Gastbeitrag: Aufgeblähte und fehlerhafte Antimalware-Produkte halten nicht das, was sie versprechen
Virenscanner sind ein Rudel zahnloser Tiger
Client-Systeme bilden eine entscheidende Schwachstelle in der Unternehmenssicherheit. Schuld daran sind unter anderem veraltete Antimalware-Tools, die den heutigen Bedrohungen nicht mehr gewachsen sind. Denn die meisten Anwendungen gegen Malware arbeiten mit Signaturdateien. Diese Herangehensweise macht viele Tools obsolet, weil sie zu viel Zeit benötigen, um neue Bedrohungen zu erkennen.
Dies erklärt in seinem Gastbeitrag Chris Schwartzbauer, Vice President von Shavlik
Technologies.
Zahlreiche Unternehmen bieten derzeit Antimalware-Lösungen an. Darunter finden sich sogenannte
Antivirus-, Antispyware- und Antirootkit-Tools Trotz der scheinbar großen Vielfalt arbeiten die
meisten Tools nach denselben Suchkriterien, sodass sie meistens auch folgerichtig dieselben
Bedrohungen identifizieren. Aus diesem Grund kann der Qualitätsunterschied zwischen den
verschiedenen Tools nicht in dem, was sie tun, sondern in dem, wie sie es tun liegen.
Dabei kommt es vor allem auf die folgenden Aspekte an:
Ressourcenverbrauch: Wie stark werden die CPU und das RAM beansprucht?
Speicherplatz auf der Harddisk: Wie groß ist die .dat-Datei oder die Signatur?
Umgebungsvoraussetzungen: Welche Umgebung wird für die Installation des Programms oder der
Agenten vorausgesetzt? Wie viele Agenten werden benötigt?
Scangeschwindigkeit
Stabilität und Effektivität
Auf dem Markt gibt es seit Jahren aufgeblähte und fehlerhafte Antimalware-Produkte, die nicht
das halten, was sie versprechen. Das kommt daher, dass die Anwendungen nicht unter der Prämisse,
eine schlanke und effiziente Client-Security-Lösung zu schaffen, produziert worden sind, sondern
aus veralteten Teilen früherer Lösungen zusammengeschustert werden.
http://llschnuerer.cmpdm.de//articles/2009005/www.lanline.de/kn31931068">Gefahr 2.0: Virenschutz und Firewalls reichen
nicht aus
http://llschnuerer.cmpdm.de//articles/2009005/www.lanline.de/kn31930232">Websense präsentiert
Secure-Web-Gateway-Appliance
http://llschnuerer.cmpdm.de//articles/vom_leck_zum_ventil:/2009003/31856877_ha_LL.html?thes=">Data Leakage
Prevention in Unternehmen: Vom Leck zum Ventil
http://llschnuerer.cmpdm.de//articles/die_sicherheit_in_der_hand_des_anwenders:/2009003/31857062_ha_LL.html?thes=">Die
Sicherheit in der Hand des Anwenders
Malware-Flut: Trend Micro verlagert Virenjagd in die Cloud
Bot-Netz: Russen-Bande rekrutiert riesige Zombie-Armee
Die meisten Anwendungen gegen Malware, die es momentan auf dem Markt gibt, arbeiten mit
Signaturdateien. Diese Herangehensweise macht viele Tools obsolet, weil sie zu viel Zeit benötigen,
um neue Bedrohungen zu erkennen. Gefahren können überall im Netzwerk plötzlich auftauchen, so dass
die Zeit zum Updaten und Verteilen von neuen Signaturdateien an alle Clients nicht gegeben ist.
Wenn Tools nicht in der Lage sind, diejenigen Bedrohungen zu identifizieren, deren Signatur sie
noch nicht kennen, bleibt nicht ausreichend Reaktionszeit, und die Sicherheit kann nicht
gewährleistet werden.
Ein weiteres Problem ist, dass durch die zahlreichen neuen Bedrohungen, die teilweise täglich
registriert werden, die Signaturenliste der Antimalware-Tools rasend wächst. Eine solche Liste kann
zwischen fünfhunderttausend und einer Million verschiedener Signaturen enthalten, was aber nicht
bedeutet, dass es eine Million bekannte und registrierte Bedrohungen gibt. Vielmehr gibt es viele
verschiedene Varianten einer und derselben Bedrohung, die jedoch nur durch spezifische Signaturen
bekämpft werden können.
Hacker wissen natürlich, wie die Antimalware-Tools funktionieren und schreiben polymorphe Codes,
so dass sich Schadcodes verändern und so nicht mehr in den Signaturlisten auftauchen. Das bedeutet,
dass Sie unentdeckt bleiben, bis die Liste mit den neuen Signaturen upgedatet wird, und das kann
dauern. Allein auf die Blockierung von Signaturen als Strategie, bedeutet also, Risiken in Kauf zu
nehmen.
Hinzu kommt, dass neben dem Programmieren polymorpher Codes, Hacker ihre Malware immer häufiger
tarnen, so dass eine Unterscheidung in den klassischen Bedrohungskategorien für die meisten Tools
unmöglich wird. So kann es passieren, dass beispielsweise ein Virus, der als Wurm getarnt ist, von
der Antivirus-Software nicht erkannt wird.
Malware bleibt in vielen Fällen auch nicht mehr ausschließlich in einer Datei eingenistet,
sondern unterwandert viele Dateien und treibt so die Infektion des Systems immer weiter voran. Das
lenkt die Aufmerksamkeit auf ein weiteres Problem: Viele Tools weisen keine umfassenden
Abwehrmaßnahmen vor. Sie beenden den Job nachdem sie eine Infizierung lokalisiert und eliminiert
haben.
Dabei ist es genau so wichtig, auch alle Spuren und Rückstände, die eine Infizierung
hinterlässt, zu beseitigen. Häufig sind es gerade diese Rückstände in Registry Keys, Browser
Objekten, DNS-Entries und gelöschten Dateien, die weiterhin das System kompromittieren, so dass es
zu Performanceschwund kommt.
Aufgrund der Tatsache, dass die meisten Antimalware-Lösungen auf veralteten Konzepten basieren
und so die aktuellen Bedrohungen unserer Zeit nicht bekämpfen können, lässt sie wie ein Rudel
zahnloser Tiger aussehen. Um den aktuellen Anforderungen zu entsprechen und so die Client-Security
garantieren zu können, müssen Abwehr-Tools folgende Funktionen bieten:
Detailgenauen Signaturvergleich
Heuristik (Mustervergleich)
Verhaltensvergleich
Whitelisting und Blacklisting
Die besten verfügbaren Antimalware-Tools allein einzusetzen, reicht aber immer noch nicht aus.
Diese Strategie wäre einzig und allein aufs Reagieren beschränkt. Bedrohungen sollten aber nicht
nur reaktiv beseitigt, sondern auch proaktiv abgewendet werden. Daraus folgt, dass erst Patch- und
Konfigurationsmanagement-Tools im Zusammenspiel mit Antimalware-Tools eine Sicherheitsstrategie
vollständig umsetzen.
Sowohl menschliches Fehlverhalten als auch Fehler in System-Updates machen es notwendig, dass
die Konfigurationseinstellungen der Systeme regelmäßig überprüft und wenn notwendig in den
policy-konformen Zustand zurückgesetzt werden. Unternehmen sollten daher ihre Sicherheitsstrategie
überprüfen und bei Bedarf anpassen. Die eingesetzten Tools müssen dabei die Strategie ganzheitlich
und effektiv umsetzen können.
Chris Schwartzbauer, Vice President, Shavlik Technologies/CZ
Lesen Sie mehr zum Thema
