SparkCognition DeepArmor AI detection of weaponized documents vs. legacy AV signature-based detection

Dass die signaturbasierte Erkennung von maliziösen Office-Dokumenten mit der Vielzahl an neuen Samples, die täglich in Form von Malspam Campaigns das Licht der Welt erblicken, nicht mehr mithalten kann, dürfte mittlerweile eine bekannte Tatsache sein. Nach wie vor sind Endgeräte in Unternehmen das schwächste Glied in der Kette, deshalb ist es zwingend notwendig, diese mit einem möglichst wirkungsvollen und effektiven Schutz vor Malware auszustatten. Spam- und Mailfilter sowie Sandboxen am Perimeter sind nur ein Teil eines mehrstufigen Schutzkonzepts (“Layered Security”), und selbst teure Lösungen für den Unternehmensbereich können nicht alle schädlichen Dokumente blocken, die tagtäglich eine neue Bedrohung darstellen.

Sehen Sie in diesem Video, wie effektiv SparkCognition DeepArmor Enterprise maliziöse Dokumente (“Weaponized Documents”) mit seiner AI Engine auf Basis von machine learning erkennt und blockt. Bei einem Test mit 319 Samples aus aktuellen Malspam Campaigns hat DeepArmor 317 von 319 Word-Dokumente mit schädlichem Inhalt entdeckt, was einer Erkennungsrate von 99,37% entspricht. Dieses hervorragende Ergebnis lässt sich noch steigern, denn Schadcode in Form von ausführbaren Dateien, der beim Öffnen eines infizierten Dokuments üblicherwiese nachgeladen wird, wird üblicherweise von der DeepArmor AI Engine ebenfalls erkannt und eliminiert. Zum Vergleich mit einem rein AI-basierten Produkt wurde ein Scan mit einer signaturbasierten Lösung durchgeführt, bei dem 210 von 319 Samples entdeckt wurden – die Erkennungsrate lag dabei mit  65,83% deutlich unter dem Ergebnis von DeepArmor.

Produktankündigung: MSITC Acebeam EC65 4 x XHP35 HI 4000 Lumen max.

Die MSITC Acebeam EC65 ist eine vielseitig verwendbare kompakte Taschenlampe im EDC-Format, die hinsichtlich der Leuchtkraft so manch größere Taschenlampe problemlos in die Tasche steckt. Mit der integrierten schnellen Lademöglichkeit (USB-C) sowie vier modernen CREE XHP35 HI-LEDs bietet sie eine maximale Leuchtleistung von 4000(!) Lumen bei Betrieb mit dem mitgelieferten 21700-Akku mit 5100 mAh oder einem hochstromfähigen 18650 IMR-Akku, was für eine Taschenlampe in dieser Größenklasse als Sensation bezeichnet werden darf – vergleichen Sie selbst, was andere Lampen in dieser Größen- und Preisklasse üblicherweise an Output liefern können. Zweifelsohne ist die MSITC Acebeam EC65 ein Meisterwerk der Ingenieurskunst und Acebeam zeigt wieder einmal mehr, weshalb sie sich einen exzellenten Ruf als Hersteller von innovativen und qualitativ hochwertigen Taschenlampen erworben haben.

msitc_acebeam_EC65-1

msitc_acebeam_EC65-3

msitc_acebeam_EC65-4

Mit ihren knapp 12 cm Länge erreicht die EC65 eine Leuchtkraft, die schon fast unglaublich ist. Wer auf der Suche nach einer kompakten EDC-Taschenlampe mit dem modernen 21700-Akkuformat ist, der liegt mit der neuen MSITC Acebeam EC65 absolut richtig. Mit dem im Lieferumfang enthaltenen 21700-Akku und der integrierten Lademöglich in der Lampe via USB-C-Anschluss kann sofort losgelegt werden.

msitc_acebeam_EC65-10

Bezugsquelle

Voraussichtlich ab 4. Juni 2018 ist die MSITC Acebeam EC65 im MSITC Shop verfügbar.

Produktankündigung: MSITC HaikeLite SC26 XP-L HI 1200 Lumen max.

