Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen

Transcrição

White Paper
www.securecomputing.com
Secure Computing® has been solving
the most difficult network and
application security challenges for over
20 years, and is uniquely qualified
to be the global security solutions
provider to organizations of all sizes.
Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen
Malware für Ihr Unternehmen wichtiger ist als Virensignaturen
Inhalt
Einleitung.......................................................................................................................................2
Viren – damals und heute...............................................................................................................2
Reaktionszeiten von Virenschutzanbietern zwischen 2003 und 2006.............................................3
Die wechselhafte Natur von Malware-Angriffen.............................................................................5
Neue Herangehensweisen beim Lösen des Malware-Problems.......................................................6
Allgemeine Überlegungen.........................................................................................................6
Überlegungen zum Schutz von Arbeitsplatzrechnern.................................................................6
Überlegungen zum Schutz des Internet-Gateways.....................................................................7
Fazit...............................................................................................................................................7
Webwasher Anti-Malware...............................................................................................................9
Überblick........................................................................................................................................9
Der gemeinschaftliche Ansatz gegen Malware.............................................................................10
Secure Computing Corporation
Corporate Headquarters
4810 Harwood Road
San Jose, CA 95124 USA
Tel +1.800.379.4944
Tel +1.408.979.6100
Fax +1.408.979.6501
European Headquarters
Berkshire, UK
Tel +44.0.870.460.4766
German Headquarters
Unterschleißheim, Germany
Tel +1.49.(0).89.710.461.10
Asia/Pac Headquarters
Wan Chai, Hong Kong
Tel +852.2598.9280
Japan Headquarters
Tokyo, Japan
Tel +81.3.5339.6310
© 2007 Secure Computing Corporation. All Rights Reserved. Bess, enterprise strong, IronMail,
MobilePass, PremierAccess, SafeWord, Secure Computing, SecureOS, SecureSupport,
Sidewinder G2, SmartFilter, SofToken, Strikeback, Type Enforcement, CyberGuard, and
Webwasher are trademarks of Secure Computing Corporation, registered in the U.S.
Patent and Trademark Office and in other countries. Access begins with identity, Anti-Virus
Multi-Scan, Anti-Virus PreScan, Application Defenses, Compliance, Dynamic Quarantine,
Edge, Encryption, G2 Enterprise Manager, Global Command Center, IronIM, IronNet, Live
Reporting, Message Profiler, MethodMix, On-Box, Outbreak Defender, Power-It-On!, Radar,
RemoteAccess, SecureEdge, Secure Encryption, SecureWire, SmartReporter, SnapGear,
SpamProfiler, Threat Response, Total Stream Protection, TrustedSource,TrustedSource
Portal, Webmail Protection, ZAP, and ZombieAlert are trademarks of Secure Computing
Corporation. All other trademarks used herein belong to their respective owners.
Überzeugende Ergebnisse............................................................................................................11
Quellen........................................................................................................................................12
Einleitung
Heutzutage können Unternehmen mehr Aufgaben über das Internet erledigen als je zuvor. Mit zunehmender
Nutzung des Internets steigt jedoch auch die Verbreitung von Viren und anderen, als “Malware”
bezeichneten internetspezifischen Gefahren. Aktuelle Sicherheitssysteme, wie IDS, traditionelle Firewalls oder
Virenschutzprogramme, bieten zwar einen gewissen und durchaus wichtigen Schutz, doch ist dieser nicht
dafür konzipiert, vor Softwarecode zu schützen, der auf individuelle Unternehmen ausgerichtet ist oder sich in
scheinbar harmlosen Internetzugangsprotokollen verbirgt. Einerseits sind Unternehmen heute auf das Internet
angewiesen, andererseits müssen sie sich vor ihm schützen.
Um mit dem steigenden Malware-Aufkommen mithalten zu können, haben Hersteller von Virenschutzsoftware
die Anzahl ihrer Signaturen in weniger als zwei Jahren verdoppeln müssen. Letztendlich werden sie
jedoch nicht Schritt halten können, da Malware inzwischen auf bestimmte Unternehmen und Systeme
ausgerichtet ist und nicht mehr einfach die Internetgemeinde als solche schädigen soll. Zwar lassen sich mit
Virenschutzlösungen bekannte Viren und Gefahren bekämpfen, doch für unbekannte Gefahren durch gezielte
