Malware-Abwehr mit Blacklists, Sandbox und Containern
Security-Insider: Comodo ist ursprünglich ein Aussteller von SSL-Zertifikaten, widmet sich seit Ende der 2000er Jahre aber auch dem aktiven Virenschutz. Wie hat sich Malware seitdem entwickelt?
Karl Hoffmeyer: „Sie vertrauen auch nicht blind jedem Menschen, den Sie auf der Straße treffen.“
Zu dieser Entwicklung gibt es aktuelle Zahlen: Das unabhängige Testinstitut der AV-Labs gab vor einigen Jahren bekannt, dass tagtäglich schätzungsweise rund 55.000 neue Malware-Bedrohungen auf die Menschheit losgelassen werden. Laut unseren eigenen Security-Labs sind es mittlerweile sogar 200.000 Malware-Varianten pro Tag.
Früher entdeckte man gelegentlich den ein oder anderen digitalen Schädling auf dem Rechner oder im Unternehmensnetzwerk. Heute muss ein Nutzer von vornherein davon ausgehen, dass sein System bereits infiziert ist. Hinzu kommen die Enthüllungen von Edward Snowden.
Seitdem verfestigte sich die Erkenntnis, dass ein herkömmliches Antiviren-Programm allein nicht mehr ausreicht, um Angreifer oder Späher abzuhalten. Die Methoden der Malware-Autoren und Hacker sind zu raffiniert geworden. Des Weiteren gibt es einen enormen Anstieg von Malware, die speziell auf mobile Endgeräte fokussiert ist.
Security-Insider: Inwiefern musste man beim Virenschutz und bei der Virenerkennung auf die Entwicklungen reagieren?
Hoffmeyer: Nun, wer auf diese Entwicklung nicht reagiert, der wird über kurz oder lang mit seiner Security-Strategie scheitern. Klassische Antivirus-Lösungen basieren rein auf Erkennungsmechanismen (Default-Allow-Architektur). Sie lassen einen Virus auf den Endpoint, um ihn dann zu erkennen und anschließend zu beseitigen. Auf unbekannte, unmittelbar auftretende Threats wie Zero-Day-Angriffe können diese Lösungen nicht reagieren.
Herkömmliche Antivirus-Scanner vergleichen jede Datei mit einer Signaturdatei von bekannten Viren auf einer sogenannten „Schwarzen Liste“ (Blacklist). Es ist verständlich, dass brandneue, tagesaktuelle Bedrohungen noch nicht auf diesen Listen vermerkt sind. Die Blacklists konventioneller Scan-Methoden müssten sekündlich aktualisiert werden, um Viren & Co. vom Netzwerk fernzuhalten. Dies ist jedoch nahezu unmöglich.
Security-Insider: An welcher Stelle sollte die Malware-Abwehr im Unternehmen im Idealfall beginnen?
Hoffmeyer: An erster Stelle steht, dass Malware gar nicht erst Endpoints wie PCs, Server, Notebooks etc. erreichen oder in Unternehmensnetzwerke eindringen kann. Zunächst sollte jeder Datei misstraut werden, Stichwort „Default Deny“, zu Deutsch „standardmäßige Ablehnung“.
Das klingt hart, aber Sie vertrauen auch nicht blind jedem Menschen, den Sie auf der Straße treffen, sondern schützen sich mit einem „gesunden Misstrauen“. Mit dem PC-Schutz ist es nicht anders. Denn Misstrauen bedeutet nicht, dass das „Gespräch“ mit der Datei nicht gesucht werden darf. Es sollte lediglich in einer für Sie sicheren Umgebung stattfinden.
Security-Insider: Deckt sich das mit dem, was die IT-Sicherheitsindustrie heute tatsächlich leisten kann?
Hoffmeyer: Sie könnte es, tut es jedoch nicht immer. Wir bei Comodo gehen aber einen anderen Weg und setzen nicht nur allein auf Erkennung mittels Blacklisting. Unsere Methode basiert vielmehr auf Prävention und Isolierung: Nur bekannte Dateien erhalten einen Zugriff auf das Netzwerk. Die erste Verteidigungsebene (line of defense) ist eine sogenannte Whitelist, die nur bekannt gutartige Dateien ausführt.
Bekannte bösartige Dateien werden direkt gestoppt; unbekannte Dateien übergeben wir automatisiert in eine virtuelle Betriebsumgebung. Wir sprechen hier von Automated Sandboxing. Hier kann der Nutzer ungefährdet mit der Datei arbeiten, selbst wenn sie infiziert ist. Erst zu dem Zeitpunkt, an dem die Datei zu 100 Prozent als sauber anerkannt wird, gewähren wir den Netzwerkzugriff. Diese Technologie bzw. Vorgehensweise nennen wir „Containment“.
Security-Insider: Wenn nun aber ein Mitarbeiter Malware versehentlich oder beabsichtigt ins Unternehmen einschleust, reagiert eine Antivirenlösung nicht mitunter zu spät?
Hoffmeyer: Viele Lösungen reagieren zu spät, richtig. Aber dies liegt schon in der Natur der Sache, da das Programm zunächst einmal von einer gutartigen Datei ausgeht. Mit der Desktop-Applikation SecureBox haben wir den Spieß umgedreht. Sie ermöglicht jederzeit die sichere Ausführung geschäftskritischer Anwendungen auf infizierten Systemen durch spezielle Kapselung, die wir Containerization nennen.
Hat ein Mitarbeiter aus Versehen Malware in das Unternehmensnetzwerk eingeschleust, erreicht die Schadsoftware das Netzwerk nie, da sie vor dem Eintritt als unbekannte, womöglich bedrohliche Datei gekapselt wurde. Unsere Anwendung überwacht permanent jeden Prozess und wehrt Manipulationen sowie ungewollte Datenabflüsse ab.
Security-Insider: Wie kann ich gewährleisten, dass der Datenverkehr nicht ausgespäht wird?
Indem Sie den Angreifer eine Umgebung ausspionieren lassen, die es eigentlich nicht gibt. Um sich gezielt gegen Ausspähungen zu schützen, können Unternehmen ihre sogenannten Business Critical-Data – also geschäftskritische Dateien – inklusive Applikationen allesamt „containerisieren“. In der Sicherheitskapsel sind die Dateien zu 100 Prozent immun gegen Angriffe, können aber trotzdem weiter ausgeführt werden.
Security-Insider: Nun bestehen Netzwerke ja nicht nur aus dem klassischen PC. Wo sollte ein Sicherheitsmechanismus also idealerweise etabliert werden? Oder lässt sich das so pauschal nicht sagen?
Hoffmeyer: Die Herausforderung ist, einen Sicherheitsmechanismus für das komplette Unternehmen zu etablieren und unterschiedlichste Bedrohungsszenarien abzuwehren. Wir haben dazu eine Appliance fürs Unified Threat Management (UTM) entwickelt, um digitale Bedrohungen z.B. von LAN- und Mobile-Usern sowie Servern effektiv fernzuhalten. Wir sichern nicht nur die Endpoints auf Netzwerkebene, sondern auch interne Geräte ab.
Die UTM-Appliance beinhaltet eine Firewall, ein Network IPS/IDS-System, eine Antivirus-Engine mit Echtzeit-Updates, VPN-Funktionalität, E-Mail-Protection und Anti-Spam, erweitertes Web Content Filtering, Hot Spot Security sowie Traffic Shaping – alles steuerbar über eine webbasierende Benutzeroberfläche. Somit lässt sich hier von einem 360-Grad-Rundumschutz für Netzwerke sprechen.
Quelle: Security-Insider / COMODO
^SysOP