Die MSITC HaikeLite SC26 wurde als kompakter Allrounder konzipiert, der mit einer modernen CREE XP-L HI-LED ausgestattet ist und mit einem 26650- sowie einem 26350-Akku betrieben werden kann. Im Lieferumfang der MSITC HaikeLite SC26 “Fatty” befindet sich ein Akkurohr für den kompakten Betrieb mit einem 26350-Akku. Diese Format ist aktuell eher noch unüblich, es bietet aber durchaus auch Vorteile. Die SC26 erhalten Sie bis uns in den Farben blau und grün; bitte geben Sie dies bei der Bestellung im Kommentarfeld an. Bei uns erhalten Sie außerdem noch einen kostenlosen (ungeschützten) 26350-Akku dazu, um auch mit diesem Akkuformat gleich loslegen zu können.

msitc_haikelite_sc26_fatty_green_1

msitc_haikelite_sc26_fatty_green_2

Reichweitenmäßig liegt die MSITC HaikeLite SC26 im Bereich von ca. 480 Meter, was für einen kompakten Thrower in dieser Größenordnung eine beachtliche Leistung ist. Ein besonderer Leckerbissen ist aber zweifelsohne der effiziente Treiber der MSITC HaikeLite SC26, der für eine konstante und nahezu gleichbleibende Helligkeit über die gesamte Laufzeit sorgt und neben Ramping (stufenlose Regulierung der Helligkeit) auch fünf fest definierte Leuchtgruppen bietet.

msitc_haikelite_sc26_fatty_prototype_3

 

Bezugsquelle

Die MSITC HaikeLite SC26 ist voraussichtlich ab Ende KW21/18 im MSITC Shop und im HaikeLite Shop verfügbar.

SparkCognition DeepArmor vs. Vega Stealer: Schützen Sie Ihr Unternehmen vor Datenabfluss!

Proofpoint hat eine neue Malware namens Vega Stealer entdeckt, die im Rahmen einer malspam campaign an diverse Unternehmen und Organisationen ausgeliefert wurde. Vega stealer versucht sensible Daten wie gespeicherte Anmeldedaten für Websites oder Kreditkartennummern sowie sensitive Dokumente von infizierten Endgeräten zu stehlen und diese an einen Command & Control-Server zu übermitteln. Davon abgesehen, dass diese Malware in der Lage ist, sensible Daten zu stehlen, ist es (wieder einmal!) interessant zu sehen, wie die Erkennungsrate bei Virustotal aussieht – erschreckend wäre wohl das richtige Wort dafür, denn Stand 13.05.18 0132h erkennen gerade einmal 12 von 62 Engines(!) diese Malware:

image

SparkCognition DeepArmor als typische Next-Generation-Lösung, die vollständig auf AI (Artificial Intelligence) und machine learning basiert, erkennt diese Malware mit einer Sicherheit von 100%.

image

DeepArmor arbeitet vollständig ohne Signaturen und kann mit Hilfe der AI Engine auch brandneue Bedrohungen erkennen, für die herkömmliche AV-Lösungen ein Signaturen-Update benötigen. Angesichts der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ist es umso wichtiger, eine Endpoint Protection-Lösung zu verwenden, die auch unbekannte Bedrohungen zuverlässig abwehren kann. Signaturen waren gestern, AI ist heute. Bei einem data breach (Datenabfluss) muss innerhalb von 72 eine Meldung an die entsprechende Aufsichtsbehörde erfolgen, andernfalls drohen Unternehmen empfindliche Geldstrafen, die bis zu 4% des Jahresumsatzes betragen können.

Als deutscher SparkCognition-Partner beraten wir Sie gerne zum Einsatz von DeepArmor in Ihrem Unternehmen. Bei Fragen erreichen Sie uns per Mail unter info AT deeparmor.de oder über das Kontaktformular auf unserer Website. Für kleine und mittlere Unternehmen bieten wir einen Managed Service (MSITC Managed Endpoint Protection) an und unterstützen Sie beim Deployment von DeepArmor.

