Verhaltensbasierte Schutzlösung „Primary Response SafeConnect“ Vorstellung

Unser Forenkollege „Braveheart“ hat im securITy-dome.eu Forum einen sehr interessanten Testbericht veröffentlicht, den ich Ihnen nicht vorenthalten möchte. Dieser Bericht ist sein Abschlussbericht. Im securITy-dome.eu Forum finden Sie weitere Informationen zu diesem Produkt --> http://www.security-dome.eu/forum/pA/index.php

Vielen Dank an „Braveheart“ für diesen Test!

Themen dieses Berichts (was Sie erwartet):

• Allgemein --> Signaturbasierte Prüfung / Verhaltensbasierte Prüfung / Nachteile signaturbasierter Lösungen

• Das Produkt --> Versionen / „Norton AntiBot“

• Bericht von „Braveheart“ --> Charakteristika / Typus / Produkteigenschaften / Systemumgebung / Funktionalität

• Persönliches Fazit

• Interne Links

• Externe Links

Allgemein:

Bei dem vorgestellten Programm „Primary Response SafeConnect“ handelt es sich um eine verhaltensbasierte Schutzlösung, im Gegensatz zu signaturbasierten Schutzlösungen wie z.B. Virenscanner.

Obwohl Virenscanner auch verhaltensbasierte Prüfungen durchführen, die u.a. in der Heuristik-Funktion integriert sind, handelt es sich bei „Primary Response SafeConnect“ um ein Spezialprodukt mit sehr umfangreichen Prüfungen.

Signaturbasierte Prüfung:

Bei der signaturbasierten Prüfung wird auf eine interne Datenbank zurückgegriffen (Signaturen). Diese Signaturen enthalten spezielle und ganz individuelle Programmteile oder Merkmale von Malware. Beim Scan wird die geprüfte Datei mit diesen Signaturen verglichen und bei Übereinstimmung wird die Datei als Malware erkannt und deklariert.

Verhaltensbasierte Prüfung:

Bei dieser Prüfung wird das Verhalten von Programmen und Dateien geprüft. Es werden Befehle und Funktionen auf mögliche Auffälligkeiten analysiert. Treten dabei gefährliche Verhaltensweisen auf, werden diese bewertet und korreliert und entsprechende Warnungen ausgegeben.

Eine verhaltensbasierte Prüfung kann je nach Umfang folgende Bereiche prüfen:

• Wichtige Systembereiche

• Registry

• Treiber

• Windows Kerneltabelle

• Dienste

• Gruppenrichtlinien

• Benutzerverwaltung

• Netzwerkverkehr

Durch diese Technologie sollen verhaltensbasierte Lösungen die Nachteile von signaturbasierten Lösungen ausgleichen.

Nachteile signaturbasierte Lösungen:

• unbekannte, neue und quantitativ seltene Malware wird nicht erkannt, da sie nicht in die Signaturen eingepflegt ist

• hohes Gefahrenpotential zwischen dem Auftauchen einer neuen Malware, dem Erkennen durch Virenlabors, entwickeln von Signaturen, bereitstellen von Signaturen, Update der Signaturen durch den Anwender

• häufige Updates der Signaturen sind extrem wichtig

• hohe Systembelastung von signaturbasierten Lösungen

Das Produkt:

Das Produkt „Primary Response SafeConnect“ der Firma „Sana Security“ ist nur in Englischer Sprache verfügbar. Es gibt mehrere Versionen. Das Produkt ist auch zu Microsoft Windows Visata 32- und 64bit kompatibel.

Versionen:

• „Primary Response SafeConnect“

• „Primary Response AirCover“ (nicht Microsoft Windows Vista kompatibel) – spezielle Version für mobile Computer um unsichere Netzwerke zu erkennen

• Standard Version

• Version für „Norton Antivirus“

Norton AntiBot:

Das Programm „Norton AntiBot“ von „Symantec“ ist funktionell recht identisch mit „Primary Response SafeConnect“. Auch „Norton AntiBot“ ist bereits in einer finalen Englischen Version verfügbar. Eine Deutsche Version von „Norton AntiBot“ ist in Arbeit und momentan nur als Beta-Version verfügbar.

Auch die Preise der beiden Produkte sind indentisch.

Nach dieser Einleitung nun der Bericht von „Braveheart“.

Bericht von „Braveheart“:

Sana Primary Response SafeConnect (PRSC) macht auf einem Microsoft Windows XP Rechner einen sehr guten Eindruck. Völlig problemlos lässt sich dieses verhaltensbasierende Schutzprogramm in die hier vorhandene Abteilung Security einbinden.

Charakteristika:

Anbei noch einmal die wichtigsten Charakteristika ...

