Die SophosLabs™ entwickeln die wegweisenden Verfahren, die in unseren
Produkten enthalten sind. Unser HIPS-Verfahren nutzt vier Ebenen integrierter
Erkennung zum Stoppen von Zero-Day-Bedrohungen – ohne komplizierte Konfiguration.
HIPS-Erkennung in vier Stufen
Unsere Threat Detection Engine analysiert das Verhalten von Code, noch bevor er ausgeführt wird, und verhindert seine Ausführung, falls er als verdächtig oder schädlich eingestuft wird. Des Weiteren wird Laufzeiterkennung zur Abwehr von Bedrohungen eingesetzt.
Erkennung vor Ausführung
1. Behavioral Genotype® Protection: Genotype Protection erkennt Varianten, Familien (z.B. Storm-Wurm) und umfangreiche Kategorien von Malware (wie verschlüsselte Malware) und schützt vor unbekannter Malware, indem Verhalten noch vor Ausführung von Code analysiert wird. Solche Überprüfungen werden durchgeführt, um die Funktionalität von Code und sein wahrscheinliches Verhalten festzustellen, und es wird verhindert, dass der Code ausgeführt werden kann. Unsere Threat Detection Engine erkennt Zero-Day-Bedrohungen, ohne dass Kennungsupdates oder separate HIPS-Software erforderlich sind.
2. Erkennung verdächtiger Dateien: Während Behavioral Genotype Protection nur schädliche Dateien erkennt, identifiziert die Erkennung verdächtiger Dateien auch Dateien, die höchst wahrscheinlich schädlich sind. Diese Erkennungsmethode stellt das Verhalten, das eine Datei bei ihrer Ausführung aufweisen würde, fest. Diese Erkennungsmethode bietet die Vorteile eines auf Laufzeitverhalten basierenden traditionellen Verfahrens, ohne jedoch die System-leistung zu beeinträchtigen und ohne die Sicherheitsprobleme, die mit dem Ausführen von Code vor einer Erkennung verbunden sind.
Laufzeiterkennung
3. Erkennung verdächtigen Verhaltens: Diese Erkennungsebene überwacht alle Systemprozesse auf Zeichen aktiver Malware, wie z.B. verdächtige Einträge in der Registrierung oder Dateikopiervorgänge. Der Administrator kann gewarnt bzw. der Prozess gesperrt werden. Im Gegensatz zu anderen verhaltensbasierten Erkennungssystemen muss der Administrator nicht geschult werden und es ist auch keine Einstellung der Analyse erforderlich, da dies von den SophosLabs übernommen wird.
4. Pufferüberlauferkennung: Wenn versucht wird, einen laufenden Prozess über Pufferüberlaufmethoden zu missbrauchen, wird ein Pufferüberlaufangriff gemeldet. Dieses Erkennungsverfahren wehrt Angriffe ab, die nicht nur auf Sicherheitslücken in Betriebssystemsoftware, sonden auch in Anwendungen gerichtet sind.