Angriffe ist das Zeitfenster zwischen dem Auftreten von Bedrohungen und der Bereitstellung einer neuen
Signatur groß genug, um die einzelnen Unternehmen ernsthaft in Gefahr zu bringen. Gezielten Angriffen
wird seitens der Virenschutzanbieter nicht dieselbe Aufmerksamkeit geschenkt wie einem Angriff, der Nutzer
rund um den Globus betrifft, da gezielte Angriffe in ihren Augen eine geringere Verbreitung aufweisen.
Doch für das betroffene Unternehmen ist der Schaden alles andere als gering. In dem Zeitraum, in dem die
Malware unerkannt bleibt, trifft es viele Unternehmen unvorbereitet und ohne Schutz. Eine im Jahr 2006
vom CSI/FBI durchgeführte Studie zur IT-Kriminalität1 ergab, dass, obwohl 97 % der befragten Unternehmen
Virenschutzsoftware verwenden und in 98 % der Unternehmen sogar eine Firewall eingesetzt wird, fast zwei
Drittel (65 %) dennoch nicht von Viren verschont blieben.
Unternehmen benötigen demnach eine umfassende Lösung, die über die Sicherheit von Virenschutzsoftware
für Arbeitsplatzrechner oder gar Gateways hinausgeht, eine Lösung, die sich nicht ausschließlich auf Signaturen
für bekannte Gefahren verlässt. Sie benötigen Schutz vor bekannten wie auch vor unbekannten Gefahren sowie
sämtlichen Varianten und Formen, die ausgefeilte Malware annehmen kann.
Dieser Bericht befasst sich zum einen mit der Tatsache, dass Malware sich ständig weiterentwickelt, zum anderen
mit der Frage, weshalb Unternehmen trotz Sicherheitsmaßnahmen wie Virenschutzsoftware und herkömmlichen
Firewalls immer noch stark gefährdet sind und gezielten Malware-Angriffen zum Opfer fallen. Daher werden in
diesem Bericht neue Lösungen vorgestellt, die einen deutlich proaktiveren und effektiveren Schutz für den einund ausgehenden Datenverkehr von Unternehmen bieten.
Viren – damals und heute
Der Begriff “Malware” wird in diesem Bericht synonym verwendet mit jeglicher gefährlicher Software, also Viren,
Spyware, Trojanern, Rootkits, Bots, Hijackern oder Ransom-Ware. Der Begriff “Malware” steht für “malicious
software” (dt. “bösartige Software”). Er bezeichnet jegliche Form aktiven Inhalts, den sich kein Administrator in
seinem Netzwerk wünscht.
Geschichte: Vor zehn Jahren, als die meisten der heutigen Virenschutzlösungen entstanden, wurden MalwareProgramme meist von unzufriedenen Mitarbeitern oder jungen Programmierern geschrieben, die einen
„Kick“ suchten. Der einzige Zweck eines Malware-Programms bestand darin, allgemeines Chaos anzurichten
und das Selbstwertgefühl des Urhebers zu steigern. Wenige Personen verfügten damals über die Zeit oder
die Fähigkeiten, die zum Erstellen von Malware erforderlich waren, und noch weniger waren in der Lage, die
Malware dazu zu bringen, sich selbst zu verbreiten. So genügte es in diesem frühen Stadium meist, einen
„Schnappschuss“ (heute spricht man von “Signatur”) der Malware zu erstellen und das System damit nach
infizierten Dateien zu durchsuchen. Dazu reichte ein einfacher Suchmechanismus. Zur selben Zeit nutzten einige
Virenautoren gemorphten Code, um wichtige Dateien des Betriebssystems anzugreifen und den Computer lahm
zu legen. Gegen diese Bedrohung entwickelten Virenschutzanbieter eine einfache Methode, mit der die Größe
wichtiger Systemdateien, die für Virenangriffe anfällig waren, mit einer Liste gültiger Dateigrößen abgeglichen
werden konnte. Auf diese Weise ließen sich Infektionen leicht erkennen. Sobald sich die Malware jedoch
verbreitet hatte und Schaden anrichtete, bot diese Herangehensweise nur noch begrenzt Schutz.
Heute kann jeder, der über IT-Grundkenntnisse, eine Internetverbindung und unlautere Absichten verfügt,
eigene Malware entwickeln. Anleitungen für die Herstellung finden sich überall im Internet2, 3, 4 5. Dort gibt es
Informationen zur Herstellung und Verbreitung von Malware, und es gibt sogar Websites, auf denen Toolkits
für die Erstellung von Malware heruntergeladen werden können. Viele dieser Sites entstanden, um legitime
White paper
Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen
Werkzeuge zur Steigerung des Sicherheitsbewusstseins von Unternehmen anzubieten, doch für Individuen mit
kriminellen Absichten ist es ein Leichtes, diese Tools für ihre Zwecke zu manipulieren. Angriffspunkte für Malware
lassen sich heute noch einfacher finden, da immer mehr Menschen und Anwendungen das Internet nutzen
und die Zahl der Schwachstellen in Anwendungen rapide zunimmt. Einem Bericht von Secunia6 zufolge steigt
die Anzahl von Anfälligkeiten stetig an. In der Zeit vom Februar 2003 bis zum August 2006 etwa hat sie sich
vervierfacht.
Bedenkt man die Verfügbarkeit all jener Tools, den Anstieg der Anzahl an Personen, die in der Lage sind,
Malware zu erstellen, und die zunehmende Zahl an Schwachstellen in Anwendungen, ist es kaum erstaunlich,
dass die Zahl der Malware-Programme in den letzten Jahren exponentiell angestiegen ist. Am 6. Juli 2006 gab
