Sophos Anti-Virus für Windows 2000+: Häufig gestellte Fragen zum HIPS-Laufzeitverhalten

F. Der Begriff "HIPS" wird von verschiedenen Softwareherstellern unterschiedlich definiert. Was bedeutet HIPS bei Sophos?

A. Ein HIPS-System (Host Intrusion Prevention System) überwacht das Verhalten von Code, um Malware schon vor der Veröffentlichung von Schutz-Updates zu stoppen. Viele HIPS-Lösungen überwachen den Code bei der Ausführung und greifen ein, wenn Code als verdächtig oder schadhaft erachtet wird. Sophos geht noch einen Schritt weiter: Die Besonderheit der HIPS-Technologie von Sophos besteht darin, dass das Codeverhalten auf zwei Ebenen analysiert wird.

• Vor der Ausführung: Das Codeverhalten wird schon vor der Ausführung des Codes analysiert. Wird der Code als verdächtig oder schadhaft erachtet, wird seine Ausführung verhindert (z.B. Behavioral Genotype ®, Erkennung verdächtiger Dateien)
• Laufzeit: Durch die Laufzeitanalyse werden Threats erkannt, die vor der Ausführung nicht festgestellt werden können (z.B. Erkennung verdächtigen Verhaltens, Pufferüberlaufschutz (BOPS)).

F. Worin besteht der Unterschied zwischen "Behavioral Genotype"-Erkennung, Erkennung verdächtiger Dateien und Erkennung verdächtigen Verhaltens?

A. Behavioral Genotype® untersucht Dateien vor deren Ausführung auf bestimmte Eigenschaften. So wird festgestellt, ob die Dateien Schadcode aufweisen. Durch diese Technologie kann neue Malware ohne vorherige Analyse erkannt werden: Auch wenn sich die Malware von bekannten Malware-Samples unterscheidet, weist sie dennoch ähnliche Merkmale auf, die sie als Malware ausweisen.

Die Erkennung verdächtiger Dateien in Sophos Produkten basiert im weiteren Sinne auf der "Behavioral Genotype®"-Technologie. Auch hierbei werden die Merkmale von Dateien vor ihrer Ausführung überprüft. Das Programm kennzeichnet Dateien als "Verdächtig" ("Suspicious"; Präfix Sus/), wenn sie bestimmte Merkmale aufweisen, die häufig, jedoch nicht ausschließlich, bei Malware auftreten.

Bei der Erkennung verdächtigen Verhaltens handelt es sich um eine Laufzeit-HIPS-Technologie, die Prozesse bei der Ausführung auswertet und Meldungen bei potenziell schadhaften Vorgängen ausgibt. Auch bei der Erkennung verdächtigen Verhaltens wird die "Behavioral Genotype®"-Technologie eingesetzt. Es wird untersucht, ob laufende Prozesse Eigenschaften aufweisen, die für Malware typisch sind. Die Erkennung verdächtigen Verhaltens schützt daher effektiv vor Infektionen durch unbekannte Malware.

Sie können einstellen, ob lediglich in einer Meldung auf verdächtiges Verhalten hingewiesen werden soll, oder ob Maßnahmen ergriffen werden sollen, die solches Verhalten unterbinden.

F. Wovor schützt die HIPS-Laufzeitverhaltensanalyse?

A. Die Sophos HIPS-Laufzeitverhaltensanalyse erkennt verdächtiges Verhalten von (laufenden) Prozessen auf dem Computer. Die Analyse schützt vor Malware, Spyware, Hacker-Tools, potenziell unerwünschten Anwendungen, Exploits und Intrudern.

F. Nach welchen Verhaltensmustern sucht die Sophos HIPS-Laufzeitanalyse?

A. Bei der Sophos HIPS-Laufzeitanalyse wird untersucht, ob aktive Prozesse Verhaltensmuster bekannter Malware aufweisen. Hierzu zählen etwa Änderungen an der Registrierung, die auf verdächtige Dateien hinweisen oder von diesen vorgenommen wurden, das Schreiben von verdächtigen Dateien in das Dateisystem oder Prozesse, die auf verdächtige oder unübliche Art und Weise gestartet werden. In den Sicherheitsanalysen finden Sie nähere Informationen zu Regelbeschreibungen der Sophos HIPS-Laufzeitverhaltensanalyse: http://www.sophos.de/security/analyses/suspicious-behavior-and-files/.

