25.10.2006 | Autor / Redakteur: Joel Snyder / Peter Schmitz
Viren, Würmer und trojanische Pferde stellen eine konstante Bedrohung für Unternehmensnetzwerke dar. Malware ist als eine eigene Kategorie nicht nur zu einer der größten Bedrohungen für die Netzwerksicherheit geworden, sondern auch zu einem Bereich, das durch die bestehenden Abwehrmechanismen, am besten geschützt ist. Während die Debatten über den Nützlichkeit und die Angemessenheit von Technologien, wie Intrusion Prevention und Inhaltsfiltern weitergehen, scheint niemand gegen die Prämisse zu sein, dass jedes Netzwerk eine starke Antivirus-Strategie braucht.
Weil der Grad der Bedrohung und das Risiko von Malware hoch sind, haben sich Unternehmen und Software-Hersteller zusätzliche Mittel neben den traditionellen Virenscannern gesucht, um das Risiko zu minimieren.
Die vielversprechendesten neuen Anti-Malwaren Technologien sind auf dem Leumund-basierte Systeme, sowohl für Spam als auch für Viren. Als ein Perimeter-Tool, werden auf dem Leumund-basierente Systeme schnell zur Norm von der IP-Ebene bis hin zur Anwendungsschicht in vielen Produkten geworden. Dennoch sollten sich Netzwerkmanager eine Vielfalt von alternativen Techniken ansehen, angefangen beim Low-Tech-Fitern der Anhänge, bis hin zu innovativen In-Line und heuristisch basierenden Anti-Virus Systemen.
Antivirus ist eine der ältesten Technologien, die wir zur Perimeter Intrusion Abwehr haben. Am Rande des Netzwerks wird die klassische Anti-Virus-Technologie normalerweise in bestimmte E-Mail-Sicherheitsgeräte integriert, die dafür entworfen wurden, eingehende (und manchmal auch ausgehende) E-Mails nach Malware zu scannen. Das ist ein aktiver und voller Markt, mit buchstäblich hunderten Produkten, die als E-Mail-Schutz fungieren.
Wenn eine unkontrollierte Malwareinfektion auftritt, kann das Risiko für das Netzwerk enorm sein. Obwohl wir in der letzten Zeit keine katastrophalen Viren gesehen haben, sind sich viele Sicherheitsmanager noch des Chaos bewußt, das Würmer wie Code Red, SoBig und Sasser angerichtet haben.
Als eine weitere Sicherheitsmaßnahme führen manche Unternehmen auch in-line Antivirusscans durch. Inline-Antivirusscanner sind normalerweise in Firewalls integriert und prüfen nicht nur den eingehenden und ausgehenden SMTP Verkehr, sondern auch anderen Postprotokollen (POP und IMAP), Webverkehr (http) und oft auch Datentransfers von FTP. Während Inline-Antivirusscanner nicht so anpassungsfähig und zuverlässig sind wie allein stehende Antiviren-Lösungen, können sie einen großen Prozentsatz des Virenverkehrs abfangen und eine wertvolle Ergänzung sowohl zu Desktop als auch auf dem Server basierenden Anwendungen sein.
Die Gefahr bei Inline-Antivirus besteht darin, dass es wesentlich schwerer ist, antivirale Kontrollen von Paketen, die durch ein Kabel laufen, durchzuführen, als an Daten, die am Schreibtisch eines Endbenutzers ankommen. Wenn ein Endbenutzer zum Beispiel eine SSL-Verbindung benutzt, um seinen Yahoo-E-Mail-Account zu lesen, sind die Pakete verschlüsselt – und der Inline-Virusscanner kann sie nicht sehen. Selbst wenn Sie keine verschlüsselte Verbindung benutzen, variiert die Art, wie Webmaildienste Anhänge transportieren von Anbieter zu Anbieter und ein Antivirusscanner muß in der Lage sein, die Daten so wie der Benutzer sie sieht, zu rekonstruieren. Das kann besondere anwendungsspezifische Intelligenz für beliebte Webmaildienste bedeuten und das Risiko, dass ein neuer Webmaildienst oder neues Gateway von morgen nicht richtig gescannt wird.