McAfee eine Presseerklärung heraus, in der stand, dass das Unternehmen in den ersten 18 Jahren gerade mal
100.000 Beispielcodes bösartiger Software in seine Datenbank aufgenommen hatte, sich die Anzahl danach
jedoch in weniger als zwei Jahren auf 200.000 Exemplare verdoppelte. Innerhalb der nächsten zwei Jahre
erwarte man einen Anstieg auf 400.000 Bedrohungen7. Eine der wichtigsten Veränderungen in der Natur der
Angriffe besteht darin, dass Malware heute viel häufiger auf bestimmte Unternehmen oder Benutzergruppen
abzielt. Dies hat zu dem explosionsartigen Anstieg von Malware beigetragen.
Anbieter herkömmlicher Virenschutzlösungen haben
auf diese Malware-Flut mit einer Aktualisierung ihrer
Systeme reagiert und ihre Prozesse gestrafft, so
dass neue Malware-Programme innerhalb weniger
Stunden untersucht und in eine Signatur verwandelt
werden können. Zudem wurde die Anzahl ihrer
Virenquellen von wenigen Dutzenden auf Hunderte
oder gar Tausende erweitert. Auch wenn dies ein
guter Anfang zu sein scheint, stellt sich die Frage,
ob die verstärkte Investition in Signaturerkennung
tatsächlich adäquaten und rechtzeitigen Schutz
bietet. Um diese Frage zu beantworten, wollen
wir die historischen Daten zur Reaktionszeit vom
ersten Auftreten eines neuen Virus oder MalwareProgramms bis zum Bereitstellen einer Signatur
Figure 1: Anzahl der Sicherheitsempfehlungen der letzten Jahre
von Secunia6
durch einen Virenschutzanbieter betrachten.
Reaktionszeiten von Virenschutzanbietern in den Jahren 2003 bis 2006
Die nachfolgenden drei Tabellen zeigen die Bereitstellungszeiten von Virenschutzanbietern in den Jahren
2003, 2005 und 2006. Auffällig ist, dass die Spanne zwischen dem ersten Auftreten von Malware und der
Bereitstellung einer Signatur auch heute noch stark schwankt. Dies bedeutet für Unternehmen, dass sie trotz
aktueller Virenschutzsoftware immer noch über längere Zeit ungeschützt sind.
White paper
Reaktionszeiten auf Sober.C im Jahr 2003 sowie Datum und Uhrzeit der Bereitstellung von
Signaturen durch verschiedene Virenschutzanbieter
WORM discovered
2003-12-20
03:00
BitDefender
2003-12-20
13:20
Kaspersky
2003-12-20
14:44
F-Prot(Frisk)
2003-12-20
15:25
F-Secure
2003-12-20
15:45
Norman
2003-12-20
18:25
eSafe(Aladdin)
2003-12-20
18:35
TrendMicro
2003-12-20
19:50
AVG(Grisoft)
2003-12-20
20:15
AntiVir(H+BEDV)
2003-12-20
22:20
Symantec
2003-12-21
04:05
Avast!(Alwil)
2003-12-21
09:55
Sophos
2003-12-21
14:35
Panda AV
2003-12-21
17:05
McAfee
2003-12-22
04:10
Ikarus
2003-12-22
10:35
eTrust(CA)
2003-12-22
17:50
AVG (GData)
2003-12-23
23:50
Good
Bad: 34 hrs
Abbildung 2: Reaktionszeiten auf W32/Sober.
C/Quelle: Av-test.org8
Reaktionszeiten auf den Wurm Zotob/A im Jahr 2005 sowie Datum und Uhrzeit der Bereitstellung von
Signaturen durch verschiedene Virenschutzanbieter
Webwasher
Blocked w/o update (ProActive security filters)
Kaspersky
2005-08-16
21:57
QuickHeal
2005-08-16
22:48
ClamAV
2005-08-16
23:12
eTrust-INO
2005-08-16
23:51
F-Secure
2005-08-17
00:03
AntiVir
2005-08-17
00:19
Sophos
2005-08-17
00:44
Trend Micro
2005-08-17
00:44
McAfee
2005-08-17
01:34
eTrust-VET
2005-08-17
01:53
Symantec
2005-08-17
03:05
Command
2005-08-17
03:40
Dr Web
2005-08-17
07:04
Ikarus
2005-08-17
07:41
Avast
2005-08-17
08:04
AVG
2005-08-17
11:33
Hauri
2005-08-17
13:45
VirusBuster
2005-08-17
14:32
Proland
2005-08-17
11:16
Good
Bad: 37 hrs
Abbildung 3: Reaktionszeiten von Virenschutzanbietern auf den
Wurm Zotob9
White paper
Reaktionszeiten auf den Wurm Nyxem im Jahr 2006 sowie Datum und Uhrzeit der Bereitstellung von Signaturen
durch verschiedene Virenschutzanbieter
Webwasher
Blocked w/o update (ProActive security filters)
McAfee
Blocked w/o update (Heuristics)
QuickHeal
16.01.2006
10:00
Bitdefender
16.01.2006
12:13
Kaspersky
16.01.2006
13:44
AntiVir
16.01.2006
14:52
Karus
16.01.2006
15:27
Dr Web
16.01.2006
15:56
F-Secure
16.01.2006
16:03
F-Prot
16.01.2006
16:31
Command AV
16.01.2006
17:04
AVG
16.01.2006
17:05
Sophos
16.01.2006
17:25
Ewido
16.01.2006
19:08
Trend Micro
17.01.2006
04:16
Trust-VET
17.01.2006
07:39
Norman
17.01.2006
08:49
ClamAV
17.01.2006
09:47
Avast!
17.01.2006
16:31
eTrust-INO
17.01.2006
17:52
Symantec
17.01.2006
18:03
Good
Bad: 32 hrs
Abbildung 4: Reaktionszeiten von Virenschutzanbietern auf den Wurm
Nyxem10
Fazit: Reaktive Signaturen von Virenschutzanbietern allein reichen nicht aus. Benötigt wird eine
proaktive Lösung.
Auch wenn Virenschutzanbieter heute Schutz vor deutlich mehr Viren bieten als früher, zeigen diese Beispiele,
dass signaturbasierte Lösungen immer noch ein zentrales Problem mit sich bringen: In der Zeit (teilweise
Stunden oder Tage), die vergeht, bis Virenschutzanbieter eine Signatur bereitstellen, sind Unternehmen
weiterhin anfällig. Besonders kritisch ist dies bei gezielten Angriffen, da diese von Virenschutzanbietern oft nicht
einmal wahrgenommen werden. In den oben genannten Beispielen handelte es sich um breit gestreute Angriffe,
