Über die Verhaltensüberwachung

Sophos Endpoint Security and Control

Über die Verhaltensüberwachung

Die Verhaltensüberwachung von Sophos schützt Windows-Computer im Rahmen von On-Access-Scans vor unbekannten und Zero-Day-Threats sowie verdächtigem Verhalten.

Laufzeiterkennung stoppt Threats, die vor der Ausführung nicht erkannt werden können. Die Verhaltensanalyse stoppt Threats anhand der folgenden Erkennungsmethoden in der Laufzeit:
  • Erkennung schädlichen und verdächtigen Verhaltens
  • Pufferüberlauf-Erkennung

Erkennung schädlichen und verdächtigen Verhaltens

Die Erkennung verdächtigen Verhaltens führt mit Hilfe von Sophos HIPS (Host Intrusion Prevention System) eine dynamische Verhaltensanalyse aller auf dem Computer ausgeführten Programme durch, um Aktivitäten zu erkennen und zu sperren, die wahrscheinlich schädlich sind. Zu verdächtigem Verhalten zählen beispielsweise Änderungen an der Registrierung, die das automatische Ausführen eines Virus zulassen, wenn der Computer neu gestartet wird.

Mit der Option zur Erkennung verdächtigen Verhaltens werden sämtliche Systemprozesse auf aktive Malware hin überwacht. Dabei wird etwa auf verdächtige Schreibvorgänge in der Registrierung oder das Kopieren von Dateien geachtet. Der Administrator kann sich über solches Verhalten benachrichtigen lassen, und/oder die verdächtigen Prozesse können automatisch blockiert werden.

Die Erkennung schädlichen Verhaltens ist die dynamische Analyse aller Programme, die auf einem Computer laufen, um potenziell schädliche Aktivitäten zu erkennen und zu sperren.

Pufferüberlauf-Erkennung

Die Pufferüberlauf-Erkennung ist vor allem im Umgang mit Zero-Day-Exploits wichtig.

Dabei wird eine dynamische Verhaltensanalyse aller ausgeführten Programme durchgeführt, um Pufferüberlauf-Attacken auf laufende Prozesse zu erkennen. Es werden Angriffe entdeckt, die auf Sicherheitslücken in Software und Betriebssystemen abzielen.