Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen
Transcrição
Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen
White Paper www.securecomputing.com Secure Computing® has been solving the most difficult network and application security challenges for over 20 years, and is uniquely qualified to be the global security solutions provider to organizations of all sizes. Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen Inhalt Einleitung.......................................................................................................................................2 Viren – damals und heute...............................................................................................................2 Reaktionszeiten von Virenschutzanbietern zwischen 2003 und 2006.............................................3 Die wechselhafte Natur von Malware-Angriffen.............................................................................5 Neue Herangehensweisen beim Lösen des Malware-Problems.......................................................6 Allgemeine Überlegungen.........................................................................................................6 Überlegungen zum Schutz von Arbeitsplatzrechnern.................................................................6 Überlegungen zum Schutz des Internet-Gateways.....................................................................7 Fazit...............................................................................................................................................7 Webwasher Anti-Malware...............................................................................................................9 Überblick........................................................................................................................................9 Der gemeinschaftliche Ansatz gegen Malware.............................................................................10 Secure Computing Corporation Corporate Headquarters 4810 Harwood Road San Jose, CA 95124 USA Tel +1.800.379.4944 Tel +1.408.979.6100 Fax +1.408.979.6501 European Headquarters Berkshire, UK Tel +44.0.870.460.4766 German Headquarters Unterschleißheim, Germany Tel +1.49.(0).89.710.461.10 Asia/Pac Headquarters Wan Chai, Hong Kong Tel +852.2598.9280 Japan Headquarters Tokyo, Japan Tel +81.3.5339.6310 © 2007 Secure Computing Corporation. All Rights Reserved. Bess, enterprise strong, IronMail, MobilePass, PremierAccess, SafeWord, Secure Computing, SecureOS, SecureSupport, Sidewinder G2, SmartFilter, SofToken, Strikeback, Type Enforcement, CyberGuard, and Webwasher are trademarks of Secure Computing Corporation, registered in the U.S. Patent and Trademark Office and in other countries. Access begins with identity, Anti-Virus Multi-Scan, Anti-Virus PreScan, Application Defenses, Compliance, Dynamic Quarantine, Edge, Encryption, G2 Enterprise Manager, Global Command Center, IronIM, IronNet, Live Reporting, Message Profiler, MethodMix, On-Box, Outbreak Defender, Power-It-On!, Radar, RemoteAccess, SecureEdge, Secure Encryption, SecureWire, SmartReporter, SnapGear, SpamProfiler, Threat Response, Total Stream Protection, TrustedSource,TrustedSource Portal, Webmail Protection, ZAP, and ZombieAlert are trademarks of Secure Computing Corporation. All other trademarks used herein belong to their respective owners. Überzeugende Ergebnisse............................................................................................................11 Quellen........................................................................................................................................12 