunt en verzendt ze naar de cloud engine (het motor van de cloud) voor verwerking.
Voor nog betere prestaties, kan de agent op een slimmere manier de toegang van een bestand vóór het scannen onderscheppen. Panda Cloud Antivirus wees de verbeterde prestaties van hun product aan een dergelijke herontwerp:
Van oudsher onderschept een antivirus bestanden en objecten op meerdere lagen (ingangsvector, bestandssysteem en uitvoering). In elke laag, wordt elk object gescand door meerdere technologieën, zoals antivirus signatures, rules (regels), heuristieken, gedragsanalyse, enz. Zoveel scans leidt tot een achteruitgang van de gebruikerservaring.
Programma's die op het punt staan te worden gelanceerd moeten geanalyseerd worden voordat ze uitvoerbaar worden. Bestanden die gedownload zijn, maar nog niet geopend, kunnen later asynchroon gescand worden wanneer het systeem inactief is.
Een bestand voor analyse verzenden, zelfs voordat het gebruikt wordt, is een idee die al eerder in CloudAV werd beschreven: “N-versie antivirus in het netwerk cloud”, geschreven door Jon Oberheide, Evan Cooke, en Farnam Jahanian. Zoals de publicatie erop wees, deze aanpak “amortiseert de transmissie en analysekosten over de verstreken tijd tussen het ontstaan van het bestand en de door het systeem of de gebruiker op gang gebrachte toegang.”
De relatieve eenvoud van de softwareagent geïnstalleerd op het eindpunt vermindert de aanvalbare oppervlakte van de lokale software, waardoor het minder waarschijnlijk is dat de antivirus zelf kan worden aangetast in verband met enige kwetsbaarheid.
Verbinding tussen eindpunt en de Cloud
Als het eindpunt niet aangesloten is op het Internet, is zijn vermogen om de gebruiker te beschermen beperkt omdat de antivirus de cloud niet kan opzoeken. De cloud antivirus kan dit aanpakken door het opslaan van een lokale cache van de meest relevante zoekopdrachten op het eindpunt. De cache kan ook resultaten van eerdere verzoeken bevatten, zodat het niet meer nodig is om reeds gecheckte bestanden opnieuw te controleren.
De cache heeft niet dezelfde mogelijkheden om nieuwe bestanden te detecteren als de cloud service, maar het risico wordt in evenwicht gehouden doordat de gebruiker meestal minder kwetsbaar is wanneer de internetverbinding is verbroken. Beperkingen van de netwerkbandbreedte voorkomen dat de meeste cloud antivirus producten de volledige inhoud van de bestanden kunnen verzenden om gescand te worden. In plaats daarvan, cloud antivirus dient meestal bestandsinformatie in tijdens het zoeken naar hoe de cloud het bestand beoordeelt. Zoals Yury Mashevsky beschreef in ‘The Antivirus Weather Forecast’: Cloudy (bewolkt), de metadata omvat:
de unieke identificatiecode van het bestand (de hash-functie), gegevens over hoe het bestand in het systeem kwam, hoe het zich gedroeg, etc. Nieuwe bedreigingen worden in de cloud geïdentificeerd door het gebruik van metadata hoewel de bestanden zelf niet daadwerkelijk naar de cloud verzonden worden voor een eerste analyse.
Let op dat de identificator van het bestand zou zijn traditionele hash, zoals de MD5, kunnen zijn. Echter, aangezien polymorfe malware zijn code kan veranderen, het is niet voldoende om alleen op een traditionele hash te vertrouwen. Het is mogelijk dat de softwareagent vage hashes en andere beschrijvende informatie opvangt om het bestand te identificeren.
Data analyse in de cloud
De dataverwerking van de gegevens die de agent op beschermde eindpunten heeft verzameld wordt geanalyseerd door de servers van de antivirus service provider. Indien op sommige eindpunten kwaadaardige activiteiten worden waargenomen die geassocieerd zijn met bestanden die niet eerder als kwaadaardige werden beschouwd, zal de cloud antivirus zijn perspectief op deze bestanden bijwerken voor de volgende zoekopdrachten.
Yury Mashevsky beschreef server-side processing (verwerking op de server) van cloud antivirus als een expertsysteem dat automatisch wordt getraind door inbreng van de eindpunt agent. Een van de voordelen van het verplaatsen van de analyse naar de cloud is dat het gedrag van de cloud engine niet direct toegankelijk is voor de makers van malware, waardoor het moeilijker wordt voor aanvallers om de effectiviteit van hun instrument te beoordelen.
Gedrag bewaken en blokkeren
Cloud antivirus wordt meestal gecombineerd met andere malware detectie technieken die ook in de klassieke antivirus producten worden aangetroffen. Deze benadering zou de identificatie van malware kunnen bevatten aan de hand van verdachte heuristische of gedragsmatige kenmerken. Gedragsanalyse zou potentieel kwaadaardige acties op het eindpunt kunnen oppikken, zoals:
- De “hosts” bestand wijzigen
- Een “autorun.inf” bestand creëren op een verwisselbare schijf of een netwerkschijf
- Veel email in een korte tijd verzenden
- Nieuwe uitvoerbare programma's genereren
- “auto-run” registersleutels wijzigen
Wanneer een bepaalde aantal verdachte acties op het eindpunt wordt waargenomen, kan de agent de betreffende programma blokkeren en het incident aan de cloud doorgeven. Op deze manier kunnen alle productgebruikers ook van de ervaring van andere gebruikers profiteren. Cloud antivirus is een veelbelovende aanpak voor malware bescherming van eindpunten. Het wordt uitgevoerd door standalone tools en is opgenomen in veel traditionele antivirus producten in de poging om malwarebedreigingen voor te blijven.