SparkCognition DeepArmor vs. 1000 (mutated) malware samples

Viele Hersteller von AV-Software erwecken den Eindruck, als würden ihre Lösungen sämtliche Malware erkennen und stoppen können, die auf einem Endgerät auftauchen. Ich bin geneigt, das bei Next Generation AV-Lösungen von Cylance, Endgame, Cybereason usw. auch zu glauben, weil ich aus eigener Erfahrung weiß, wie gut machine learning und AI bei der Malwareerkennung funktioniert, aber bei signaturbasierter Legacy AV-Software, die noch mit Heuristik und Behavior Analysis arbeitet, tue ich mir da ehrlich gesagt schwer. Ich möchte deshalb anhand eines Tests mit 1000 Malware-Samples die Leistungsfähigkeit von SparkCognition DeepArmor demonstrieren. Dazu gelten folgende Rahmenbedingungen:

  • Bei den 1000 Samples handelt es sich um .exe-Dateien und alle Arten von Malware, wie Ransomware, Cryptominer, Trojaner, Adware usw. 
  • Im ersten Durchgang werden die Samples mit DeepArmor sowie dem Emsisoft Emergency Kit gescannt, das zwei leistungsfähige Scan Engines (Bitdefender/Emsisoft) im Bauch hat. Selbstverständlich wurden alle Signaturen vor dem Test aktualisiert.
  • Nach dem ersten Durchgang werden alle 1000 Samples mit mpress modifiziert, um polymorphe Samples zu simulieren
  • Im zweiten Durchgang werden alle nun mutierten Samples erneut mit DeepArmor und EEK gescannt. Ich möchte an dieser Stelle nicht zuviel vorweg nehmen, aber der Unterschied ist deutlich erkennbar.

Scan mit SparkCognition DeepArmor (unmodified samples)

image

image

Von 999 Samples wurden 998 erkannt, was einer detection rate von 99,89% entspricht. Die Samples wurden von der DeepArmor AI Engine erkannt, der Confidence Level lag in allen Fällen zwischen 95% und 100%.

Scan mit Emsisoft EEK (unmodified samples)

image

image

image

Von 999 Samples wurden 929 erkannt, was einer detection rate von 92,99% entspricht. Grundsätzlich ist das ein gutes Ergebnis für einen signaturbasierten Scanner, es bedeutet aber gleichzeitig auch, dass Malware nicht erkannt wurde und möglicherweise auch durch Verhaltensanalyse, Sandboxing oder Heuristik nicht gestoppt worden wäre.


Polymorphic/Mutated Samples

Der spannende Teil beginnt hier. Mit Hilfe des .exe-Packers mpress wurden alle Samples so modifiziert, dass die Erkennung durch signaturbasierte AV-Scanner massiv erschwert wird.

image 

image

Scan mit SparkCognition DeepArmor (mutated samples)

image

Ob die 1007 findings nur ein Darstellungsfehler sind oder ob DeepArmor tatsächlich mutierte Samples nun mehrfach erkennt, ist momentan noch unklar. Fakt ist aber, dass es keine Einbrüche hinsichtlich der Erkennungsrate gibt und DeepArmor hier tatsächlich nur mit machine learning und künstlicher Intelligenz (AI) auch die mutierten Bedrohungen souverän erkannt und eliminiert hat.

Im Vergleich dazu nun die Scanergebnisse mit EEK:

image

Von 999 mutierten Samples wurden 674 erkannt, was einer detection rate von 67,47% bei einem signaturbasierten Scan entspricht.


Fazit

In diesem Test wollte ich die Unterschiede zwischen einer modernen, auf machine learning und AI basierenden Next Generation Endpoint Protection-Lösung wie SparkCognition DeepArmor und traditioneller AV-Software verdeutlichen. Auch Next Generation-Lösungen bieten keinen hundertprozentigen Schutz, sie sind aber meines Erachtens konventionellen Lösungen bereits jetzt schon deutlich überlegen, wenn es um die Erkennung von unbekannten Bedrohungen oder 0-day threats geht. Endpoint Protection ist nur ein Bestandteil des Layered Security-Konzepts, aber der wird mit SparkCognition DeepArmor definitiv sehr gut abgedeckt. Wenn Sie mehr über DeepArmor erfahren wollen: Kontaktieren Sie uns unter info AT deeparmor.de oder über das Kontaktformular. Wir sind offizieller deutscher SparkCognition-Partner und beraten Sie gerne.


SparkCognition DeepArmor vs. new and dangerous wiper malware

Please use the excellent translation service Deepl for an English translation and copy & paste the text into the input field.