Einleitung www.securecomputing.com Heutzutage können Unternehmen mehr Aufgaben über das Internet erledigen als je zuvor. Mit zunehmender Nutzung des Internets steigt jedoch auch die Verbreitung von Viren und anderen, als “Malware” bezeichneten internetspezifischen Gefahren. Aktuelle Sicherheitssysteme, wie IDS, traditionelle Firewalls oder Virenschutzprogramme, bieten zwar einen gewissen und durchaus wichtigen Schutz, doch ist dieser nicht dafür konzipiert, vor Softwarecode zu schützen, der auf individuelle Unternehmen ausgerichtet ist oder sich in scheinbar harmlosen Internetzugangsprotokollen verbirgt. Einerseits sind Unternehmen heute auf das Internet angewiesen, andererseits müssen sie sich vor ihm schützen. Um mit dem steigenden Malware-Aufkommen mithalten zu können, haben Hersteller von Virenschutzsoftware die Anzahl ihrer Signaturen in weniger als zwei Jahren verdoppeln müssen. Letztendlich werden sie jedoch nicht Schritt halten können, da Malware inzwischen auf bestimmte Unternehmen und Systeme ausgerichtet ist und nicht mehr einfach die Internetgemeinde als solche schädigen soll. Zwar lassen sich mit Virenschutzlösungen bekannte Viren und Gefahren bekämpfen, doch für unbekannte Gefahren durch gezielte Angriffe ist das Zeitfenster zwischen dem Auftreten von Bedrohungen und der Bereitstellung einer neuen Signatur groß genug, um die einzelnen Unternehmen ernsthaft in Gefahr zu bringen. Gezielten Angriffen wird seitens der Virenschutzanbieter nicht dieselbe Aufmerksamkeit geschenkt wie einem Angriff, der Nutzer rund um den Globus betrifft, da gezielte Angriffe in ihren Augen eine geringere Verbreitung aufweisen. Doch für das betroffene Unternehmen ist der Schaden alles andere als gering. In dem Zeitraum, in dem die Malware unerkannt bleibt, trifft es viele Unternehmen unvorbereitet und ohne Schutz. Eine im Jahr 2006 vom CSI/FBI durchgeführte Studie zur IT-Kriminalität1 ergab, dass, obwohl 97 % der befragten Unternehmen Virenschutzsoftware verwenden und in 98 % der Unternehmen sogar eine Firewall eingesetzt wird, fast zwei Drittel (65 %) dennoch nicht von Viren verschont blieben. Unternehmen benötigen demnach eine umfassende Lösung, die über die Sicherheit von Virenschutzsoftware für Arbeitsplatzrechner oder gar Gateways hinausgeht, eine Lösung, die sich nicht ausschließlich auf Signaturen für bekannte Gefahren verlässt. Sie benötigen Schutz vor bekannten wie auch vor unbekannten Gefahren sowie sämtlichen Varianten und Formen, die ausgefeilte Malware annehmen kann. Dieser Bericht befasst sich zum einen mit der Tatsache, dass Malware sich ständig weiterentwickelt, zum anderen mit der Frage, weshalb Unternehmen trotz Sicherheitsmaßnahmen wie Virenschutzsoftware und herkömmlichen Firewalls immer noch stark gefährdet sind und gezielten Malware-Angriffen zum Opfer fallen. Daher werden in diesem Bericht neue Lösungen vorgestellt, die einen deutlich proaktiveren und effektiveren Schutz für den einund ausgehenden Datenverkehr von Unternehmen bieten. Viren – damals und heute Der Begriff “Malware” wird in diesem Bericht synonym verwendet mit jeglicher gefährlicher Software, also Viren, Spyware, Trojanern, Rootkits, Bots, Hijackern oder Ransom-Ware. Der Begriff “Malware” steht für “malicious software” (dt. “bösartige Software”). Er bezeichnet jegliche Form aktiven Inhalts, den sich kein Administrator in seinem Netzwerk wünscht. Geschichte: Vor zehn Jahren, als die meisten der heutigen Virenschutzlösungen entstanden, wurden MalwareProgramme meist von unzufriedenen Mitarbeitern oder jungen Programmierern geschrieben, die einen „Kick“ suchten. Der einzige Zweck eines Malware-Programms bestand