Inline-Scanner werden auch behindert, da sie nur Verkehr untersuchen können, den sie verstehen, in Protokollen, die sie erwarten. Während Sie oft annehmen können, dass der Webverkehr über TCP port 80 und SMTP über TCP port 25 läuft, sind diese Annahmen oft nur unzuverlässige erste Schätzungen, vor allem wenn der Benutzer oder die Software ein listigeres herangehen versuchen. Ein Inline-Antivirusscanner könnte theoretisch den ganzen Verkehr über alle Ports beobachten. Jedoch machen es leistungsbedingte Faktoren nur für die langsamsten und kleinsten Netzwerke umsetzbar. Die meisten auf dem Unified Threat Management (UTM) basierte Antivirusprodukte bieten diese Möglichkeit wegen der Leistungskosten nicht einmal an. Eine einfache Checkbox, die „ scanne alle Ports“ ermöglicht und die Firewall in die Knie zwingt ist eine gefährliche Option.
Die meisten inline netzwerk-basierten Intrusion Prevention System (IPS) schließen einige Antivirusfähigkeiten ein. Kein IPS wirbt für dafür eine komplette Antivirus Lösung zu enthalten, aber einige der schlimmsten Malware kann von einem IPS aufgespürt werden.
IPS sind viel besser darin, Malware während der Verbreitung zu fangen, nachdem sie bereits Ihr Netzwerk infiziert haben. Fast jede Malware, die sich aktive verbreitet, kann an ihrem Verhalten aufgespürt werden. Zum Beispiel könnte ein mit Malware infizierter PC plötzlich beginnen, zufällige Verbindungen zu Mailservern herzustellen (anstatt den gemeinsamen Server zu benutzen). Oder der Rechner könnte versuchen sich mit Hunderten oder Tausenden von Datenservern im gemeinsamen Netzwerk zu verbinden. Diese Art der Verbreitung kann von den meisten IPS-Technologien leicht festgestellt werden und Sie werden feststellen, das IPS die Fähigkeit haben, weitere Malware-Verbreitung allein basierend auf den Anomalien im Verhalten zu sperren.
Wenn Sie sich mit Inline-Anti-Malware-Technologie beschäftigen, sind hier einige Richtlinien, die Ihnen helfen werden, die beste Lösung auszuwählen und zu konfigurieren:
1. Da eine Inline-Anti-Malware keine totale Kontrolle über die Clients/Server-Kommunikation, die sie abfängt, hat, kann die Mitteilung, dass eine Policy-Verletzung stattgefunden hat, undeutlich sein. Seien Sie sicher, dass Sie für jeden Weg, den sie abzufangen planen, genau verstehen, was ein Endbenutzer sehen wird und wie der Web- oder Mail-Client reagieren wird, wenn die Inline-Anti-Malware ausgelöst wird. Dieses Wissen wird ein wichtiger Bestandteil Ihres Sicherheitstrainings für Endbenutzer sein, genauso wie für den Help-Desk beim lösen von seltsamem Verhalten bei Systemen von Clients.
2. Inline-Anti-Malware kann sowohl eingehenden als auch ausgehenden Verkehr kontrollieren. Während es gut ist, Infektionen vorzubeugen, ist es auch gut zu wissen wer infiziert worden ist. Diesen Alarm aktiv zu erwidern wird helfen, Infektionen einzudämmen und Endbenutzern dabei behilflich zu sein, zu verstehen, was sie getan haben könnten, um dieses Problem zu verursachen.
Während Malware nicht ausschließlich über E-Mails eindringen, bedeutet die Benutzung von E-Mails als bevorzugte Infektionsvektoren, dass E-Mail-Kontrollen eine grundlegende Perimeterverteidigung gegen eingehende Malware sind.
Das Problem mit Antivirus-Scannern für E-Mails ist, dass es immer zu einer Verzögerung kommt zwischen der Zeit, in der ein Virus geschaffen wurde und der Zeit, in der ein Virenscanner die passende Signatur hat, um den Virus abzufangen. Natürlich können viele virale Varianten und polymorphe Viren von bereits existierenden Signaturen abgefangen werden, aber es wird immer neue Versionen von Viren geben, für die Scanner neue Signaturen benötigen oder noch schlimmer, Veränderungen im Scanner, um sie zu fangen.
Malware zu finden, bevor eine endgültige Signatur zur Verfügung steht, ist das Ziel eines jeden guten Sicherheitsprogramms und Netzwerkmanager haben sich nach einer Vielzahl von Techniken umgeschaut, um diesem Ziel näher zu kommen.
Eine Low-Tech, aber überraschend effektive Technik war es bis jetzt, einfach viele Arten von Anhängen in E-Mails zu sperren (technische MIME body parts). Die Logik ist ziemlich einfach: die meisten Leute in Unternehmen teilen sich eine Teilmenge aus der Welt der Dateiarten, meistens Microsoft Office Dokumente, Text Dateien und Adobe PDF formattierte Dateien. Bevor Sie jemandem im Unternehmen erlauben, irgendwas von der Außenwelt entgegen zu nehmen, haben Netzwerkmanager Filterpolicies eingerichtet, um entweder nur speziellen Arten von Anhängen zu erlauben oder um einige der Arten, die als Infektionsvektoren bekannt sind, zu sperren (so wie executable files oder batch files).