Ich habe heute einen sog. Wiper entdeckt, dessen Aufgabe darin besteht, sinnlos Dateien und wichtige Bereiche von Festplatten wie den MBR (Master Boot Record) zu überschreiben bzw. zu löschen und damit möglichst viel Schaden anzurichten. Bemerkenswert an diesem Sample sind für mich vor allem zwei Dinge:

1. Bekannte Namen wie KAV, Panda, EMSISOFT, Avira, Bitdefender usw. waren laut den auf Malwaretips durchgeführten Tests (nur für registrierte User sichtbar!) mit Hilfe von Verhaltenserkennung (behavior analysis) und/oder anderen dynamischen Erkennungsmethoden teilweise nicht in der Lage, diese gefährliche Malware zu erkennen und zu stoppen

2. Den vollen Schutz bieten viele konventionelle AV-Programme nur, solange ein Endgerät online ist. Sobald ein Endgerät keine Online-Verbindung mehr hat, ist der Malware-Schutz deutlich geschwächt

Die Erkennungsraten bei VirusTotal machen deutlich, dass die Erkennung von neuer Malware alleine durch Signaturen meines Erachtens in einer Sackgasse angelangt ist. DeepAmor verwendet machine learning und AI (Artificial Intelligence), um auch polymorphe Malware sowie 0-day threats wirkungsvoll erkennen und stoppen zu können.

Wie der Wiper zuschlägt, kann man in diesem Video ab 03:20 verfolgen. Als Beispiel kommt Panda Dome zum Einsatz:

SparkCognition DeepArmor stoppt diese Bedrohung sowohl im Offline- als auch im Online-Betrieb wirkungsvoll:


SparkCognition DeepArmor vs. Backdoors

Dass SparkCognition DeepArmor auch bei der Erkennung von Backdoors gute Leistungen zeigt, dürfte keine allzu große Überraschung sein. Um dies anhand eines praxisnahen Beispiels unter Beweis zu stellen, habe ich fünf Backdoors mit phantom-evasion erstellt. Mit Hilfe von phantom-evasion ist es möglich, payloads bzw. backdoors zu erstellen, die von einem Großteil der traditionellen AV-Scanner nicht erkannt werden. Gelingt es einem Angreifer, unerkannt in einem Unternehmen damit auf Endgeräten die Kontrolle zu übernehmen, ist es bis zum Data Breach (Datenabfluss) nicht mehr weit, was angesichts der ab 25. Mai 2018 EU-weit gültigen DSGVO (Datenschutzgrundverordnung/GDPR) extrem teuer werden kann, da in nicht gemeldeten Fällen von Datenabfluss an die zuständige Aufsichtsbehörde Bußgelder in Höhe von bis zu 4% des Jahresumsatzes eines Unternehmens verhängt werden können.

image

Zurück zum Thema. phantom-evasion habe ich als Beispiel dafür ausgewählt, wie traditionelle signaturbasierte Virenscanner bei der Erkennung und der Abwehr von aktuellen Bedrohungen immer mehr ins Hintertreffen geraten. Um die Leistungsfähigkeit von SparkCognition DeepArmor unter Beweis zu stellen, habe ich fünf Samples mit phantom-evasion erstellt und diese ebenfalls mit einem second opinion scanner (EMSISOFT EEK) und VirusTotal gegengeprüft. Die Ergebnisse sind in den folgenden Screenshots zu sehen, vorab möchte ich sie wie folgt zusammenfassen:

  • EMSISOFT EEK hat bei einem signaturbasierten Scan keines der Samples erkannt
  • VirusTotal bzw. die Scan Engines scheinen auch keines der Samples erkannt zu haben
  • DeepArmor hat alle Samples mit einer Wahrscheinlichkeit zwischen 63% und 90% erkannt, und zwar ausschließlich auf Basis von künstlicher Intelligenz (AI)

Die Wahrscheinlichkeit, dass es durch eine eingeschleuste Backdoor auf einem Endgerät in einem Unternehmensnetzwerk zum Datenabfluss kommen kann, ist heutzutage realer denn je. Dies gilt natürlich auch für kleine und mittelständische Unternehmen.

image

image

image

image

image

image

Sie sind an DeepArmor interessiert? Verwenden Sie das Kontaktformular oder senden uns eine E-Mail an info AT deeparmor.de, um mehr über DeepArmor und wirkungsvollen Schutz für Ihre Endgeräte im Unternehmen zu erfahren.