darin, allgemeines Chaos anzurichten und das Selbstwertgefühl des Urhebers zu steigern. Wenige Personen verfügten damals über die Zeit oder die Fähigkeiten, die zum Erstellen von Malware erforderlich waren, und noch weniger waren in der Lage, die Malware dazu zu bringen, sich selbst zu verbreiten. So genügte es in diesem frühen Stadium meist, einen „Schnappschuss“ (heute spricht man von “Signatur”) der Malware zu erstellen und das System damit nach infizierten Dateien zu durchsuchen. Dazu reichte ein einfacher Suchmechanismus. Zur selben Zeit nutzten einige Virenautoren gemorphten Code, um wichtige Dateien des Betriebssystems anzugreifen und den Computer lahm zu legen. Gegen diese Bedrohung entwickelten Virenschutzanbieter eine einfache Methode, mit der die Größe wichtiger Systemdateien, die für Virenangriffe anfällig waren, mit einer Liste gültiger Dateigrößen abgeglichen werden konnte. Auf diese Weise ließen sich Infektionen leicht erkennen. Sobald sich die Malware jedoch verbreitet hatte und Schaden anrichtete, bot diese Herangehensweise nur noch begrenzt Schutz. Heute kann jeder, der über IT-Grundkenntnisse, eine Internetverbindung und unlautere Absichten verfügt, eigene Malware entwickeln. Anleitungen für die Herstellung finden sich überall im Internet2, 3, 4 5. Dort gibt es Informationen zur Herstellung und Verbreitung von Malware, und es gibt sogar Websites, auf denen Toolkits für die Erstellung von Malware heruntergeladen werden können. Viele dieser Sites entstanden, um legitime White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen Werkzeuge zur Steigerung des Sicherheitsbewusstseins von Unternehmen anzubieten, doch für Individuen mit kriminellen Absichten ist es ein Leichtes, diese Tools für ihre Zwecke zu manipulieren. Angriffspunkte für Malware lassen sich heute noch einfacher finden, da immer mehr Menschen und Anwendungen das Internet nutzen und die Zahl der Schwachstellen in Anwendungen rapide zunimmt. Einem Bericht von Secunia6 zufolge steigt die Anzahl von Anfälligkeiten stetig an. In der Zeit vom Februar 2003 bis zum August 2006 etwa hat sie sich vervierfacht. www.securecomputing.com Bedenkt man die Verfügbarkeit all jener Tools, den Anstieg der Anzahl an Personen, die in der Lage sind, Malware zu erstellen, und die zunehmende Zahl an Schwachstellen in Anwendungen, ist es kaum erstaunlich, dass die Zahl der Malware-Programme in den letzten Jahren exponentiell angestiegen ist. Am 6. Juli 2006 gab McAfee eine Presseerklärung heraus, in der stand, dass das Unternehmen in den ersten 18 Jahren gerade mal 100.000 Beispielcodes bösartiger Software in seine Datenbank aufgenommen hatte, sich die Anzahl danach jedoch in weniger als zwei Jahren auf 200.000 Exemplare verdoppelte. Innerhalb der nächsten zwei Jahre erwarte man einen Anstieg auf 400.000 Bedrohungen7. Eine der wichtigsten Veränderungen in der Natur der Angriffe besteht darin, dass Malware heute viel häufiger auf bestimmte Unternehmen oder Benutzergruppen abzielt. Dies hat zu dem explosionsartigen Anstieg von Malware beigetragen. Anbieter herkömmlicher Virenschutzlösungen haben auf diese Malware-Flut mit einer Aktualisierung ihrer Systeme reagiert und ihre Prozesse gestrafft, so dass neue Malware-Programme innerhalb weniger Stunden untersucht und in eine Signatur verwandelt werden können. Zudem wurde die Anzahl ihrer Virenquellen von wenigen Dutzenden auf Hunderte oder gar Tausende erweitert. Auch wenn dies ein guter Anfang zu sein scheint, stellt sich die Frage, ob die verstärkte Investition in Signaturerkennung tatsächlich adäquaten und rechtzeitigen Schutz bietet. Um diese Frage zu beantworten, wollen wir die historischen Daten zur