die schnell entdeckt wurden. Die Anbieter von Virenschutzsoftware reagierten relativ prompt und konnten
nach kurzer Zeit eine Signatur bereitstellen. Im Fall von gezielten Malware-Angriffen kann einige Zeit vergehen,
bis die Virenschutzanbieter aufmerksam werden. Es ist nicht gewährleistet, dass sie überhaupt reagieren, und
wenn doch, kann es bereits zu spät sein. Die Reaktionszeiten können also enorm schwanken. Genau darauf
zielt Malware ab, und dadurch wird deutlich, dass Virensignaturen per definitionem keinen adäquaten und
umfassenden Schutz bieten können. Die einzig clevere Lösung besteht also darin, der unvorhersehbaren Natur
von Malware mit proaktiven Mitteln zu begegnen.
Die wechselhafte Natur von Malware-Angriffen
Malware-Angriffe haben sich seit den ersten Tagen des Internets, in denen einfach Viren erstellt und dann auf
das Internet losgelassen wurden, deutlich verändert. Diese Veränderungen sind in den folgenden sechs Punkten
zusammengefasst.
1. Malware-Angriffe erfolgen viel gezielter und ausgefeilter: Die Zeit der zufälligen Angriffe ist vorbei. Heute
ist Malware auf bestimmte Unternehmen oder Nutzer mit bestimmten Verhaltensmustern ausgerichtet.
Relevant ist zum Beispiel, um welches Unternehmen es sich handelt oder welche Aufgaben die Nutzer
ausführen, auf welche Internetseiten sie zugreifen, ob Inhalte von unzuverlässigen Seiten heruntergeladen
werden, wie vorsichtig sie beim Herunterladen von Email-Anhängen sind und so weiter. Der herkömmliche
Ansatz, dass man mit einer einzigen Lösung alle Angriffe abwehren kann, ist nicht mehr ausreichend.
White paper
2. Malware ändert ständig ihren Code: Die neuesten Viren sind so konzipiert, dass sie sich täglich oder bei
jedem Weiterversenden ändern. Auf diese Weise werden sie von Virenschutzprogrammen nicht erkannt.
Hersteller von Virenschutzlösungen müssen sich entweder auf leistungsintensive und fehleranfällige
Heuristiken verlassen oder für jede Mutation eine neue Signatur entwickeln.
3. Malware richtet finanzielle Schäden an: Bei Malware handelt es sich längst nicht mehr um einen
Teenagerstreich. Sie wird von cleveren Individuen und gut organisierten Gruppen erstellt und in Umlauf
gebracht. Bei den Tätern handelt es sich um talentierte Softwareprogrammierer, die den Mitarbeitern
der Virenschutzhersteller in nichts nachstehen, und sie arbeiten hart, um den “rechtschaffenen”
Programmierern immer mindestens einen Schritt voraus zu bleiben. Noch häufiger wird Malware gezielt
für Unternehmensspionage eingesetzt. Ein prominentes Beispiel war die Infiltration des israelischen
Fernsehnetzwerks HOT im Jahr 200511.
4. Bei einigen Programmen zum Entfernen von Malware handelt es sich um Malware selbst: Diese so
genannte “Greyware” ist eine hinterlistige Falle. Gerüchten zufolge arbeiten einige Betreiber von PornoWebseiten eng mit Programmierern von Malware zusammen. Greift dann jemand auf die Website zu, erhält
er eine Fehlermeldung, die besagt, dass sein Computer unsicher ist und dass er auf einen Link klicken und ein
Testprogramm herunterladen soll, mit dem der Computer auf einen möglichen Befall untersucht wird. Bei
diesem Testprogramm handelt es sich dann in Wahrheit um Spyware, die sich jedoch hinter einem scheinbar
gutartigen Programm zur Systembereinigung o. ä. verbirgt.
5. Standardmäßige Antivirenprogramme sind häufig nicht effektiv: Die Urheber von Malware testen ihre
Kreationen ständig darauf, ob sie von Norton, McAfee und anderen Programmen zum Schutz vor Viren
und Spyware erkannt werden und stellen sicher, dass dies bei der Inumlaufsetzung nicht der Fall ist. Bis die
Virenschutzhersteller die Malware entdeckt haben, ist es zu spät, und die Malware-Programmierer ändern
ihren Code, so dass die Malware weiterhin nicht erkannt wird. Manchmal erfolgt die Codeänderung sogar
automatisch (siehe #2 weiter oben).
6. Versteckspiel: Immer mehr Malware-Programme versuchen mittlerweile, sich mit Hilfe von RootkitMechanismen zu verstecken oder die Antivirensoftware auf dem Client gar vollständig zu deaktivieren12.
Neue Herangehensweisen beim Lösen des Malware-Problems
Allgemeine Überlegungen
Unternehmen sollten sich niemals auf eine Lösung verlassen, die nur auf den Clients oder nur am Gateway greift.
In vielen Firmen besteht der Virenschutz aus Lösungen, die auf den Clients installiert sind. Das ist zwar ein guter
Anfang, doch sollte man auch daran denken, eine Malware-Schutzlösung am Gateway einzurichten.
Dabei ist unbedingt sicherzustellen, dass eine große Bandbreite an Protokollen abgedeckt ist. Alle
Anwendungsprotokolle, die in ein Netzwerk eindringen, müssen genau überprüft werden. Viele Unternehmen
setzen heute auf eine Mischung aus Spam- und Virenschutzlösungen. Doch was ist mit dem Schutz für das
Internet-Gateway? Er ist ebenso wichtig wie ein Email-Gateway. Neben dem HTTP-Datenverkehr sind Protokolle
