Intelligente Bedrohungsanalyse
Der gute Ruf ist entscheidend
Die Sicherheitsanbieter haben ihre Pattern-basierten Ansätze um "In-the-Cloud"-Netzwerke ergänzt, die sich unter anderem auf Reputationsdienste und heuristische Analysen verlassen, um heutige Malware aufzuspüren. NSS Labs hat eine Reihe von Produkten auf die Wirksamkeit dieses Backends getestet.
Sicherheit lässt sich nicht allein mit Produkten erkaufen, das steht fest. Ob es sich bei den
fraglichen Produkten um Hardware oder Software handelt, spielt dabei keine Rolle. Sicherheit
braucht vielmehr ein individuell auf das Unternehmen angepasstes Konzept sowie geschulte und
engagierte Mitarbeiter – in dieses Konzept passende Produkte sind allerdings ebenfalls zwingend
notwendig. Aber nach welchen Kriterien soll eine Auswahl erfolgen? Betrachtet nur man zum Beispiel
die gängigsten Security-Lösungen, also etwa Firewall, Antivirensoftware und Anti-Spam-Software, so
wird sofort klar, dass ein reiner Featurevergleich nicht weiter führt. Der Wert eines Produkts
steckt im Security-Umfeld nicht allein in der gekauften Box, sondern im Aufwand, den der Hersteller
für Updates, Forschung und Entwicklung sowie Präsenz in der Szene treibt. In diesen Punkten gibt es
bei den Herstellern erhebliche Unterschiede.
Die Forscher des NSS Labs haben in ihrem Q3-Report von 2009 zehn so genannte
Endpoint-Security-Lösungen unter die Lupe genommen. Die Liste der untersuchten Produkte steht in
Tabelle 1 rechts. Nach Definition der NSS Labs gibt es drei Hauptaufgaben eines solchen Produkts:
Malware Protection, Intrusion Prevention und Firewall. Die Forscher betonen, dass ihre
Untersuchungsmethoden besser an die Realität angepasst sind als herkömmliche Tests. So seien etwa
Tests, die auf so genanten Wildlist-Proben beruhen wenig aussagekräftig. Die Auswahl der Malware im
Test müsse vielmehr der akuten Bedrohungslage im Internet entsprechen. Außerdem seien Tests, die
der Software keinen Zugang zum entsprechenden Backend des Herstellers – dem Reputation-System –
erlauben wenig hilfreich. Man nehme fortschrittlichen Lösungen damit die Chance, eines der
wesentlichen Leistungsmerkmale zu verwenden. Die Ergebnisse des NSS Labs beruhen auf einer
Untersuchung, die 17 Tage lang rund um die Uhr andauerte, eine Messung erfolgte alle acht Stunden.
Dies ergab rund 60 Testläufe, bei denen jedes Mal "frische" Malware-URLs eingespielt wurden. Jeder
Testkandidat war zu Beginn auf einem aktuelle Update-Stand und hatte während der gesamten Zeit die
Möglichkeit zum Internet-Zugriff.
In Tabelle 2 finden sich die besten vier Produkte des Tests mit den individuellen
Ergebnissen. Der Erkennungsfaktor beim Download gibt an, wie viel Malware gar nicht erst auf den
Client-Rechner gerät. Dies ist natürlich der beste Schutz. In der nächsten Spalte steht, welcher
Prozentsatz dann bei einer Ausführung gefunden wird. Spitzenreiter ist laut NSS Labs Trend -Micro
mit dem besten Download- und Ausführungsschutz von insgesamt 93,6 Prozent. Bei der Ausführung kann
der Drittplatzierte, Symantec, wieder Punkte gegenüber Trend Micro und Kaspersky gutmachen. Der
Vierte, McAfee, fiel den Forschern durch seine hohe Scangeschwindigkeit positiv auf. Für die ersten
Drei spricht das NSS Lab eine klare Empfehlung aus.
Netzwerk im Hintergrund
Was macht aber den Unterschied zwischen den einzelnen Sicherheitslösungen aus? Trend Micro
verweist dabei auf das hauseigene so genannte Smart Protection Network (SPN). Der Hersteller
kombiniert in dem Netzwerk von Cloud-basierenden Rechenzentren nach eigenen Angaben verschiedene
Ansätze zum Sammeln von Bedrohungsdaten: ein proaktives EMail-System, Web-Kommunikation,
Reputation-Technik, Web Crawler, Honeypots und ein weltweites Netz von "Sensoren" bei Kunden und
Partnern. Das SPN stützt sich bei den Schutzmaßnahmen auf Web, Mail- sowie File-Reputation. Zudem
existieren besondere Forschungsteams und Support-Zentren. Um möglichst zeitnah reagieren zu können,
sitzen die Experten in fünf um den Globus verteilten Zentren.
Ein besonders wichtiger Punkt ist die Korrelation der gewonnenen Ergebnisse. So mag eine
einzelne EMail für sich allein vielleicht harmlos erscheinen, im Kontext verschiedener anderer
Aktivitäten seitens der Angreifer kann sie durchaus relevant sein. So könnte ein Anwender
beispielsweise eine EMail von einem Absender erhalten, dessen IP-Adresse noch nicht als
Spam-Versender klassifiziert ist. In dieser Mail befindet sich eine URL, die ebenfalls noch nicht
als bösartig eingestuft ist. Bei einem Klick darauf drohen dann die bekannten Gefahren. Eine
Korrelation beider Ereignisse kann dabei schon für einen gewissen Schutz sorgen.