Reaktionszeit vom ersten Auftreten eines neuen Virus oder MalwareProgramms bis zum Bereitstellen einer Signatur Figure 1: Anzahl der Sicherheitsempfehlungen der letzten Jahre von Secunia6 durch einen Virenschutzanbieter betrachten. Reaktionszeiten von Virenschutzanbietern in den Jahren 2003 bis 2006 Die nachfolgenden drei Tabellen zeigen die Bereitstellungszeiten von Virenschutzanbietern in den Jahren 2003, 2005 und 2006. Auffällig ist, dass die Spanne zwischen dem ersten Auftreten von Malware und der Bereitstellung einer Signatur auch heute noch stark schwankt. Dies bedeutet für Unternehmen, dass sie trotz aktueller Virenschutzsoftware immer noch über längere Zeit ungeschützt sind. White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen Reaktionszeiten auf Sober.C im Jahr 2003 sowie Datum und Uhrzeit der Bereitstellung von Signaturen durch verschiedene Virenschutzanbieter www.securecomputing.com WORM discovered 2003-12-20 03:00 BitDefender 2003-12-20 13:20 Kaspersky 2003-12-20 14:44 F-Prot(Frisk) 2003-12-20 15:25 F-Secure 2003-12-20 15:45 Norman 2003-12-20 18:25 eSafe(Aladdin) 2003-12-20 18:35 TrendMicro 2003-12-20 19:50 AVG(Grisoft) 2003-12-20 20:15 AntiVir(H+BEDV) 2003-12-20 22:20 Symantec 2003-12-21 04:05 Avast!(Alwil) 2003-12-21 09:55 Sophos 2003-12-21 14:35 Panda AV 2003-12-21 17:05 McAfee 2003-12-22 04:10 Ikarus 2003-12-22 10:35 eTrust(CA) 2003-12-22 17:50 AVG (GData) 2003-12-23 23:50 Good Bad: 34 hrs Abbildung 2: Reaktionszeiten auf W32/Sober. C/Quelle: Av-test.org8 Reaktionszeiten auf den Wurm Zotob/A im Jahr 2005 sowie Datum und Uhrzeit der Bereitstellung von Signaturen durch verschiedene Virenschutzanbieter Webwasher Blocked w/o update (ProActive security filters) Kaspersky 2005-08-16 21:57 QuickHeal 2005-08-16 22:48 ClamAV 2005-08-16 23:12 eTrust-INO 2005-08-16 23:51 F-Secure 2005-08-17 00:03 AntiVir 2005-08-17 00:19 Sophos 2005-08-17 00:44 Trend Micro 2005-08-17 00:44 McAfee 2005-08-17 01:34 eTrust-VET 2005-08-17 01:53 Symantec 2005-08-17 03:05 Command 2005-08-17 03:40 Dr Web 2005-08-17 07:04 Ikarus 2005-08-17 07:41 Avast 2005-08-17 08:04 AVG 2005-08-17 11:33 Hauri 2005-08-17 13:45 VirusBuster 2005-08-17 14:32 Proland 2005-08-17 11:16 Good Bad: 37 hrs Abbildung 3: Reaktionszeiten von Virenschutzanbietern auf den Wurm Zotob9 White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen Reaktionszeiten auf den Wurm Nyxem im Jahr 2006 sowie Datum und Uhrzeit der Bereitstellung von Signaturen durch verschiedene Virenschutzanbieter www.securecomputing.com Webwasher Blocked w/o update (ProActive security filters) McAfee Blocked w/o update (Heuristics) QuickHeal 16.01.2006 10:00 Bitdefender 16.01.2006 12:13 Kaspersky 16.01.2006 13:44 AntiVir 16.01.2006 14:52 Karus 16.01.2006 15:27 Dr Web 16.01.2006 15:56 F-Secure 16.01.2006 16:03 F-Prot 16.01.2006 16:31 Command AV 16.01.2006 17:04 AVG 16.01.2006 17:05 Sophos 16.01.2006 17:25 Ewido 16.01.2006 19:08 Trend Micro 17.01.2006 04:16 Trust-VET 17.01.2006 07:39 Norman 17.01.2006 08:49 ClamAV 17.01.2006 09:47 Avast! 17.01.2006 16:31 eTrust-INO 17.01.2006 17:52 Symantec 17.01.2006 18:03 Good Bad: 32 hrs Abbildung 4: Reaktionszeiten von Virenschutzanbietern auf den Wurm Nyxem10 Fazit: Reaktive Signaturen von Virenschutzanbietern allein reichen nicht aus. Benötigt wird eine proaktive Lösung. Auch wenn Virenschutzanbieter heute Schutz vor deutlich mehr Viren bieten als früher, zeigen diese Beispiele, dass signaturbasierte Lösungen immer noch ein zentrales Problem mit sich bringen: In der Zeit (teilweise Stunden oder Tage), die vergeht, bis Virenschutzanbieter eine Signatur bereitstellen, sind Unternehmen weiterhin anfällig. Besonders kritisch ist dies bei