wie HTTPS oder Instant Messaging (IM), die ein zunehmend hohes Datenaufkommen aufweisen, ebenfalls
angreifbar und sollten daher geschützt und überwacht werden. Secure Computing bietet einen SSL-Scanner, mit
dem aus- und eingehender HTTPS-Datenverkehr geschützt wird13, sowie einen IM-Filter, mit dem die unerlaubte
Nutzung solcher Dienste und Peer-to-Peer-Anwendungen wie Skype oder Kazaa unterbunden werden können.
Wenn Sie Instant Messaging gezielt zulassen möchten, sollten Sie dies gründlich überwachen. Hierzu empfiehlt
sich die IronIM™ Lösung von Secure Computing.14
Überlegungen zum Schutz von Desktop-Computern
Betrachtet man die Tabelle zur Verbreitung von Malware im Jahr 2006 im VirusBulletin15, stellt man fest, dass
keines der 30 aufgeführten Malware-Programme manuell oder physisch verbreitet wurde. Alle verbreiten sich
über Email, Instant Messaging oder Netzwerkfreigaben. Hieraus lässt sich schließen, dass der Nutzen von
Virenscannern auf den Clients immer weiter abnimmt. Dateiserver und Gateways andererseits müssen wesentlich
genauer beobachtet werden.
Einer der Hauptgründe für diese Veränderung besteht darin, dass der typische Bootsektor-Virus, den wir von
Disketten kennen, aufgrund des Aussterbens von Diskettenlaufwerken so gut wie verschwunden ist. Das Risiko,
dass sich ein Virus auf einem USB-Speichergerät oder einer CD bzw. DVD befindet, besteht jedoch weiterhin
und ebenso die Notwendigkeit für Virenschutz auf Arbeitsplatzrechnern. Die Notwendigkeit, das Gateway zu
schützen, nimmt jedoch zu, denn es stellt den Haupteintrittspunkt für Malware dar.
White paper
Ein typischer Wurm, Virus oder ein Spyware-Programm verbreitet sich heute ausschließlich per Email oder über
das Netzwerk. Wenn Sie auf Malware stoßen, die sich anders verhält, handelt es sich entweder um:
-
relativ alte Malware, für die selbst die älteste Anti-Viren-Engine über eine Signatur verfügen sollte, oder um
-
einen einzigartigen und speziellen Angriff auf Ihr Unternehmen oder Ihre Domäne.
In diesem Fall wird selbst die beste signaturbasierte Virenschutzsoftware dafür keinen Schutz bieten.
Der Schutz von Arbeitsplatzrechnern ist also weiterhin notwendig. Die erste Wahl im Unternehmensumfeld ist
eine, heutzutage relativ günstige, Virenschutzlösung für Arbeitsplatzrechner mit möglichst guter Integration in
Windows.
Andere Möglichkeiten sind Lösungen, die auf einem positiven Sicherheitsmodell basieren, das nur “bekannte
und gutartige” Prozesse auf Client-Computern und Servern zulässt und das die Ausführung jeglicher unerlaubter
Anwendungen und Skripte verhindert. Ein potenzieller Nachteil hiervon besteht für den Endbenutzer im Verlust
der Kontrolle über den Arbeitsplatzrechner.
Überlegungen zum Schutz des Internet-Gateways
Wie bereits gezeigt, hat das Scannen aller offenen Protokolle auf Malware am Gateway an Bedeutung
zugenommen, damit Netzwerke frei von Malware und anderen unerwünschten Programmen bleiben.
Fast alle Hersteller von Virenschutzsoftware bieten eine Lösung, die auf das Gateway zugeschnitten ist. So
können Kunden aus einer Vielzahl von Lösungen wählen. Herkömmliche signaturgebundene Gateway-Lösungen
unterliegen jedoch denselben Beschränkungen wie ähnliche Lösungen für Client-Computer. Daher gilt es, bei
der Wahl einer Sicherheitslösung für das Gateway Folgendes zu beachten:
Reduzieren Sie die Abhängigkeit von Signaturen: Wir haben gezeigt, dass die Anbieter traditioneller
Virenschutzlösungen nicht Schritt halten können mit den neuesten Arten und Varianten der immer stärker
zunehmenden Malware-Flut. Heute gibt es zusätzliche Möglichkeiten, das Malware-Problem mit mehr als nur
Signaturen anzugehen. Diese Möglichkeiten werden im Folgenden beschrieben.
Vermeiden sie Monokulturen: Es ist unklug, auf den Arbeitsplatzrechnern und dem Gateway die gleiche
Lösung zu verwenden, besonders dann, wenn diese signaturbasiert ist. Die Gefahr, dass ein neues MalwareProgramm unerkannt durch das Gateway eindringt und sich ebenfalls unerkannt auf den Clients einnistet,
ist wesentlich größer, wenn überall Anwendungen vom selben Anbieter eingesetzt werden. Die meisten
Virenschutzanbieter versuchen ihre Firmenkunden mit Bündelpreisen für unbegrenzte Gateway-Nutzung zu
locken, wenn sie den Client-Schutz erwerben (oder umgekehrt). Auch wenn dies eine attraktive, kostengünstige
Lösung zu sein scheint, ist es besser, auf den Clients und am Gateway Anti-Malware-Programme von
unterschiedlichen Herstellern einzusetzen.
Überwachen Sie alle offenen Protokolle: Die meisten Unternehmen überprüfen zwar E-Mails und InternetDatenverkehr auf Malware, doch Malware kann sich genau so einfach über Peer-to-Peer- und IM-Anwendungen
sowie HTTPS-Verbindungen verbreiten. Einfach einzusetzende Lösungen, deren Schutz vor Malware auch
HTTPS13 und IM-Verkehr14 abdeckt, können zusätzlich zu bestehenden Lösungen erworben werden. Sie sollten
erwägen, diese flächendeckend einzusetzen oder diese Protokolle vollständig zu blockieren.