Hoher Aufwand beim Überwachen
Das Trend-Micro-Netzwerk untersucht nach eigenen Angaben täglich mehr als 5 Milliarden
EMails, URLs oder einzelnen Dateien. Aus den Honeypots und anderen "Sammelstellen" sind bislang 250
Millionen Samples zusammengekommen. Mit der erst letztes Jahr hinzu gekommenen
File-Reputation-Technik wollen die Spezialisten zwei Probleme lösen: die schiere Masse der immer
schneller erscheinenden Malware und die Begrenzungen durch reine Pattern-Checks auf der
Client-Seite. Riesige Signaturdateien würden die Clients nämlich regelmäßig in die Knie zwingen.
Der Schlüssel zum Erfolg liegt in einer möglichst aktuellen, korrelierten Datenbank mit
File-Reputation, die rund um die Uhr upgedatet wird – und in diesem Punkt glaubt man sich den
Konkurrenten deutlich überlegen. Die Unternehmenslösung umfasst auch einen lokalen Scan Server,
sodass die Anwender eine vollständige Kopie der Cloud innerhalb ihres Netzwerks haben. Clients
müssen nicht das Internet direkt abfragen, sondern ihren lokalen Scan Server, solange sie sich
innerhalb des Unternehmensnetzwerks befinden. Diese Möglichkeit der Echtzeitabfrage der globalen
Signaturdatenbank durch die Clients statt auf die Verteilung der Signaturen angewiesen zu sein,
hebt auch Gartner im "Magic Quadrant for Endpoint Protection Platforms" (2009) als Stärke des
Sicherheitsanbieters hervor. NSS Labs bescheinigt dem getesteten Office Scan Enterprise 10 zudem
eine einfache Bedienbarkeit und durchgehend "exzellenten Schutz".
Im Test von NSS Labs schnitt Kaspersky Internet Security 2010 mit 89 Prozent der geblockten
Gefahren am zweitbesten ab. Der Hersteller nutzt das Kaspersky Security Network (KSN) mit einer
Kombination aus Signaturen und heuristischen Malware-Erkennungsmethoden sowie
Anwendungs-Monitoringtechniken mit White- und Blacklists. Die Technik ist in den neuen Versionen
der Personal-Produkte enthalten und nutzt die Informationen über Angriffsversuche auf diese Systeme
(Nutzer müssen damit einverstanden sein). Die Daten werden automatisch gesammelt und an die
Kaspersky Lab Host Server geliefert, wo eine Analyse erfolgt und Schutzmaßnahmen gegen die neuen
Bedrohungen erstellt und verteilt werden. Die Entscheidung über die Sicherheit eines Programms
stützt sich auf das Vorhandensein einer digitalen Signatur und eine Reihe anderer Methoden wie
heuristische Analysen. Verdächtige Dateien wandern in das Urgent Detection System, während legitime
Dateien in der Datenbank der "White"-Anwendungen abgelegt sind. Startet ein Benutzer ein Programm,
so wird es in den beiden Datenbanken geprüft, und erst dann kann der Nutzer darauf zugreifen oder
nicht. Auch Kaspersky bietet ein 24-Stunden-Monitoring von Malware. Gartner empfiehlt die
Antivirus-Engine, wenn sie im Angebot der Mail- oder Gateway-Produkten anderer Hersteller ist.
Exploit Blocking
Symantecs Endpoint Protection 11 for Enterprise, das dritte von NSS Labs empfohlene Produkt,
nutzt in seinem Global Intelligence Network Techniken der Verhaltensanalyse sowie generisches
Exploit Blocking. Dabei handelt es sich um schwachstellenbezogene Signaturen, die nicht nur ein
bestimmtes Exploit identifizieren, sondern jedes, dass diese Schwachstelle nutzen will. Zwar hat
Symantec kürzlich seine neue "Reputation Engine" namens Quorum vorgestellt, die für jede zu
überprüfende Datei ein Reputationsprofil erstellt, ohne die betreffende Datei scannen zu müssen.
Faktoren wie Alter der Datei, digitale Signatur, Verbreitung und andere Attribute ergeben in der
Summe ein Profil, das sämtlichen Nutzern via der Cloud-basierenden Infrastruktur zur Verfügung
steht. Diese Technik gibt es jedoch nur in den Norton-Produkten im Consumer-Bereich und dann Ende
nächsten Jahres in der nächsten Version von Endpoint Protection 12.
Die Tester heben die "Geradlinigkeit" und einfache Bedienbarkeit der Managementkonsole des
Symantec-Produkts in der getesteten Version 11 hervor, von der aus die Agenten direkt auf die
Clients ausgerollt werden. Virusdefinitionen lassen sich aus dem Internet auch direkt auf die
Clients oder über ein zentrales Repository vom Management-Server laden. Die Konsole dient auch der
Implementierung auf dem Client von Firewall-Policies. Allerdings bezeichnen die
NSS-Labs-Spezialisten den Einsatz einer SQL-Server-Datenbank für die Verwaltung von
Antivirusdefinitionen als noch zu behebenden Mangel. Die Datenbank sei der ressourcenintensiv und
sei während der Tests auf den Clients mehrmals abgestürzt. Damit wurden auch keine
Nutzerbenachrichtigungen auf den Client-Maschinen generiert. Die Tester geben allerdings zu, dass
die Tests sehr abfrageintensiv waren, was in der Realität lediglich in sehr großen Unternehmen
vorkommt.
Elisabeth Maller ist freie Autorin in München.
Lesen Sie mehr zum Thema