gezielten Angriffen, da diese von Virenschutzanbietern oft nicht einmal wahrgenommen werden. In den oben genannten Beispielen handelte es sich um breit gestreute Angriffe, die schnell entdeckt wurden. Die Anbieter von Virenschutzsoftware reagierten relativ prompt und konnten nach kurzer Zeit eine Signatur bereitstellen. Im Fall von gezielten Malware-Angriffen kann einige Zeit vergehen, bis die Virenschutzanbieter aufmerksam werden. Es ist nicht gewährleistet, dass sie überhaupt reagieren, und wenn doch, kann es bereits zu spät sein. Die Reaktionszeiten können also enorm schwanken. Genau darauf zielt Malware ab, und dadurch wird deutlich, dass Virensignaturen per definitionem keinen adäquaten und umfassenden Schutz bieten können. Die einzig clevere Lösung besteht also darin, der unvorhersehbaren Natur von Malware mit proaktiven Mitteln zu begegnen. Die wechselhafte Natur von Malware-Angriffen Malware-Angriffe haben sich seit den ersten Tagen des Internets, in denen einfach Viren erstellt und dann auf das Internet losgelassen wurden, deutlich verändert. Diese Veränderungen sind in den folgenden sechs Punkten zusammengefasst. 1. Malware-Angriffe erfolgen viel gezielter und ausgefeilter: Die Zeit der zufälligen Angriffe ist vorbei. Heute ist Malware auf bestimmte Unternehmen oder Nutzer mit bestimmten Verhaltensmustern ausgerichtet. Relevant ist zum Beispiel, um welches Unternehmen es sich handelt oder welche Aufgaben die Nutzer ausführen, auf welche Internetseiten sie zugreifen, ob Inhalte von unzuverlässigen Seiten heruntergeladen werden, wie vorsichtig sie beim Herunterladen von Email-Anhängen sind und so weiter. Der herkömmliche Ansatz, dass man mit einer einzigen Lösung alle Angriffe abwehren kann, ist nicht mehr ausreichend. White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen 2. Malware ändert ständig ihren Code: Die neuesten Viren sind so konzipiert, dass sie sich täglich oder bei jedem Weiterversenden ändern. Auf diese Weise werden sie von Virenschutzprogrammen nicht erkannt. Hersteller von Virenschutzlösungen müssen sich entweder auf leistungsintensive und fehleranfällige Heuristiken verlassen oder für jede Mutation eine neue Signatur entwickeln. www.securecomputing.com 3. Malware richtet finanzielle Schäden an: Bei Malware handelt es sich längst nicht mehr um einen Teenagerstreich. Sie wird von cleveren Individuen und gut organisierten Gruppen erstellt und in Umlauf gebracht. Bei den Tätern handelt es sich um talentierte Softwareprogrammierer, die den Mitarbeitern der Virenschutzhersteller in nichts nachstehen, und sie arbeiten hart, um den “rechtschaffenen” Programmierern immer mindestens einen Schritt voraus zu bleiben. Noch häufiger wird Malware gezielt für Unternehmensspionage eingesetzt. Ein prominentes Beispiel war die Infiltration des israelischen Fernsehnetzwerks HOT im Jahr 200511. 4. Bei einigen Programmen zum Entfernen von Malware handelt es sich um Malware selbst: Diese so genannte “Greyware” ist eine hinterlistige Falle. Gerüchten zufolge arbeiten einige Betreiber von PornoWebseiten eng mit Programmierern von Malware zusammen. Greift dann jemand auf die Website zu, erhält er eine Fehlermeldung, die besagt, dass sein Computer unsicher ist und dass er auf einen Link klicken und ein Testprogramm herunterladen soll, mit dem der Computer auf einen möglichen Befall untersucht wird. Bei diesem Testprogramm handelt es sich dann in Wahrheit um Spyware, die sich jedoch hinter einem scheinbar gutartigen Programm zur Systembereinigung o. ä. verbirgt. 