Verlassen Sie sich nicht auf eine einzelne Malware-Schutzlösung: Wie wir zuvor anhand der Signaturdaten
für drei Virenangriffe demonstriert haben, ist die Chance, dass derselbe Virenschutzanbieter immer als erster
einen neuen Angriff stoppt, ziemlich gering. Erwägen Sie, mehrere Lösungen am Gateway einzusetzen.
Hardware ist günstig, und einige Anbieter bieten gebündelte Malware- und Virenschutzpakete. Machen Sie
davon Gebrauch!
Die nächste Generation: Bekämpfen von Malware unabhängig von
Virensignaturen
Bisher haben wir aufgezeigt, wie sich Viren zu Malware weiterentwickelt haben, die selbst von häufig
aktualisierten Virensignaturen unerkannt bleibt. Es gibt heute eine Reihe von Lösungen, die verschiedene Ansätze
zum Schutz vor Malware bieten und sich dabei nicht ausschließlich auf Virensignaturen verlassen. Sehen wir uns
einige davon an:
Heuristiken: Einige althergebrachte Virenschutzlösungen wurden um sogenannte “heuristische“
Erkennungsmethoden ergänzt, mit denen auch leicht abweichende Varianten von bekannten Signaturen
gefunden werden. Tests haben gezeigt, dass dies das Problem jedoch nicht löst, da sich die Erkennungsrate
White paper
nicht sonderlich stark verbessert16. Sie bieten zwar ein wenig mehr Sicherheit, stellen aber keine endgültige
Lösung dar. Das Hinzufügen von Heuristiken wirkt sich zudem negativ auf die Leistung aus und führt vermehrt
zu Falschmeldungen. Im “Proactive Security Step-by-step Guide” (Schrittweise Anleitung zur proaktiven
Sicherheit)16 finden Sie weitere Informationen zu den Problemen, die Heuristiken mit sich bringen.
Sandboxen: Weitere Lösungen umfassen den Einsatz so genannter “Sandboxen”17. Beim Einsatz von Sandboxen
wird eine abgeschirmte virtuelle Umgebung geschaffen, in der sich das potenziell schädliche Verhalten von
aktivem Code ermitteln lässt. Diese Methode am Gateway einzusetzen, empfiehlt sich jedoch nicht, da beim
Einrichten von Sandboxen Leistungsengpässe entstehen. Zudem gibt es am Gateway gewöhnlich keine
verlässliche Möglichkeit, herauszufinden, wie die Arbeitsplatzumgebung emuliert werden muss, damit der
ausführbare Code korrekt ausgeführt werden kann.
Proaktive Verhaltensanalyse: Echte proaktive Lösungen basieren – zumindest teilweise – auf einer
Verhaltensanalyse und dem Blockieren verdächtigen Codes. Bekannte Funktionen verhalten sich in einer
vorgegebenen Weise. Proaktive Lösungen analysieren den Code und ermitteln, ob dieser sich in der
vorgegebenen Weise verhalten wird. Ist das Verhalten unerwartet oder gar verdächtig, wird der Code an der
Ausführung gehindert.
Verbindungskontrolle anhand von Listen: Hierbei wird gesteuert, welche Seiten Mitarbeiter beim Surfen im
Internet besuchen können (URL-Filter), und eingehende Emails werden auf bekannte “unerwünschte Absender”
überprüft, von denen kein guter oder erwünschter Inhalt zu erwarten ist. Auch wenn diese Methode alleine
für Unternehmen kein ausreichendes Maß an Sicherheit bietet, ist sie eine gute Möglichkeit, vorhandene
Lösungen zu ergänzen. Es wird immer Webseiten oder IP-Adressen von Absendern geben, die sich nicht leicht
kategorisieren lassen und deshalb im Hinblick auf ihre Inhalte eine weitere Analyse erforderlich machen, bevor
entschieden werden kann, ob sie gut- oder bösartig sind.
Lösungsangebote von Unternehmen, die ausschliesslich Datenbanken verwenden, um zu beurteilen, ob eine
URL oder die IP-Adresse eines Absenders bösartig ist, ohne Feinabstufungen zu untersuchen, sind mit Vorsicht
zu genießen. Bei der Geschwindigkeit, mit der neue Websites und Mailserver auftauchen, haben wir es hier mit
demselben Problem wie mit verspäteten Signaturen bei herkömmlichen Virenschutzlösungen zu tun.
Fazit
Wir haben die aufkommenden Probleme sowie eine Reihe potenzieller technischer Lösungen vorgestellt. Doch
welcher Ansatz ist nun der beste? Kurz gesagt: Optimal ist eine mehrschichtige Anti-Malware-Strategie mit
vielzähligen Protokollen, die auf den Schutz der Clients und des Gateways ausgerichtet ist und dabei sowohl
Signaturen wie auch eine proaktive Sicherheitsmethode verwendet.
1. Heute wie auch in Zukunft benötigen Unternehmen Malware-Schutzlösungen für Arbeitsplatzrechner.
2. Aufgrund der Tatsache, dass sich Malware heute selbst verbreitet, sind Lösungen, die am Gateway ansetzen,
ebenfalls erforderlich.
3. Um mit der zunehmenden Flut und der ausgeklügelten Natur von Malware Schritt halten zu können, müssen
signaturbasierte Lösungen durch intelligentere “proaktive” Lösungen ergänzt werden.
4. Signaturbasierte Lösungen sollten mit einer Form von Verbindungskontrolle (URL-Filter, Blockieren von Emails
anhand des Absenders) kombiniert werden, um eine Überschwemmung durch Malware von vornherein zu
verhindern.
5. Protokolle (Z.B. HTTPS oder IM) die noch keiner Kontrolle unterliegen, müssen entweder blockiert, oder, wenn
sie für Unternehmenszwecke erforderlich sind, genauestens kontrolliert werden. Protokolle, die nicht