MSITC FFRI Yarai vs. Ransomware samples

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line

FFRI yarai: Next-Generation Endpoint Protection mit fünf Engines und Verhaltenserkennung

Ich bin vor kurzem auf eine weitere AV-Lösung aufmerksam geworden, die sich deutlich von dem unterscheidet, was heutzutage unter dem Label “Next-Generation” angeboten wird. Die Rede ist von FFRI yarai, einer Software, die aus Japan stammt. Da man zu yarai kaum Tests oder Reviews (und schon gar nicht auf englisch!) findet, bin ich neugierig geworden. Zunächst war ich ehrlich gesagt etwas skeptisch, ob das Produkt denn tatsächlich so effektiv funktionieren würde, wie es vom Hersteller vermarktet wird – und ja, diese Frage kann ich bereits an dieser Stelle mit einem klaren “es funktioniert hervorragend” beantworten. In Japan gehört FFRI yarai zu den führenden Anbietern von Next-Generation-Lösungen im Endpoint Protection-Bereich und hat auch schon einige bemerkenswerte Auszeichnungen erhalten. Ich erspare mir an dieser Stelle die Aufzählung, eine detaillierte Auflistung sowie Whitepaper findet man auf der Website von FFRI. FFRI yarai gibt es als Enterprise-Version mit zentraler Management-Konsole, die on-premise oder in der Cloud betrieben werden kann, und als Version für den SOHO-Bereich.

image

Was FFRI yarai aus meiner Sicht interessant macht, ist die Tatsache, dass diese Next-Generation-Lösung vollständig signaturenlos arbeitet und dafür fünf unterschiedliche Engines zur Erkennung von Malware oder Exploits verwendet, die alle verhaltensbasiert arbeiten. Da gibt es zum einen die sog. ZDP Engine, die das Ausnutzen von Schwachstellen in Software auf der Applikationsebene verhindern soll. Darüber hinaus gibt es eine Sandbox, die ein virtuelles Windows nachbildet, ein HIPS, statische Analyse von Dateien sowie natürlich machine learning. Die Kombination dieser fünf Methoden ermöglicht precognitive defense, d.h. Bedrohungen werden bereits vor Ausführung erkannt und geblockt. 

Nachdem ich FFRI kontaktiert hatte, bin ich nun im Besitzer einer Evaluationsversion von yarai, die 30 Tage lang läuft. Natürlich ist die Software auch in englisch verfügbar, sonst hätte ich mir mit japanisch etwas schwer getan…Meine bisherigen Erfahrungen möchte ich in einem gesonderten Produktreview detaillierter zu Papier bringen, deshalb berichte ich an dieser Stelle nur kurz über das, was ich bislang bereits testen konnte:

  • Aktuelle Ransomware-Samples werden bereits von der Static Analysis Engine erkannt. Die Erkennung geht sehr flott vonstatten und die CPU-Auslastung bewegt sich dabei in einem normalen Rahmen. Die Ressourcenauslastung ist bei traditioneller AV-Software deutlich höher.
  • Yarai funktioniert auch offline problemlos. Es ist keine Internet-Verbindung notwendig, um beispielsweise Samples in eine Cloud hochzuladen – die komplette Anwendungslogik ist im Agent auf dem Endgerät untergebracht
  • Aktuell teste ich noch verschiedene 0-day samples, fileless malware, ransomware sowie mein eigenes MSITC sample set, das hauptsächlich aus Backdoors besteht, die ich mit diversen Frameworks erzeugt habe

Natürlich ist es für ein vollständiges Fazit noch zu früh, aber was ich bislang gesehen habe, ist sehr vielversprechend. 

image

Next-Generation AV und machine learning: Marketing-Blabla vs. Realität

Seitdem Cylance als einer der Pioniere im Next-Gen AV-Bereich mit Begriffen wie AI (Artificial Intelligence/Künstliche Intelligenz), machine learning und mathematischen Modellen im Jahr 2014 auf dem Radar auftauchte, haben Mitbewerber aus dem klassischen AV-Software-Umfeld nichts unversucht gelassen, aktuellere Technologien als die von ihnen verwendeten wie Verhaltensanalyse, Heuristik, cloudbasiertes Scannen usw. zunächst als wenig erfolgreich darzustellen. Darauf, wer sich wann wie und in welcher Form geäußert hat oder warum Hersteller A nach eigenen Angaben bedeutend besser ist als der Rest, möchte ich an dieser Stelle nicht näher eingehen. In diesem Beitrag möchte ich vielmehr erläutern, weshalb man fabelhaft klingenden Beschreibungen aus der Feder der Marketingabteilungen immer mit einer gesunden Portion Skepsis begegnen sollte und weshalb es offensichtlich unterschiedliche Formen von machine learning oder deep learning gibt, die sich hinsichtlich ihrer Effizienz doch deutlich voneinander unterscheiden.