Typus:

• Aktive Analyse von Verhaltensanomalien

Produkteigenschaften:

• Überwacht Ihren Computer aktiv rund um die Uhr

• Echtzeitschutz vor Angriffen durch Web-Roboter (Bots)

• Verhindert, dass Bots die Kontrolle über Ihren Computer übernehmen

• Stoppt Identitätsdiebstahl durch Bots

• Blockiert Bot-Netze

• Erkennt ungewöhnliches Systemverhalten auf Ihrem PC und entfernt Bedrohungen

• Erkennt in den Tiefen des Systems verborgene schädliche Software

• Sorgt für zusätzlichen Schutz vor Bedrohungen

• Arbeitet mit anderer Sicherheitssoftware zusammen

• Minimale Auswirkungen auf die Systemleistung

Systemumgebung:

Auf zwei unterschiedlichen XP Livesystemen mit jeweils einer aktuellen Agnitum Outpostfirewall Pro gab es überhaupt nicht mal ansatzweise Schwierigkeiten mit den Antiviren Lösungen von G-Data AVK 2008 und NOD 32 Version 2.70.39.

Funktionalität:

Im Folgenden ein paar Screenshots und weitere Erklärungen zum Programm:

Die Ressourcenbelastung ist wirklich minimal, neben zwei Diensten wird ein Prozess gestartet, Sana's Tool merkt man im Betrieb überhaupt nicht. Sollte sich wirklich mal eine schadhafte *.exe Datei ins System schleichen wollen, ist PRSC schnell dabei, ohne jetzt in große Hektik zu verfallen.

Der Nutzer wird aufgefordert seine jetzige Arbeit einzustellen, die per default ausgeschaltete Funktion – automatisch eventuell schadhaften Code in die Quarantäne zu verschieben – macht daher schon Sinn, letztendlich könnte es sich um einen Fehlalarm handeln.

Die volle Funktionalität ist auch bei einem eingeschränkten Benutzerkonto vollumfänglich gegeben.

Im ca. wöchentlichen Rhythmus wird im Hintergrund völlig „geräuschlos“ eine neue Version eingespielt und damit die Verhaltensregeln fein justiert.

Der einzige Unterschied zwischen beiden Tools ist lediglich, dass Norton AntiBot für den Einsatz mit einer weiteren Symantec Security Lösung optimiert ist. Beide Werkzeuge sind sowohl für den Einsatz unter XP, Vista x86 und Vista x64 geeignet.

Weitere Informationen und Links finden Sie im Abschnitt --> „Externe Links“.

Persönliches Fazit:

Wer auf der Suche nach einem ergänzenden Modul mit verhaltensbasierender Schutzfunktion ist, wird von PRSC bzw. Norton AntiBot nicht enttäuscht werden. In einer zunehmend komplexeren Lage bezüglich der Sicherheit im Internet macht der Einsatz eines solchen Tools ernsthaften Sinn, zumal man nicht auf Signaturupdates angewiesen ist. Die Heuristiken von diversen Security Herstellern lösen ihre werbewirksamen Leistungsversprechen noch nicht so ein, wie es dem Kunden vorgegaukelt wird. Daher kann ein unabhängiges Ergänzungstool recht gut zur weiteren Optimierung des Sicherheitslevels beitragen.

Wenn es wie in diesem Fall so problemlos funktioniert, kann man von einer Empfehlung sprechen!

Auf meinem Microsoft Windows Vista 32-Bit Rechner läuft Norton AntiBot in bester Ergänzung zur vorhandenen Symantec NIS 2008 seit Wochen vollkommen akkurat. Mein mobiler Microsoft Windows XP Rechner ist neben der Agnitum Outpost Firewall Pro und dem Eset NOD 32 AV um eine sinnvolles Tool in Form von PRSC ergänzt.

Beide Werkzeuge stehen z.Zt. ausschließlich in einer englischsprachigen Version zur Verfügung, die Kosten belaufen sich auf jeweils netto € 29,95 zzgl. deutscher MWST (Preisangaben ohne Gewähr).

Symantec bietet auf den deutschen Seiten momentan eine Beta Version in unserer Sprache an, siehe Abschnitt --> „Externe Links“.

Externe Links:

Sana Security Homepage: http://www.sanasecurity.com/

Norton AntiBot (inkl. Video): http://www.symantec.com/norton/products/overview.jsp?pcid=is&pvid=nab1

Norton AntiBot Deutsche Beta: http://www.symantec.com/de/de/norton/publicbeta/index.jsp

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter -->

http://www.security-dome.eu/forum/pA/index.php

Autor: Frank Richter

Co-Autor: Braveheart

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 23.10.07

Letzte Aktualisierung: 23.10.07

<-- Zurück zu den News