5. Standardmäßige Antivirenprogramme sind häufig nicht effektiv: Die Urheber von Malware testen ihre Kreationen ständig darauf, ob sie von Norton, McAfee und anderen Programmen zum Schutz vor Viren und Spyware erkannt werden und stellen sicher, dass dies bei der Inumlaufsetzung nicht der Fall ist. Bis die Virenschutzhersteller die Malware entdeckt haben, ist es zu spät, und die Malware-Programmierer ändern ihren Code, so dass die Malware weiterhin nicht erkannt wird. Manchmal erfolgt die Codeänderung sogar automatisch (siehe #2 weiter oben). 6. Versteckspiel: Immer mehr Malware-Programme versuchen mittlerweile, sich mit Hilfe von RootkitMechanismen zu verstecken oder die Antivirensoftware auf dem Client gar vollständig zu deaktivieren12. Neue Herangehensweisen beim Lösen des Malware-Problems Allgemeine Überlegungen Unternehmen sollten sich niemals auf eine Lösung verlassen, die nur auf den Clients oder nur am Gateway greift. In vielen Firmen besteht der Virenschutz aus Lösungen, die auf den Clients installiert sind. Das ist zwar ein guter Anfang, doch sollte man auch daran denken, eine Malware-Schutzlösung am Gateway einzurichten. Dabei ist unbedingt sicherzustellen, dass eine große Bandbreite an Protokollen abgedeckt ist. Alle Anwendungsprotokolle, die in ein Netzwerk eindringen, müssen genau überprüft werden. Viele Unternehmen setzen heute auf eine Mischung aus Spam- und Virenschutzlösungen. Doch was ist mit dem Schutz für das Internet-Gateway? Er ist ebenso wichtig wie ein Email-Gateway. Neben dem HTTP-Datenverkehr sind Protokolle wie HTTPS oder Instant Messaging (IM), die ein zunehmend hohes Datenaufkommen aufweisen, ebenfalls angreifbar und sollten daher geschützt und überwacht werden. Secure Computing bietet einen SSL-Scanner, mit dem aus- und eingehender HTTPS-Datenverkehr geschützt wird13, sowie einen IM-Filter, mit dem die unerlaubte Nutzung solcher Dienste und Peer-to-Peer-Anwendungen wie Skype oder Kazaa unterbunden werden können. Wenn Sie Instant Messaging gezielt zulassen möchten, sollten Sie dies gründlich überwachen. Hierzu empfiehlt sich die IronIM™ Lösung von Secure Computing.14 Überlegungen zum Schutz von Desktop-Computern Betrachtet man die Tabelle zur Verbreitung von Malware im Jahr 2006 im VirusBulletin15, stellt man fest, dass keines der 30 aufgeführten Malware-Programme manuell oder physisch verbreitet wurde. Alle verbreiten sich über Email, Instant Messaging oder Netzwerkfreigaben. Hieraus lässt sich schließen, dass der Nutzen von Virenscannern auf den Clients immer weiter abnimmt. Dateiserver und Gateways andererseits müssen wesentlich genauer beobachtet werden. Einer der Hauptgründe für diese Veränderung besteht darin, dass der typische Bootsektor-Virus, den wir von Disketten kennen, aufgrund des Aussterbens von Diskettenlaufwerken so gut wie verschwunden ist. Das Risiko, dass sich ein Virus auf einem USB-Speichergerät oder einer CD bzw. DVD befindet, besteht jedoch weiterhin und ebenso die Notwendigkeit für Virenschutz auf Arbeitsplatzrechnern. Die Notwendigkeit, das Gateway zu schützen, nimmt jedoch zu, denn es stellt den Haupteintrittspunkt für Malware dar. White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen Ein typischer Wurm, Virus oder ein Spyware-Programm verbreitet sich heute ausschließlich per Email oder über das Netzwerk. Wenn Sie auf Malware stoßen, die sich anders verhält, handelt es sich entweder um: - relativ alte Malware, für die selbst die älteste Anti-Viren-Engine über eine Signatur verfügen sollte, oder um - einen einzigartigen und speziellen Angriff auf Ihr Unternehmen oder Ihre Domäne. In diesem Fall wird selbst die beste signaturbasierte Virenschutzsoftware dafür keinen Schutz bieten. www.securecomputing.com Der Schutz von Arbeitsplatzrechnern ist also weiterhin notwendig. Die erste Wahl