F. Wie schneidet Sophos Laufzeit-HIPS im Vergleich zu Produkten anderer Hersteller ab?

A. Unter http://www.sophos.de/security/topic/enterprise-review.html können Sie einen Vergleichstest von Cascadia Labs (in englischer Sprache) aufrufen.

F. Wie effektiv ist die Sophos HIPS-Laufzeitverhaltensanalyse?

A. SophosLabs führt täglich HIPS-Laufzeitverhaltensanalysetests an der neuesten Malware durch, wenn die Malware noch nicht anhand anderer Methoden erkannt wird. Die Tests haben ergeben, dass bis zu 45 Prozent der neuen Malware (Zero-Day-Threats) bei der HIPS-Laufzeitverhaltensanalyse als solche erkannt werden.

F. Wie lässt sich feststellen, ob eine Warnmeldung der HIPS-Laufzeitanalyse tatsächlich auf eine Bedrohung hinweist? Wie kann ich entscheiden, ob ich eine erkannte Datei zulassen oder sperren soll?

A. Die Informationen im Support-Artikel Sophos Anti-Virus für Windows 2000+: Soll eine Datei zugelassen oder gesperrt werden? können bei der Entscheidung behilflich sein.

F. Die Regelbeschreibungen im Internet sind nicht besonders ausführlich. Warum?

A. Die Regelbeschreibungen im Internet fassen das erkannte Verhaltensmuster in knappen Worten zusammen. Dies soll Ihnen die Entscheidung erleichtern, ob Sie die erkannte Datei zur Analyse einschicken oder zulassen möchten. Von der Veröffentlichung allzu detaillierter Informationen zur Funktionsweise der Technologie wird jedoch abgesehen, da auch Malware-Autoren darauf zugreifen könnten. In den HIPS-Beschreibungen wird der technische Hintergrund etwas ausführlicher dargelegt.

F. Mich interessiert nicht, ob es sich bei einem Prozess möglicherweise um Malware handeln könnte: Ich brauche eine klare Antwort. Warum soll ich diese Entscheidung selbst treffen und nicht den Experten bei Sophos überlassen?

A. Sophos ist bemüht, Dateien bzw. Prozesse eindeutig als Malware auszuweisen. Wir möchten unseren Kunden die Entscheidung möglichst abnehmen und haben uns daher zum Ziel gemacht, dass die Anzahl der als "verdächtig" eingestuften Dateien einen bestimmten Prozentsatz der gesamten erkannten Dateien nicht überschreiten soll.

Im Rahmen der HIPS-Laufzeitanalyse werden bis zu 45 Prozent unbekannter Malware erkannt, und sie bietet so zusätzlichen Schutz. Die Analyse kann unsere bewährten Anti-Malware-Produkte jedoch lediglich ergänzen und nicht ersetzen.

Zur Bereitstellung des zusätzlichen Schutzes müssen die Überprüfungsergebnisse mitunter manuell ausgewertet werden. Bisweilen lassen sich Dateien/Prozessen nur dann eindeutig als Malware einstufen, wenn der Kontext bekannt ist, in dem sie erkannt wurden. Da der zusätzliche Schutz mit einem Mehrkostenaufwand verbunden ist, ist die HIPS-Laufzeitverhaltensanalyse optional.
Sophos arbeitet weiterhin an der Entwicklung neuer Malware sowie der Optimierung der Erkennungsraten und ist dabei bestrebt, den finanziellen Mehraufwand zu minimieren. Wir sind bemüht, potenzielle Malware eindeutig als "verdächtige Dateien", "threatfrei" oder "schadhaft" zu klassifizieren, um unseren Kunden diese Entscheidung abzunehmen.