Es ist eine etwas drakonische Taktik, aber es stellt sich auch heraus, dass es eine effektive ist, um sich gegen virale Bedrohungen zu schützen, vor allem in der Unternehmensumgebung. Mir persönlich ist diese Strategie egal. Ich glaube, dass wir Virusscanner und andere Anti-malware Werkzeuge dazu kaufen, um das für uns zu erledigen. Einen stumpfen Stock zu nehmen, um E-Mails zur Eingabe zu knüppeln erzeugt auch mehr Kosten als es Nutzen generiert. Dennoch ist jede Umgebung unterschiedlich und es gibt Netzwerkmanager, die ihre Umgebung evaluiert und festgestellt haben, dass dies die beste Strategie ist. Wenn Sie so eine Taktik wählen (oder bereits gewählt haben), gibt es vier Richtlinien, die Ihnen helfen werden, zur richtigen Lösung zu gelangen:
1. E-Mail Anhänge haben normalerweise mit drei Labels versehen: eine Dateinamenserweiterung (File Name Extension), ein MIME-Typ und einen Fingerabdruck der echten Datei (Real File Fingerprint), der durch eine Untersuchung der Datei und eine Prüfung des Datei-Types ermittelt wurde. Ihre Filterlösung sollte auf allen drei Labels wirken, nicht nur auf einem. Wenn sich herausstellt, dass ein ausführbarer Befehl einfach in .XLS umbenannt werden muß, um durch den Filter zu gelangen, dann entdecken die Leute das in wenigen Minuten und sie werden damit die gesamte Effektivität des Schutzes reduziert haben.
2. Wenn Sie eine Taktik, wie diese haben werden, ist die beste Strategie, einen deny-by-default-Ansatz zu fahren, der gewissen Datei-Typen erlaubt. Ansonsten werden Sie ständig die Liste der „schlechten“ Anhänge updaten müssen, da neue Viren immer einen Weg finden, um durch die normale Verteidigung zu gelangen. Wenn Sie erst einmal ein vernünftiges Set von Datei-Arten für Ihre Benutzergemeinschaft haben, kündigen Sie an, was erlaubt ist und was nicht, so dass es für die Endbenutzer keine Überraschung gibt. Vergessen Sie nicht, dass die Leute zunehmend Archivierungswerkzeuge, wie ZIP benutzen, um mehrere Dateien zu komprimieren. Sie werden zumindest eine von ihnen erlauben müssen (aber wahrscheinlich nicht in jeder Variation).
3. Begreifen Sie, dass Endbenutzer Wege finden werden, um diese Taktik auszuhebeln. Der Zugriff auf Tools, wie YouSendIt.com (eine Website, die es jedem erlaubt Dokumente, die man später downloaden will, transparent hochzuladen), bedeutet, dass Sie es nicht schaffen werden, jeden Datei-Typ aus Ihrem System herauszuhalten. Da Benutzer immer eine gültige Ausnahme für diese Art von Regeln finden werden, müssen Sie sie sowohl dahingehend informieren, warum Sie das tun, und wie sie sicher um diese Kontrollen herum arbeiten können. Sie müssen auch Ausnahmen zu dieser Taktik erstellen können, damit die Leute ihre Arbeit erledigt können. Wenn die Marketing Abteilung jemanden bezahlt, damit er ein Logo mit Adobe Illustrator erstellt, brauchen Sie einen schnellen Weg, um die Datei zu bekommen.
4. Während die meiste Malware ausgerottet und der Träger (wie eine E-Mail Nachricht) gelöscht werden sollte, ohne dass man davon etwas mitzubekommt, stimmt das nicht für gelöschte Anhänge. Jedes mal, wenn Sie etwas aus einer E-Mail herausnehmen, sollten Sie etwas zurücklegen, um Ihre Handlung zu delegen. Offensichtlich bedeutet dies, dass das Filtern der Anhänge nach dem normalen Virenscan passieren sollte.
Zwei neue Betrachtungsweisen wurden dem Sicherheitsmanager zu seinem Arsenal im Kampf gegen Malware angeboten: heuristik-basierte und dem Leumund-basierende Antiviren-Lösungen. Einige der Ideen hinter diesen Technologien sind relativ alt, aber Produkte, die diese neuen Strategien ausführen, sind jetzt weit verbreitet.