im Unternehmensumfeld ist eine, heutzutage relativ günstige, Virenschutzlösung für Arbeitsplatzrechner mit möglichst guter Integration in Windows. Andere Möglichkeiten sind Lösungen, die auf einem positiven Sicherheitsmodell basieren, das nur “bekannte und gutartige” Prozesse auf Client-Computern und Servern zulässt und das die Ausführung jeglicher unerlaubter Anwendungen und Skripte verhindert. Ein potenzieller Nachteil hiervon besteht für den Endbenutzer im Verlust der Kontrolle über den Arbeitsplatzrechner. Überlegungen zum Schutz des Internet-Gateways Wie bereits gezeigt, hat das Scannen aller offenen Protokolle auf Malware am Gateway an Bedeutung zugenommen, damit Netzwerke frei von Malware und anderen unerwünschten Programmen bleiben. Fast alle Hersteller von Virenschutzsoftware bieten eine Lösung, die auf das Gateway zugeschnitten ist. So können Kunden aus einer Vielzahl von Lösungen wählen. Herkömmliche signaturgebundene Gateway-Lösungen unterliegen jedoch denselben Beschränkungen wie ähnliche Lösungen für Client-Computer. Daher gilt es, bei der Wahl einer Sicherheitslösung für das Gateway Folgendes zu beachten: Reduzieren Sie die Abhängigkeit von Signaturen: Wir haben gezeigt, dass die Anbieter traditioneller Virenschutzlösungen nicht Schritt halten können mit den neuesten Arten und Varianten der immer stärker zunehmenden Malware-Flut. Heute gibt es zusätzliche Möglichkeiten, das Malware-Problem mit mehr als nur Signaturen anzugehen. Diese Möglichkeiten werden im Folgenden beschrieben. Vermeiden sie Monokulturen: Es ist unklug, auf den Arbeitsplatzrechnern und dem Gateway die gleiche Lösung zu verwenden, besonders dann, wenn diese signaturbasiert ist. Die Gefahr, dass ein neues MalwareProgramm unerkannt durch das Gateway eindringt und sich ebenfalls unerkannt auf den Clients einnistet, ist wesentlich größer, wenn überall Anwendungen vom selben Anbieter eingesetzt werden. Die meisten Virenschutzanbieter versuchen ihre Firmenkunden mit Bündelpreisen für unbegrenzte Gateway-Nutzung zu locken, wenn sie den Client-Schutz erwerben (oder umgekehrt). Auch wenn dies eine attraktive, kostengünstige Lösung zu sein scheint, ist es besser, auf den Clients und am Gateway Anti-Malware-Programme von unterschiedlichen Herstellern einzusetzen. Überwachen Sie alle offenen Protokolle: Die meisten Unternehmen überprüfen zwar E-Mails und InternetDatenverkehr auf Malware, doch Malware kann sich genau so einfach über Peer-to-Peer- und IM-Anwendungen sowie HTTPS-Verbindungen verbreiten. Einfach einzusetzende Lösungen, deren Schutz vor Malware auch HTTPS13 und IM-Verkehr14 abdeckt, können zusätzlich zu bestehenden Lösungen erworben werden. Sie sollten erwägen, diese flächendeckend einzusetzen oder diese Protokolle vollständig zu blockieren. Verlassen Sie sich nicht auf eine einzelne Malware-Schutzlösung: Wie wir zuvor anhand der Signaturdaten für drei Virenangriffe demonstriert haben, ist die Chance, dass derselbe Virenschutzanbieter immer als erster einen neuen Angriff stoppt, ziemlich gering. Erwägen Sie, mehrere Lösungen am Gateway einzusetzen. Hardware ist günstig, und einige Anbieter bieten gebündelte Malware- und Virenschutzpakete. Machen Sie davon Gebrauch! Die nächste Generation: Bekämpfen von Malware unabhängig von Virensignaturen Bisher haben wir aufgezeigt, wie sich Viren zu Malware weiterentwickelt haben, die selbst von häufig aktualisierten Virensignaturen unerkannt bleibt. Es gibt heute eine Reihe von Lösungen, die verschiedene Ansätze zum Schutz vor Malware bieten und sich dabei nicht ausschließlich auf Virensignaturen verlassen. Sehen wir uns einige davon an: Heuristiken: Einige althergebrachte