Monthly Archives: January 2018

Next-Generation AV und machine learning: Marketing-Blabla vs. Realität

Seitdem Cylance als einer der Pioniere im Next-Gen AV-Bereich mit Begriffen wie AI (Artificial Intelligence/Künstliche Intelligenz), machine learning und mathematischen Modellen im Jahr 2014 auf dem Radar auftauchte, haben Mitbewerber aus dem klassischen AV-Software-Umfeld nichts unversucht gelassen, aktuellere Technologien als die von ihnen verwendeten wie Verhaltensanalyse, Heuristik, cloudbasiertes Scannen usw. zunächst als wenig erfolgreich darzustellen. Darauf, wer sich wann wie und in welcher Form geäußert hat oder warum Hersteller A nach eigenen Angaben bedeutend besser ist als der Rest, möchte ich an dieser Stelle nicht näher eingehen. In diesem Beitrag möchte ich vielmehr erläutern, weshalb man fabelhaft klingenden Beschreibungen aus der Feder der Marketingabteilungen immer mit einer gesunden Portion Skepsis begegnen sollte und weshalb es offensichtlich unterschiedliche Formen von machine learning oder deep learning gibt, die sich hinsichtlich ihrer Effizienz doch deutlich voneinander unterscheiden.

Aus meiner Sicht ist es unabdingbar, ein Produkt selbst auf Herz und Nieren zu testen. Ich spreche hierbei nicht von AV-Software für Heimanwender, sondern von Business-Versionen für Unternehmen jeglicher Größe. Da ich mit Produkten wie DeepArmor von SparkCognition vertraut bin und aufgrund regelmäßig durchgeführter eigener Tests die Effektivität von DeepArmor kenne und beurteilen kann, habe ich im Dezember 2017 Tests mit mehreren Business-Lösungen von bekannten Herstellern durchgeführt. Grundlage dafür waren jeweils Testversionen der jeweiligen Produkte sowie Samples von testmyav.com, hybrid-analysis.com sowie aktuelle Malware und Ransomware, die ich über einen malware crawler einsammle.

Meine Testmethodik werde ich ein anderes Mal ausführlicher erläutern, momentan sollte folgende kurze Übersicht ausreichend sein:

  • Alle Samples wurden unter Windows 10 in einer virtuellen Maschine gegen die jeweilige Scan Engine getestet
  • In allen Fällen wurde die mitgelieferte und empfohlene default policy des jeweiligen Herstellers verwendet
  • Malware, die nicht bereits vom On-Access Scanner ausgesondert wurde, habe ich erneut manuell gescannt
  • Bekannte Ransomware-Samples von testmyav.com habe ich mit einem EXE-Packer behandelt, um zu prüfen, wie gut Mutationen von Ransomware erkannt werden  

Ohne lange um den heißen Brei herumreden zu wollen, waren die Ergebnisse sehr durchwachsen. Besonders irritiert hat mich ein Produkt eines amerikanischen Herstellers hinsichtlich der beworbenen Erkennungsmöglichkeiten und den tatsächlich erkannten Samples. Ich muss zugeben, dass sich die Produktbeschreibung wirklich gut anhört: Small footprint des Agents, geringe Systemauslastung, machine learning zur Erkennung von völlig neuer und unbekannter Malware usw. Wenn ein Hersteller mit machine learning oder deep learning wirbt, dann erwarte ich, dass auch relativ simpel manipulierte Malware oder Ransomware problemlos erkannt werden, denn das gibt die Technik tatsächlich her, wenn sie richtig implentiert ist. Erschreckend war aber speziell in diesem einen Fall, dass manipulierte Malware-Samples weder erkannt noch in der Ausführung gestoppt wurden. Mehr noch: der vom Hersteller versprochene Remediation-Mechanismus für verschlüsselte Dateien, die durch nicht erkannte Ransomware entstanden sind, hat bei mir schlicht und ergreifend nicht funktioniert. Einen Fehler in der Konfiguration der Software schließe ich aus, weil ich die vom Hersteller empfohlene default policy verwendet habe. Noch krasser wird das ganze, wenn man sich die Reviews für das Produkt bei Gartner peer review (Registrierung erforderlich) anschaut und die Bewertungen durchliest, denn die basieren meiner Meinung nicht auf selbst durchgeführten Tests. Wer glaubt, dass ein gutes Endpoint Protection-Produkt schon alleine deshalb super ist, weil es drei Tage alte Malware-Samples erkennt, der sollte sich ernsthaft die Frage stellen, ob er auf das richtige Pferd gesetzt hat.