F. Wie definiert sich der Begriff "unerwünschte Erkennung"? Sind "unerwünschte Erkennungen" und "False Positives" (Fehlmeldungen) identisch?

A. Nein. "Unerwünschte Erkennung" wird in Zusammenhang mit Alerts zu verdächtigem Verhalten bei threatfreien Dateien gebraucht. Im Unterschied zu False Positives zeigte die Datei allerdings wirklich Verhaltensmuster, die häufiger bei Malware als bei erwünschten Anwendungen auftritt. Solche Verhaltensmuster sind bei erwünschten Anwendungen nicht unüblich. Daher muss eine Analyse durchgeführt und entschieden werden, ob es sich um Malware handelt oder nicht. Lassen Sie die fragliche Datei im Zweifelsfall von Sophos analysieren, um festzustellen, ob es sich um einen Threat handelt.

Sophos arbeitet intensiv daran, unerwünschte Erkennungen zu minimieren. Sollte eine threatfreie Datei wiederholt Alerts auslösen, wird der entsprechende Alert möglicherweise aus künftigen Softwareversionen entfernt.

F. Wie lassen sich unerwünschte Erkennungen mit der Sophos HIPS-Laufzeitverhaltensanalyse reduzieren?

A. Nähere Informationen können Sie dem Support-Artikel Sophos Anti-Virus für Windows: Praxistipps zur HIPS-Laufzeitanalyse entnehmen.

F. Warum muss die Sophos HIPS-Laufzeitverhaltensanalyse bei der Softwareinstallation in den Benachrichtigungsmodus versetzt werden? Kann so nicht Malware ins System geraten?

A. Auch wenn sich die Sophos HIPS-Laufzeitverhaltensanalyse im Benachrichtigungsmodus befindet, bieten Ihnen die übrigen Anti-Malware-Komponenten von Sophos (z.B. Behavioral Genotype und die Erkennung verdächtiger Dateien) umfassenden Schutz.

Bei einer Softwareinstallation werden in der Regel zahlreiche Änderungen an der Registrierung und dem Dateisystem des Betriebssystems vorgenommen. Diese Änderungen können zu Problemen bei der Laufzeitverhaltensanalyse führen. Da bei der Installation neue Dateien erscheinen/verschwinden und zahlreiche Änderungen an der Registrierung erfolgen, ist es durchaus möglich, dass solche Verhaltensmuster aufgrund ihrer Abweichung vom Normalbetrieb als verdächtig eingestuft werden. Es wird daher empfohlen, die HIPS-Laufzeitverhaltensanalyse bei Installationsvorgängen im Benachrichtigungsmodus zu betreiben. Nähere Informationen entnehmen Sie bitte dem Support-Artikel Sophos Anti-Virus für Windows: Praxistipps zur HIPS-Laufzeitanalyse.

Das Infektionsrisiko ist hierbei jedoch minimal, sofern die installierte Software aus einer vertrauenswürdigen Quelle stammt und Sie ausschließen können, dass Änderungen an der Software vorgenommen wurden.

F. Ich arbeite mit Software (dazu zählt auch das Betriebssystem), die automatisch upgedatet und gepatcht wird. Soll ich die Sophos HIPS-Laufzeitverhaltensanalyse immer im Benachrichtigungsmodus betreiben?

A. Zwar können Sie Ihr System auch im Benachrichtigungsmodus der HIPS-Laufzeitverhaltensanalyse vor Malware schützen, es empfiehlt sich jedoch, die betreffenden Anwendungen zuzulassen. So verhindert die HIPS-Laufzeitverhaltensanalyse, dass Malware ausgeführt wird, und Updates werden ohne Anzeige von Alerts durchgeführt.

Zudem lassen sich Verhaltensmuster unter Umständen einfacher als Malware einstufen, wenn der Benachrichtigungsmodus nicht aktiv ist. Mehr dazu erfahren Sie im SophosLabs-Blog unter http://www.sophos.com/security/blog/2008/09/1831.html (in englischer Sprache).