kontrolliert werden können, sollten blockiert werden, da neue Formen von Malware ansonsten ihren Weg in
das Unternehmen finden.
Der Webwasher® Anti-Malware von Secure Computing ist derzeit die einzige Lösung, die all diese Anforderungen
erfüllt. Diese Lösung wird im nächsten Abschnitt näher beschrieben.
White paper
Schutz vor Malware dank Webwasher
Überblick
Secure Computing bietet ein komplettes Portfolio an Web Gateway Security-Anwendungen, die Unternehmen
vor Malware, dem Verlust vertraulicher Daten sowie dem Missbrauch des Internets schützen und mit denen die
Einhaltung von Richtlinien für eine produktive Benutzerumgebung gewährleistet werden kann.
Dank der TrustedSource™-Technologie kann Secure Computing in Echtzeit buchstäblich für Millionen von
Rechnern, die weltweit an das Internet angeschlossen sind, ein Profil erstellen und über Verhaltensanalysen
einen “Reputationswert” vergeben. Anhand dieses Wertes wird dann entschieden, ob eine Verbindung zu dem
betreffenden Rechner genehmigt wird. Auch in Webwasher kommt die TrustedSource-Technologie zum Einsatz.
Des Weiteren nutzt dieses Produkt Verhaltensanalysen von potentiellem Schadcode und Signaturtechnologien
zum Stoppen von Malware. Webwasher® versorgt Ihr Netzwerk mit der dringend benötigten Sicherheitsebene,
mit der sowohl eingehende wie auch ausgehende Bedrohungen erkannt werden und die sofortigen Schutz vor
versteckten Bedrohungen bietet.
Webwasher Anti-Malware von Secure Computing ist ein Produkt der nächsten Generation, wenn es um den
Schutz von Internet-Gateways geht. Von der unabhängigen Einrichtung AV-test.org wurde es als bestes seiner
Klasse gekürt19. Webwasher untersucht allen eingehenden und ausgehenden Datenverkehr in bis zu sechs
Schritten.
Webwasher lässt sich durch Hinzufügen zusätzlicher Schutzebenen weiter verbessern. Diese Ebenen kontrollieren
auf einfache Weise die Verbindungen, die am Gateway erlaubt sind. Diese “Verbindungskontrolle” umfasst zwei
Mechanismen:
-
Einen wirkungsvollen URL-Filter, mit dem Benutzern der Zugriff auf bekannte “kriminelle” Sites verweigert
wird, auf denen Spyware und andere schädliche oder gar illegale Inhalte verbreitet werden.
-
Einen Mechanismus zum Abweisen eingehender Emails, und zwar bereits, wenn die Verbindungsanfrage
gestellt wird. Emails von bekannten unerwünschten IP-Adressen werden mit Hilfe der TrustedSourceDatenbank von Secure Computing blockiert.
Im ersten Schritt der Webwasher Anti-Malware-Lösung führt ein leistungsstarker Medientypfilter für jede
Datei eine Analyse anhand des „MagicByte“ durch. Dadurch wird bei Dateien, die vorgeben, einem anderen
Dateityp anzugehören, der tatsächliche Dateityp ermittelt. Unternehmen können somit potenziell gefährliche
Medientypen (wie z. B. unbekannten ActiveX-Steuercode), die eine hohe Bandbreite benötigen oder die
Produktivität senken (z. B. Videostreams) einfach und sicher verbieten.
Im nächsten Schritt untersucht die Anti-Malware-Engine von Webwasher den eingehenden Datenverkehr auf
bekannte Signaturen von Viren, Spyware, Bots oder anderen unerwünschten Programmen.
Mit dem Authenticode-Filter wird sämtlicher aktiver Code auf digitale Signaturen untersucht. Über detaillierte
Einstellungsmöglichkeiten können Administratoren aktiven Code im Hinblick auf den Aussteller oder die
Gültigkeit von Signaturen zulassen, blockieren oder weiter untersuchen. Dies ist eine effektive Möglichkeit,
unerwünschten aktiven Code vom Netzwerk fernzuhalten und reguläre Software Updates oder ausführbare
Dateien von bekannten und vertrauenswürdigen Quellen dennoch zuzulassen.
Im nächsten Schritt wird eine Verhaltensanalyse durchgeführt. Hierbei untersucht Webwasher die
Programmstruktur des Codes, um zu ermitteln, ob er sich auf bekannte Weise verhalten wird. Bei unerwartetem
oder verdächtigem Verhalten wird der Code an der Ausführung gehindert16.
Weltweit sind bereits über 5 Millionen Endbenutzer durch Webwasher-Produkte mit integrierter
Verhaltensanalyse geschützt, und Secure Computing erhält über die eingebaute Feedback-Funktion einen
stetigen Strom an böswilligen oder unerwünschten Programmen. Diese werden analysiert und Signaturen in die
Anti-Malware-Engine eingespeist.
Im sechsten und letzten Schritt werden Skripte gescannt und neutralisiert, die versuchen, Schwachstellen beim
Client auszunutzen. Auch wenn die Skripte an sich nicht schädlich sind, ermöglichen sie das Einschleusen oder
Ausführen weiteren schädlichen Codes. Das Erkennen und Neutralisieren solcher Skripte am Gateway verhindert,
dass schädliche Inhalte an die Clients weitergegeben werden. Mithilfe umfangreicher Methoden werden die
Skripte gescannt und mit einer automatisch aktualisierten Richtliniendatenbank abgeglichen. Bekannter oder
unbekannter, auf Schwachstellen abzielender Scriptcode wird durch Wahrscheinlichkeitsgewichtungen verlässlich
erkannt.
White paper