Auf der Heuristik basierte Antiviren-Lösungen sind eine relative alte Idee, aber eine, die keine starke Gefolgschaft gewonnen hat. Die Idee lautet, dass Viren nicht nur durch ihre Signatur identifiziert werden können, sondern auch von Heuristiken, die nach ungewöhnlichen Mustern bei bestimmen Datei-Typen suchen, oder indem sie den Virus in einer virtuellen Maschinen „Gefängnis“ exekutieren, um ihr Verhalten zu beobachten. Viele Antivirus-Hersteller integrieren einige heuristischen Technologien in ihren Scanning-Engines, aber keiner ist herausragt und die auf Signatur-basierente Antivirus-Lösungen durch heuristisch-basierente Systeme ersetzen kann. Heuristisch-basierte Systeme haben mehr variable und unvorhersehbare „falsch-positive“ und „falsch-negative“ Raten als normale Antivirus-Software-Lösungen, weil die Regeln, die benutzen, um Malware zu identifizieren, fuzzier und geschätzter sind, als bei einem auf der Signatur-basierenden Produkt.
Aus der Sicht eines Netzwerkmanagers ist das Auftauchen einer auf der Heuristik basierten Technologie ein positives Zeichen, dass ein Antivirus-Hersteller nach neuen Technologien und leistungsfähigeren Lösungen suchen, wenn es um die Vieren-Erkennung geht. Aber es ist undenkbar, dass auf Heuristik basierte Antivirus-Lösungen jemals das auf der Signatur-basierte System komplett ersetzt.
Auf dem Leumund-basierte Antivirus-Lösungen benutzen den Kontext des Virus, um bei der Entscheidung zu helfen, ob ein Anhang oder eine Verbindung eventuell unerwünschte Konsequenzen zur Folge haben wird. Wie bei der Heuristik-basierten Antivirus-Lösung, sind auf dem Leumund-basierte Systeme ein Zusatz zu den klassischen Virenscannern. Herstller werben mit ihnen für „near zero-day“ Schutz, weil sie benutzt werden können, um eine verdächtige E-Mail zu identifizieren, bevor eine Antivirus-Signatur bereit ist.
Auf Leumund-basierete Dienste unterscheiden sich deutlich bei ihrer eigentlichen Implmentierung, aber sie haben einige gleiche Komponenten, inklusive einer große zentralien Leumunds-Datenbank und einem unersättlichen Appetit auf Verbreitung der Daten bezüglich dem Verhalten von Systemen über gesamten Internet. Zum Beispiel könnte ein auf Leumund-basierenter Dienst Informationen über Spam- und Virensender von ihren Kunden und anderen Spam-Fallen sammeln. Wenn ein System oder Netzwerk als eine Quelle für Malware und Spam identifiziert wird, können zukünftige Nachrichten wegen des schlechten Rufs des Senders aufgehalten oder speziell markiert werden.
Das kann einen Schritt weiter führen: Wenn Sie tatsächlich die verdächtigen Nachrichten von suspekten Absendern akzeptieren, können Sie analysieren was sie senden und es benützen, um Spams oder Malware von anderen Absendern damit vergleichen. Auf Leumund-basierte Systeme benutzen das, um Viren zu identifizieren, bevor es die Antivirus-Signaturen können.
Wenn neue Techniken wie diese Sie interessieren, sind hier einige Ratschläge, die Ihnen helfen werden, die beste Lösung auszusuchen und zu konfigurieren:
1. Es gibt keine Magie in diesem Geschäft. Wenn man sich für neue Technologien interessiert, sollte ein Hersteller in der Lage sein, zu erklären, was sie das tun und wie es die klassischen Signatur-basierten Antivirus-Lösungen verbessert. Jede Vorstellung mit exzessivem Hokus-Pokus oder Behauptungen über revolutionäre Fortschritte sind meistens Begleiter von einem ineffektiven Produkt, dass es auf Dauer nicht das hält, was es verspricht.
2. Eine auf Leumund-basierte Technologie ist einer der effektivsten Wege, das obere Drittel von „bad traffic“ aus Ihrem Netzwerk zu schmeißen. So lange Spammer und Malware-Entwickler Zombie-PCs benutzen, wird diese Art der Technologie sehr wertvoll sein. Jeder, der versucht die Systemleisuntgsfähigkeit zu steigern und einen Vorsprung bei der Malware von morgen zu erwischen, sollte sich Leumund-basierte Systeme genau ansehen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000571)
