Malware bestrijden met Cloud Computing
Gepubliceerd: Zaterdag 9 augustus 2008
Auteur: Roland van Hek
Een netwerkdienst die meer malware onderschept dan een enkel antivirusprogramma zou de volgende stap kunnen zijn in de bestrijding van internetbedreigingen.
Onderzoekers aan de Universiteit van Michigan die de onlineCloudAV dienst hebben ontwikkeld geven aan dat standaard antivirusprogramma's een substantieel percentage van malware niet onderscheppen. Ze beargumenteren bovendien dat er teveel tijd zit tussen het moment waarop een virus de kop opsteekt en het moment waarop het programma na een update het virus kan aanpakken.
De beveiligingsexperts waarschuwen dat internetters wel antivirusproducten moeten gebruiken, maar dat de effectiviteit ervan met de tijd afneemt, aangezien er steeds meer malware op het net verschijnt.
Cloud computing
De onderzoekers gebruikten in hun onderzoek het zogeheten 'cloud computing' principe, waarbij een bepaalde taak op een externe server wordt uitgevoerd en het resultaat van de berekening wordt verstuurd naar een PC of een mobiel apparaat.
CloudAV gooit er flink wat rekenkracht tegenaan door tien antivirus-engines te combineren met twee gedragsdetectie-engines. De onderzoekers hebben goed gekeken naar het zogeheten N-Version Programming (NVP), een methode waarbij verschillende softwareprogramma's worden gebruikt om de betrouwbaarheid van een dienst te garanderen.
Combinatie
"Verschillende antivirus-engines vullen elkaars opsporingsvaardigheden aan en de combinatie van een hoop verschillende engines kan de algemene identificatie van malware en ongewenste software verbeteren", aldus CloudAV. "Dit model stelt ons in staat om malware en ongewenste software te identificeren door meerdere heterogene detectieprogramma's parallel naast elkaar te laten draaien. We noemen deze vorm van detectie 'N-version bescherming'."
Om gebruik te maken van CloudAV wordt er een host geïnstalleerd op een pc met een Windows, Linux of FreeBSD besturingssysteem. Installatie is ook mogelijk op een mobiel apparaat.
98 procent
Het programma controleert nieuwe bestanden die naar het systeem worden geschreven. Er wordt een lokale cache aangemaakt van eerder gecontroleerde bestanden om het netwerk zoveel mogelijk te ontzien. Nieuwe bestanden die niet worden herkend worden naar het netwerk verstuurd. CloudAV kan het vergelijken met de cache of er een analyse op loslaten. Dit duurt ongeveer 1.3 seconde.
In de zes maanden durende testperiode onderschepte CloudAV 98 procent van 7.220 malware samples die de onderzoekers erop loslieten. Een op zichzelf staand antivirusprogramma onderschept gemiddeld 83 procent, aldus de onderzoekers.
Aanvulling
CloudAV maakt gebruik van de volgende antivirus engines: Avast, AVG, BitDefender, ClamAV, F-Prot, F-Secure, Kaspersky, McAfee, Symantec, en Trend Micro. Norman Solutions' Sandbox en CWSandbox van Sunbelt Software zijn de twee gedragsdetectie-engines waar gebruik van wordt gemaakt door CloudAV.
Netwerkdiensten zoals CloudAV zullen standaard antiviruspakketten of detectiepakketten niet vervangen, maar ze kunnen wel een aanvulling zijn in de strijd tegen malware.