Aus meiner Sicht ist es unabdingbar, ein Produkt selbst auf Herz und Nieren zu testen. Ich spreche hierbei nicht von AV-Software für Heimanwender, sondern von Business-Versionen für Unternehmen jeglicher Größe. Da ich mit Produkten wie DeepArmor von SparkCognition vertraut bin und aufgrund regelmäßig durchgeführter eigener Tests die Effektivität von DeepArmor kenne und beurteilen kann, habe ich im Dezember 2017 Tests mit mehreren Business-Lösungen von bekannten Herstellern durchgeführt. Grundlage dafür waren jeweils Testversionen der jeweiligen Produkte sowie Samples von testmyav.com, hybrid-analysis.com sowie aktuelle Malware und Ransomware, die ich über einen malware crawler einsammle.

Meine Testmethodik werde ich ein anderes Mal ausführlicher erläutern, momentan sollte folgende kurze Übersicht ausreichend sein:

  • Alle Samples wurden unter Windows 10 in einer virtuellen Maschine gegen die jeweilige Scan Engine getestet
  • In allen Fällen wurde die mitgelieferte und empfohlene default policy des jeweiligen Herstellers verwendet
  • Malware, die nicht bereits vom On-Access Scanner ausgesondert wurde, habe ich erneut manuell gescannt
  • Bekannte Ransomware-Samples von testmyav.com habe ich mit einem EXE-Packer behandelt, um zu prüfen, wie gut Mutationen von Ransomware erkannt werden  

Ohne lange um den heißen Brei herumreden zu wollen, waren die Ergebnisse sehr durchwachsen. Besonders irritiert hat mich ein Produkt eines amerikanischen Herstellers hinsichtlich der beworbenen Erkennungsmöglichkeiten und den tatsächlich erkannten Samples. Ich muss zugeben, dass sich die Produktbeschreibung wirklich gut anhört: Small footprint des Agents, geringe Systemauslastung, machine learning zur Erkennung von völlig neuer und unbekannter Malware usw. Wenn ein Hersteller mit machine learning oder deep learning wirbt, dann erwarte ich, dass auch relativ simpel manipulierte Malware oder Ransomware problemlos erkannt werden, denn das gibt die Technik tatsächlich her, wenn sie richtig implentiert ist. Erschreckend war aber speziell in diesem einen Fall, dass manipulierte Malware-Samples weder erkannt noch in der Ausführung gestoppt wurden. Mehr noch: der vom Hersteller versprochene Remediation-Mechanismus für verschlüsselte Dateien, die durch nicht erkannte Ransomware entstanden sind, hat bei mir schlicht und ergreifend nicht funktioniert. Einen Fehler in der Konfiguration der Software schließe ich aus, weil ich die vom Hersteller empfohlene default policy verwendet habe. Noch krasser wird das ganze, wenn man sich die Reviews für das Produkt bei Gartner peer review (Registrierung erforderlich) anschaut und die Bewertungen durchliest, denn die basieren meiner Meinung nicht auf selbst durchgeführten Tests. Wer glaubt, dass ein gutes Endpoint Protection-Produkt schon alleine deshalb super ist, weil es drei Tage alte Malware-Samples erkennt, der sollte sich ernsthaft die Frage stellen, ob er auf das richtige Pferd gesetzt hat.

Last but not least möchte ich in diesem Kontext nicht unerwähnt lassen, dass dieses augenscheinlich hervorragende Produkt auf anderen Webseiten ganz anders abgeschnitten hat und bewertet wurde, und zwar im Bereich der negativen Leistung.

Warum schreibe ich das nun alles? Ganz einfach: Verlassen Sie sich niemals auf vollmundiges Marketing-Blabla von Herstellern von AV-Software, sondern testen Sie Produkte im Endpoint Security-Umfeld intensiv und selbst auf Herz und Nieren, bevor sie im Unternehmen eingeführt werden. Gerne berate und unterstütze ich Sie diesbezüglich auch mit meinem Know How.