Unter dem Codenamen »Quorum« hat Symantec ein reputationsgestütztes IT-Sicherheitskonzept entwickelt. Die Technik, die unter anderem in 2010-Version von Norton integriert ist, nutzt die Rückmeldung von ausgewählten Usern und Softwarefachleuten, um Malware zu identifizieren.

Immer mehr Anbieter von IT-Sicherheitssoftware und –Services setzen auf reputationsgestützte Verfahren. Dazu gehören Softwarehersteller wie McAfee oder Trend Micro, aber auch Anbieter von Messaging-Security-Services wie Cloudmark, Eleven oder Message Labs.

Nun hat auch Symantec mit »Quorum« ein reputationsbasiertes Verfahren entwickelt. Die ersten Produkte, die darauf zurückgreifen, sind die 2010er Versionen der Norton-Sicherheitssoftware-Pakete, also Norton Antivirus 2010 und Norton Internet Security 2010.

Quorum sammelt Daten aus mehreren Informationsquellen. Dazu gehören zehn Millionen Mitglieder der »Community Watch« von Symantec. Ihr gehören »normale« Nutzer von Symantec-Produkten an, außerdem Software-Spezialisten und Unternehmen. Die Daten werden laut Symantec anonymisiert und anschließend ausgewertet.

Profile von Files werden erstellt

Auf diese Weise werden von allen Dateien, die Community-Watch-Mitgliedern nutzen, Profile erstellt. Das gilt beispielsweise für alle ausführbaren Programm-Files (.exe, .com), die auf Rechnern der Community im Einsatz sind. Taucht dann eine Datei auf, etwa winword.exe, deren Profil anders aussieht, liegt der Verdacht nahe, dass Angreifer diesen File manipuliert haben.

Hat die Datei einen »schlechten« Ruf, wird sie automatisch blockiert. Der Nutzer kann sich anschließend Details zu dem File anzeigen lassen. Um das Reputationsprofil zu erstellen, werden mehrere Daten herangezogen: das Alter des Files, seine Verbreitung, eventuell vorhandene digitale Signaturen et cetera.

Der Vorteil von Verfahren, die nicht nur Malware-Signaturen, sondern auch Reputationsinformationen nutzen, besteht darin, dass sie auch Variationen von Schadprogrammen aufspüren. Cyberkriminelle gehen verstärkt dazu über, Anti-Malware-Programme auszutricksen, indem sie einen Schädling in einer Unzahl von Varianten »produzieren«.

Neue Malware-Varianten vom Fließband

Dieser Vorgang lässt sich weitgehend automatisieren. Damit stehen klassische Anti-Viren Produkte vor dem Problem, dass sie ständig neue Signaturen »nachschieben« müssen, um die unterschiedlichen Versionen derselben Schadsoftware abzufangen.

Das ist auf Dauer nicht zu schaffen. So hat Symantec nach eigenen Angaben im vergangenen Jahr rund 120 Millionen Varianten von Schadsoftware identifiziert. Reichten vor zehn Jahren noch fünf neue Virensignaturen pro Tag aus, um einen Rechner abzusichern, sind es heute mehrere Tausend.

Quorum ersetzt allerdings nicht konventionelle Verfahren wie die verhaltensbasierte Erkennung von Schädlingen, heuristische Techniken oder die klassischen Virensignaturen. Die Technologie dient als Ergänzung.

Tipp: Kostenloses Webinar zu Computerkriminalität

Noch ein Hinweis: Message Labs, eine Tochter von Symantec, veranstaltet am Donnerstag, den 29. September, von 11 bis 12 Uhr zusammen mit Network Computing ein kostenloses Live-Webinar zum Thema Bedrohungen für Firmennetze durch Cyberkriminelle und entsprechende Schutzmaßnahmen.

Im Rahmen der Veranstaltung gehen Experten von Message Labs auf aktuelle Bedrohungen ein und erläutern, wie sich Unternehmen vor Computerkriminalität schützen können. Dass die Lage ernst ist, bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In seinem aktuellen Lagebericht zur IT-Sicherheit 2009 stellt das BSI fest, dass vor allem Unternehmen ihre Sicherheitsstandards ständig auf neue Web-Bedrohungen hin überprüfen müssen, etwa das Hacken ihrer Web-Sites oder gezielte Angriffe auf einzelne Firmenrechner mit wichtigen Informationen durch Profi-Hacker. Aber auch klassische Verfahren, wie Spam, Viren oder Trojaner, richten massiven Schaden an.

Weitere Informationen und die Anmeldung kostenlosen Webinar finden Interessenten auf dieser Web-Seite.