Abbildung 5: Webwasher Anti-Malware untersucht allen
eingehenden und ausgehenden Datenverkehr mithilfe mehrerer
Filter.
Weitere Informationen erhalten Sie in der Produktübersicht für Webwasher18.
Der gemeinschaftliche Ansatz gegen Malware
Mit Webwasher Anti-Malware wird jeder Kunde Teil der weltweiten Gemeinschaft gegen Malware.
Die verhaltensbasierten Proactive Security-Filter von Webwasher, die in Webwasher Anti-Malware und anderen
Webwasher-Produkten zum Einsatz kommen, schützen weltweit bereits mehr als 5 Millionen Endbenutzer. Mit
diesen Sicherheitsfiltern werden die neuen Bedrohungen ohne ständig aktualisierte Signaturliste erkannt, und bei
Secure Computing geht ständig ein Strom von Proben neuer Malware ein. Dank dieser verlässlichen MalwareQuellen kann Secure Computing problemlos Updates für die eigene signaturbasierte Engine in Webwasher AntiMalware bereitstellen.
Vom Secure Computing-Verfahren profitieren alle Kunden, auch wenn sie die Proactive Security-Filter nicht
aktiviert oder die Scanstufe auf “niedrig” gesetzt haben, denn diese Updates werden an alle weitergegeben.
Abbildung 6: Die Anti-Malware-Community
White paper
10
Überzeugende Ergebnisse
Die Wirksamkeit der oben vorgestellten Herangehensweisen zum Bekämpfen bekannter Malware wurde von
unabhängigen Virenforschungsstellen bestätigt. In einem kürzlich durchgeführten Test19 wurden 33 AntiMalware-Tools auf die Erkennung von 289.682 verschiedenen Malware-Exemplaren untersucht, die im Jahr 2006
gesammelt worden waren. Webwasher Anti-Malware belegte bei der Malware-Abdeckung den ersten Platz.
Abbildung 7: Vergleich der Erkennungsraten bei Malware. Quelle: eWeek: http://www.securecomputing.com/pdf/246693_final.
pdf Test durchgeführt von AV-Test.org19
Die unabhängigen Testergebnisse in der nachfolgenden Tabelle machen deutlich, wie Webwasher Anti-Malware
von Secure Computing proaktiv gegen Malware vorgeht.
#1 Webwasher
99.97%
#18 Trend Micro
90.03%
#2 AntiVir
99.95%
#19 Ikarus
84.77%
#3 AVK 2007
99.95%
#20 VBA32
81.28%
#4 AVK 2006
99.89%
#21 F-Port
77.88%
#5 Symantec
99.04%
#22 Command
77.11%
#6 Kaspersky
98.86%
#23 Microsoft
76.18%
#7 F-Secure
98.24%
#24 Ewido
74.67%
#8 BitDefender
96.51%
#25 Sophos
65.55%
#9 Norman
96.34%
#26 eSafe
59.34%
#10 Nod32
95.80%
#27 UNA
58.76%
#11 Avast!
95.17%
#28 QuickHeal
55.72%
#12 AVG
94.78%
#29 @Proventia-VSP
51.76%
#13 Fortinet
94.65%
#30 ClamAV
48.71%
#14 McAfee
93.99%
#31 eTrust-VET
48.37%
#15 Rising
91.18%
#32 eTrust-INO
41.92%
#16 Panda
90.45%
#33 VirusBuster
40.94%
#17 Dr Web
90.38%
Abbildung 8: Malwareschutz-Testergebnisse. Quelle: eWeek: http://www.securecomputing.com/pdf/246693_final.pdf. Test
durchgeführt von AV-Test.org19
White paper
11
Quellen
1 Computer Security Institute: http://gocsi.com/ 2006 CSI/FBI Computer Crime and Security Survey
2 http://www.astalavista.net/
3 http://www.metasploit.org/
4 http://astalavista.box.sk
5 http://www.blackcode.com/
6 http://secunia.com/graph/?type=all&graph=adv_om
7 Presseerklärung von McAfee Inc. vom 6. Juli 2006: http://phx.corporate-ir.net/phoenix.
zhtml?c=104920&p=irol-newsArticle&ID=879176&highlight=
8 http://www.av-test.org/index.pho3?lang=en
9 Quelle: http://www.pcwelt.de/news/sicherheit/118264/index2.html, Daten von AV-Test.org
10 Quelle: http://www.pcwelt.de/news/sicherheit/130720/index2.html, Daten von AV-Test.org
11 Computerworld Security (online): Ehepaar wegen Unternehmensspionage in Israel in Untersuchungshaft;
Autoren von Trojaner halfen Top-Unternehmen bei gegenseitiger Spionage: http://www.computerworld.com/
securitytopics/security/virus/story/0,10801,108225,00.html?from=story_kc
12 http://de.wikipedia.org/wiki/Root_kit
13 Webwasher SSL Scanner von Secure Computing: http://www.securecomputing.com/index.cfm?skey=1536
14 IronIM von Secure Computing: http://www.ciphertrust.com/products/ironim/
15 Verbreitung von Malware im Jahr 2006 – VirusBulletin: http://www.virusbtn.com/resources/malwareDirectory/
prevalence/index.xml?year=2006
16 “Proactive Security Step-by-step Guide” (Schrittweise Anleitung für proaktive Sicherheit), abrufbar bei Secure
Computing:
http://www.securecomputing.com/resourcecenter_main.cfm
17 Beschreibung des Begriffes “Sandbox” bei Wikipedia: http://de.wikipedia.org/wiki/Sandbox
18 Secure Computing Webwasher - Produktübersicht: http://www.securecomputing.com/index.cfm?skey=1657
19 Der von AV-Test.org durchgeführte Anti-Malware-Test wurde veröffentlicht in
http://www.eweek.com/article2/0,1895,2023127,00.asp
White paper
12

Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen

Transcrição

Documentos relacionados

In-Memory-Scanning mit Virensignaturen und ein generischer

¨Ubungen zu ClamAV

Losses resulting from Fraud, Espionage and Malware

G Data Presentation 2011 Redesign SK2

Skript zur Theorie

als PDF

1. Viren | 2. Malware | 3. Pop

Computerworld.ch Nr. 9 / 2012

Kleiner Virenduden

HHS - Lektion 6 - Malware