Klargör ett antivirusmoln

Efter Immunets lansering i augusti ställde rivaliserande antivirusföretag snabbt frågor om företagets anspråk på att leverera en molnantivirustjänst.





Immunets vd Oliver Friedrichs gick med på att svara på några frågor om företaget, dess verksamhet och den teknik som används för att upptäcka skadlig programvara.

Vad är din definition av en molnantiviruslösning?

En ren moln-antiviruslösning förlitar sig på en detekteringsuppsättning som finns på internetservrar eller i molnet. En lättviktig skrivbordsagent används för att fråga efter denna detekteringsuppsättning när nya filer installeras på din dator eller när du utför en genomsökning av program som körs. Traditionella antivirusprodukter lagrar denna detekteringsuppsättning lokalt, och på senare år har databasen vuxit till att använda allt från 50 till 100 megabyte extra lagringsutrymme. Immunet Protect är en ren molnbaserad produkt eftersom våra upptäckter lagras på Internet av Immunet och nås på begäran vid behov.



Vilka är fördelarna med moln AV?

En moln-AV-produkt är mycket annorlunda än en traditionell antivirusprodukt, och den kräver omarkitektur av alla komponenter i AV-produkterna. Det flyttar de faktiska upptäckterna till molnet. Följande är vad vi tror är bara några av fördelarna:

  • Det minskar publiceringsfördröjningen till noll
    Hot idag är mycket kortlivade, och när du får upptäckter från din traditionella AV-leverantör har själva hotet i stort sett dött ut. Ännu värre, de upptäckter som du får – från 10 000 till 40 000 per dag – är i stort sett irrelevanta för dig. Chansen att du stöter på ens ett av dessa hot en viss dag är väldigt, väldigt låg. Ditt system frågar molnet för att avgöra om något är skadligt, och det tar i genomsnitt 200 ms, ungefär 1/5 av en sekund, för att få ett svar.
  • Det kräver mindre resurser från användarnas datorer
    Cloud AV minskar fotavtrycket på disken, minnesanvändning, CPU som krävs för att uppdatera din dator och bandbreddskostnader.
  • Det möjliggör ett bredare skydd
    Eftersom molnet kan växa på ett i stort sett obegränsat sätt, är det möjligt att vara mycket mer liberal när det gäller vad du lägger i molnet. Det möjliggör svartlistning, vitlistning och till och med aggressiv detektering av endast rapporter ganska enkelt. Det ger en antivirusleverantör mycket mer flexibilitet när det gäller att skydda slutanvändaren.
  • Det möjliggör snabbare innovation
    Det är mycket lättare för ett företag som är molnbaserat att förnya och finjustera sin detekteringslogik. I de flesta fall kräver detta inte att företagets användarbas installerar uppdateringar. Detta är en stor fördel och påverkar direkt skyddet som ges till slutanvändare.
  • Det möjliggör omedelbar lösning av falska positiva
    Falska positiva resultat – när ett legitimt program flaggas som ett hot – fortsätter att plåga AV-branschen, och de är omöjliga att helt eliminera. Med en molnbaserad modell kan du dock ta bort en felaktig upptäckt omedelbart, så fort du börjar se personer i fältet återställa filer som har satts i felaktigt karantän. Immunet Protect gör detta och vi kan lösa falska positiva resultat genom att övervaka återställningar på fältet.

Skadlig programvara som packas på olika sätt för att undvika antivirus är ett stort problem just nu. Vi kommer sannolikt att se fullspäckade program som kommer att kräva miljontals signaturer för att fånga. Hur löser cloud AV detta problem?



Cloud AV kan hantera packade, metamorfa och polymorfa hot genom användning av domänspecifika generiska signaturer som kommer att upptäcka familjer och varianter av dessa hot. Utvecklingen av sådana signaturformat är nyckeln till den framtida framgången för molnbaserat antivirus, och Immunet är starkt fokuserat på detta område.

Immunet har tidigare sagt att man har bestämt sig för att inte använda detektering av andra antiviruslösningar i sina ingångar för att avgöra om ett program är skadligt eller inte. Kan du förklara det?

Låt mig förtydliga ett uttalande som jag gjorde tidigare om vad vi gör när vi kör tillsammans med en annan antivirusprodukt. Immunet Protect ser när andra säkerhetsprodukter upptäcker eller blockerar hot. Det är ganska enkelt att göra detta utan att störa eller manipulera andra produkter på något sätt. Närmare bestämt ser vi hot som användaren har fått i någon form anlända till sin dator och får karantän. Denna information skickas upp till Immunet; ungefär som SANS DShield och Symantec DeepSight fungerar för intrångshändelser. Vi spårar denna information för rapporteringsändamål och avgör fortfarande om denna information kan användas direkt för att generera upptäckter eller inte.



Dölj