Manche Web-Malware verändert alle fünf Minuten ihr Aussehen
Cloud-Funktionen für die zentralisierte Virenabwehr
Auch in seiner Mittelstands-Suite Worry Free Business Security hat Trend Micro nun die aktuellsten Cloud-Funktionen seines Smart-Protection-Networks eingebaut. Kaspersky setzt ebenfalls auf zentralisierte Virenjagd. Dennoch hilft letztlich nur ein Mix an unterschiedlichen Abwehrmechanismen weiter, sind sich die Hersteller einig.
"Cloud-basierte Security haben wir in Form von Email-Reputations-Datenbanken, beispielsweise zu
bekannten Spam-Absendern, schon seit etwa vier Jahren", berichtet Trend Micros Senior Security
Spezialist Rainer Link. "Und nachdem viele der Bedrohungen ins Web gewandert sind, haben wir dies
um einen Web-Reputations-Service vor drei Jahren erweitert. Nun prüfen wir bei den
Worry-Free-Produkten zusätzlich über den neuen File-Reputation-Service auch auf Dateiebene, ob
diese Datei bereits als gefährlich oder verdächtig bekannt ist."
Alle Produkte agieren dabei als Sensoren, die ihre Erkenntnisse über verdächtiges Verhalten oder
Programme an die Trend-Micro-Zentrale melden. Smart Feedback nennt das der Security-Hersteller.
Dazu zählen neben Antivirenscannern auch Firewall- und Behaviour-Blocker-Komponenten oder
Web-Security-Gateways, die bei der Analyse des Internet-Datenstroms fest stellen, dass eine Seite
etwa mit bösartigen Iframes verseucht ist.
Gerade bei web-basierten Bedrohungen sei es zuweilen ohnehin kaum noch möglich, mit klassischen
Signaturansätzen nachzuziehen, so Link: "Manche Web-Malware verändert alle fünf Minuten ihr
Aussehen. Da ist es besser, gleich die ganze Web-Seite zu blocken."
Die entsprechenden Informationen über Gefahren transportiert Trend Micro aber nicht mehr an
jeden einzelnen PC. Diese werden zentral vorgehalten, entweder im öffentlichen Internet (also der
Cloud) oder auf speziellen Scan-Servern im Intranet. 80 Prozent der Erkennungstechnik würden
dadurch vom PC verlagert und nur bei Bedarf abgefragt, wirbt Trend Micro.
"Gerade in Unternehmensnetzwerken ist die ständige Signaturverteilung an alle PCs nicht mehr
effektiv", sagt Link. Er räumt aber ein: "Wichtig bleibt die klassische signaturbasierte Erkennung
und Heuristik als Basisschutz dennoch, denn wenn ein PC keinen Zugang zum Firmennetz oder zum
Internet hat, versagt natürlich der Cloud-Schutz."
Gartner rät Antivirenanbietern zudem, den Whitelist-Ansatz zu verstärken, der nur noch bekannt
gutartige Programme ablaufen lässt. McAfee hat sich hier aktuell mit dem Spezialisten Solidcore
verstärkt.
Auch Trend Micro verfolgt in seinen Firmenprodukten Officescan und der Mittelstands-Suite Worry
Free Business Security einen Whitelisting-Ansatz, berichtet Link – zumindest in abgespeckter Form.
So werden alle Windows- und Office-Dateien als bekannt gutartig geführt. "Aber allein das aktuell
zu halten, ist bei all den Sprachen und Patch-Levels schon ein großer Aufwand", stöhnt Link. Stück
für Stück baue man aber trotzdem die Datenbank der als gutartig bekannten Programme aus.
"Letztlich ist das eine philosophische Frage, die schon seit Jahren diskutiert wird", sagt Link.
"Ist es schwieriger all die Millionen von Malware zu erkennen oder ein Whitelisting für alle
gutartigen Programme zu führen? Wieviel gutartige Programme gibt es überhaupt auf der Welt?"
Er plädiert ohnehin dafür, nicht einen allein selig machenden Schutzansatz zu propagieren,
sondern viele unterschiedliche Techniken einzusetzen, die untereinander vernetzt sind und sich
ergänzen, um einen möglichst hohen Schutz-Level zu erreichen: "Über die Cloud, also das Internet,
sammeln wir alle relevanten Informationen und erstellen entsprechende Regeln."
Allein ist Trend Micro mit einem solchen Cloud-Ansatz jedoch nicht: Laut Gartner verlagern auch
andere Anbieter wie McAfee oder F-Secure Anfragen und Funktionen in zentralisierte
Master-Datenbanken in der Cloud. Kaspersky verfolg tebenfalls ein solches Konzept: "Wir haben mit
der Kaspersky-Security-Network-Technik schon lange vor Trend Micro ein solches Konzept aufgesetzt",
betont etwa Kasperskys Cheftechnologe Nikolay Grebennikov. In dieser zentralen Datenbank werden
ebenfalls nicht nur Signaturen bekannter Viren gesammelt, sondern auch Whitelisting-Einträge als
gutartig bestätigter Programme.
Zudem treibt Grebennikov die verhaltensbasierte Analyse an. Für ein neues Heuristik-Verfahren
hat Kaspersky in den USA gerade eben einen Patentantrag gestellt: "Diese Heuristik kombiniert eine
statische Untersuchung der potenziellen Malware mit einer dynamische Analyse in einem Emulator",
erläutert Grebennikov die Besonderheit. "Daraus wird dann ein Security-Rating erstellt, das das
Risiko der potenziellen Schadsoftware einordnet." In der emulierten Umgebung untersucht der
Kaspersky-Scanner neue Anwendungen sowie ausführbare Dateien. Zudem gebe es einen Script-Emulator,
so Grebennikov.
Kann eine Datei nicht zweifelsfrei als Virus erkannt werden, kontaktiert die PC-Software die
Cloud-Datenbank: "Diese wird ständig mit aktuellen Regeln und Charakteristika befüllt". Da aber
auch eine Heuristik nicht alle Schädlinge wirklich hundertprozentig erkennt, seien zudem
Verhaltensblocker wie Host-Intrusion-Prevention-Systeme (HIPS) wichtig, die verbotene Aktionen –
wie etwa das Aufzeichnen von Tastaturanschlägen via Keylogging – in jedem Fall unterbinden.
"Zumal die Herausforderungen nicht geringer werden", so der Kaspersky-Experte: "Wir kennen
einige Cyber-Banden, die wirklich schlaue Burschen beschäftigen." Entsprechend habe man mit
ausgefeilten Rootkit-Tarntechniken ebenso zu kämpfen wie mit Malware, die über
Selbstverteidungsmechanismen sogar die Security-Software angreift.
Armin Barnitzke/dp
Lesen Sie mehr zum Thema