Last but not least möchte ich in diesem Kontext nicht unerwähnt lassen, dass dieses augenscheinlich hervorragende Produkt auf anderen Webseiten ganz anders abgeschnitten hat und bewertet wurde, und zwar im Bereich der negativen Leistung.

Warum schreibe ich das nun alles? Ganz einfach: Verlassen Sie sich niemals auf vollmundiges Marketing-Blabla von Herstellern von AV-Software, sondern testen Sie Produkte im Endpoint Security-Umfeld intensiv und selbst auf Herz und Nieren, bevor sie im Unternehmen eingeführt werden. Gerne berate und unterstütze ich Sie diesbezüglich auch mit meinem Know How.

Produktankündigung: Niwalker MiniMax MM18JR/MM72 2xXHP70.2 1xXHP35HI 10000 ANSI-Lumen max.

Pünktlich zum neuen Jahr gibt es ein weiteres Highlight im Niwalker-Produktportfolio, und zwar die Niwalker MM18JR/MM72. Obgleich man vom Namen her darauf schließen könnte, dass die MM18JR der kleinere Bruder der Hammer-Taschenlampe Niwalker MM18III ist, würde das nicht zutreffen, denn die Niwalker MM18JR/MM72 ist ein eigenständiges Modell. Sicher gibt es gewisse Ähnlichkeiten, aber die Unterschiede liegen im Detail. Ebenso wie die MM18III verfügt die MM18JR/MM72 über mehrere LEDs, allerdings sind es hier nur drei statt vier. Dafür bietet die Niwalker MM18JR zwei XHP70.2-LEDs, während hingegen bei der MM18III noch XHP70-LEDs verbaut wurden. Die Reichweite ist mit ca. 850 Meter etwas höher als bei der MM18III, was der Tatsache geschuldet ist, dass die Niwalker MM18JR satte 730000(!) Lux liefert.

niwalker_nova_mm72_1

niwalker_nova_mm72_3

niwalker_nova_mm72_2

niwalker_nova_mm72_4

Beim User Interface (UI) gibt es ebenfalls neues zu vermelden, denn bei der Niwalker MM72 kommt ebenso wie bei der Niwalker BK-FA30S der sog. Triple Clicky zum Einsatz. Ein Highlight dieses neuen UI sind die beiden äußeren Seitenschalter, auf denen sich jeweils ein beliebiger Leuchtmodus speichern lässt – ein Klick auf den jeweiligen Seitenschalter aktiviert dann sofort diesen Modus. Analog zur MM18III ist auch die neue Niwalker MM18JR/72 eine echte High End-Taschenlampe mit einem Lampenkopfdesign, das diese leistungsfähige Taschenlampe zu einer eierlegenden Wollmilchsau macht und sie mit max. 10000 ANSI-Lumen auch auf die vorderen Plätze katapultiert, wenn es um brachiale Helligkeit geht. Flood und Throw lassen sich auch bei der Niwalker MM18JR/72 perfekt miteinander kombinieren, so dass auch diese Premiumlampe den nahen und mittleren Bereich sowie die Ferne abdeckt.

Sieben gut abgestufte reguläre Leuchtmodi runden den guten Eindruck perfekt ab. Ein Review zur Niwalker MM18JR erscheint nach Produktverfügbarkeit.

niwalker_nova_mm72_5

niwalker_nova_mm72_6

Bezugsquelle

Die Niwalker MM18JR/MM72 ist voraussichtlich ab Ende KW2 im MSITC Shop lieferbar, Vorbestellungen sind möglich.