Wie jedes Jahr gibt es in der IT auch in 2017 von Marketing-Strategen ersonnene Buzzwords, die in keinem Repertoire fehlen dürfen. Schon letztes Jahr war regelmäßig von von “machine based learning”, “artificial intelligence”,“math models” oder auch von “deep learning” die Rede. Üblicherweise werden diese Begriffe mit der nächsten Generation von AV-Software in Verbindung gebracht und signalisieren schon deutlich, dass hier keine veraltete (signaturbasierte) Technologie zum Einsatz kommt, sondern etwas weitaus leistungsfähigeres.

Hier stellt sich natürlich die Frage, ob das wirklich nur reine Buzzwords sind oder ob tatsächlich mehr dahintersteckt? Ich versuche die Frage einmal aus meiner Sicht zu beantworten: Zunächst muss man hier ganz klar die Spreu vom Weizen trennen, denn es gibt natürlich auch zunehmend Trittbrettfahrer, die sich gerne dieser Attribute bemächtigen, aber in Wahrheit nur ansatzweise oder gar keinen Gebrauch davon machen. Es gibt Hersteller wie Cylance, die ich als Pionier auf diesem Gebiet betrachte, denn bereits Ende 2015/Anfang 2016 hatte Cylance mit CylancePROTECT ein Produkt am Start, das wirklich anders war als Produkte der Mitbewerber aus dem klassischen AV-Umfeld wie Bitdefender, Kaspersky, Avira, Avast usw.

Im Jahr 2016 gesellten sich dann weitere Anbieter wie Invincea (inzwischen von Sophos akquiriert), Endgame, SparkCognition, Heilig Defense und andere dazu, die ebenfalls damit werben, Next-Gen-Techniken zu verwenden. Im Enterprise-Umfeld hat schon vor geraumer Zeit ein Paradigmenwechsel eingesetzt, der dazu geführt hat, dass man heute nicht mehr krampfhaft den Perimeter mit Firewalls, Proxies, Mailgateways oder IDS zu schützen versucht, sondern sich auf das schwächste Glied in der ganzen Kette konzentriert, und das ist nun mal das klassische Endgerät wie ein Desktop oder ein Laptop. Genau diesem Umstand wird mit Hilfe von Next-Gen-Lösungen auch Rechnung getragen, denn auf Signaturen und verhaltensbasierte Erkennung sollte man sich heutzutage nicht mehr verlassen – das mag noch bei simpel gestrickter (und bekannter!) Malware helfen, aber nicht mehr bei fortgeschrittenen Angriffen wie spear phishing oder targeted attacks, also zielgerichteten Angriffen gegen Unternehmen oder einzelne Personen.

Kurzum: Das Jahr 2017 wird mit Sicherheit weitere interessante Entwicklungen bringen. Während einige Hersteller von Next-Gen-Lösungen offensichtlich kein Interesse am Small Office- und Home-Bereich haben, weiß ich von anderen, dass sie auch an Versionen für den Heimbereich arbeiten. Vor Mitte des Jahres wird aber vermutlich nichts kommen, da wie gesagt der Enterprise-Markt im Fokus steht und nicht der Home-Bereich. Diese Entwicklung wird aus meiner Sicht dazu führen, dass die Hersteller von traditionellen AV-Lösungen nicht umhin kommen werden, ebenfalls auf neue Technologie zu setzen – andernfalls könnte es gut passieren, dass sie eines Tages mit dem Rücken an der Wand stehen.

Diese Behauptung möchte ich mit einem Beispiel untermauern: Wer schon mal Malware- und Ransomware-Tests durchgeführt hat, weiß, dass die cloudbasierte Erkennung bei vielen Herstellern von klassischer AV-Software zu einem Großteil für die Erkennung von Schadcode zuständig ist. Das setzt aber wiederum voraus, dass eine permanente Internetanbindung besteht, was normalerweise auch kein Problem darstellt. Was aber, wenn es um mobile Anwender geht, die nicht permanent mit dem Internet verbunden sind und demnach auch mit einer deutlich reduzierten Schutzwirkung leben müssen, solange kein cloudbasierter Scan möglich ist? Es gibt Firmen, deren Techniker oder Kundendienstmonteure tage- oder gar wochenlang in Regionen mit schlechter oder keiner Internetverbindung unterwegs sind – wie gut ist diese Zielgruppe wohl ohne aktuelle Signaturen und cloudbasierten Scans geschützt?

Das sieht mit Next-Gen AV-Lösungen ganz anders aus, denn diese funktionieren übicherweise auch im Offline-Betrieb genau gleich, da sie nicht von Signaturen oder cloud based scans abhängig sind. Für mich gehört die Zukunft ganz klar diesen Lösungen, und ich hoffe, dass ich noch ausreichend Gelegenheit haben werde, das ein oder andere Produkt in diesem Bereich gründlich zu testen und die Ergebnisse in meinem Youtube-Kanal zu präsentieren. Wie es der Zufall so möchte, habe ich dazu gerade im Blog von Cylance noch diesen recht interessanten Artikel entdeckt: https://www.cylance.com/en_us/blog/antivirus-testing-for-real-world-failure.html

Wer sich übrigens etwas genauer in das Thema machine based learning einlesen möchte, findet im Blog von Endgame eine sehr umfangreiche Schilderung der bekannten Modelle auf englisch: https://www.endgame.com/blog/its-bake-navigating-evolving-world-machine-learning-models