Virenschutzlösungen wurden um sogenannte “heuristische“ Erkennungsmethoden ergänzt, mit denen auch leicht abweichende Varianten von bekannten Signaturen gefunden werden. Tests haben gezeigt, dass dies das Problem jedoch nicht löst, da sich die Erkennungsrate White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen nicht sonderlich stark verbessert16. Sie bieten zwar ein wenig mehr Sicherheit, stellen aber keine endgültige Lösung dar. Das Hinzufügen von Heuristiken wirkt sich zudem negativ auf die Leistung aus und führt vermehrt zu Falschmeldungen. Im “Proactive Security Step-by-step Guide” (Schrittweise Anleitung zur proaktiven Sicherheit)16 finden Sie weitere Informationen zu den Problemen, die Heuristiken mit sich bringen. www.securecomputing.com Sandboxen: Weitere Lösungen umfassen den Einsatz so genannter “Sandboxen”17. Beim Einsatz von Sandboxen wird eine abgeschirmte virtuelle Umgebung geschaffen, in der sich das potenziell schädliche Verhalten von aktivem Code ermitteln lässt. Diese Methode am Gateway einzusetzen, empfiehlt sich jedoch nicht, da beim Einrichten von Sandboxen Leistungsengpässe entstehen. Zudem gibt es am Gateway gewöhnlich keine verlässliche Möglichkeit, herauszufinden, wie die Arbeitsplatzumgebung emuliert werden muss, damit der ausführbare Code korrekt ausgeführt werden kann. Proaktive Verhaltensanalyse: Echte proaktive Lösungen basieren – zumindest teilweise – auf einer Verhaltensanalyse und dem Blockieren verdächtigen Codes. Bekannte Funktionen verhalten sich in einer vorgegebenen Weise. Proaktive Lösungen analysieren den Code und ermitteln, ob dieser sich in der vorgegebenen Weise verhalten wird. Ist das Verhalten unerwartet oder gar verdächtig, wird der Code an der Ausführung gehindert. Verbindungskontrolle anhand von Listen: Hierbei wird gesteuert, welche Seiten Mitarbeiter beim Surfen im Internet besuchen können (URL-Filter), und eingehende Emails werden auf bekannte “unerwünschte Absender” überprüft, von denen kein guter oder erwünschter Inhalt zu erwarten ist. Auch wenn diese Methode alleine für Unternehmen kein ausreichendes Maß an Sicherheit bietet, ist sie eine gute Möglichkeit, vorhandene Lösungen zu ergänzen. Es wird immer Webseiten oder IP-Adressen von Absendern geben, die sich nicht leicht kategorisieren lassen und deshalb im Hinblick auf ihre Inhalte eine weitere Analyse erforderlich machen, bevor entschieden werden kann, ob sie gut- oder bösartig sind. Lösungsangebote von Unternehmen, die ausschliesslich Datenbanken verwenden, um zu beurteilen, ob eine URL oder die IP-Adresse eines Absenders bösartig ist, ohne Feinabstufungen zu untersuchen, sind mit Vorsicht zu genießen. Bei der Geschwindigkeit, mit der neue Websites und Mailserver auftauchen, haben wir es hier mit demselben Problem wie mit verspäteten Signaturen bei herkömmlichen Virenschutzlösungen zu tun. Fazit Wir haben die aufkommenden Probleme sowie eine Reihe potenzieller technischer Lösungen vorgestellt. Doch welcher Ansatz ist nun der beste? Kurz gesagt: Optimal ist eine mehrschichtige Anti-Malware-Strategie mit vielzähligen Protokollen, die auf den Schutz der Clients und des Gateways ausgerichtet ist und dabei sowohl Signaturen wie auch eine proaktive Sicherheitsmethode verwendet. 1. Heute wie auch in Zukunft benötigen Unternehmen Malware-Schutzlösungen für Arbeitsplatzrechner. 2. Aufgrund der Tatsache, dass sich Malware heute selbst verbreitet, sind Lösungen, die am Gateway ansetzen, ebenfalls erforderlich. 3. Um mit der zunehmenden Flut und der ausgeklügelten Natur von Malware Schritt halten zu können, müssen signaturbasierte Lösungen durch intelligentere “proaktive” Lösungen ergänzt werden. 4. Signaturbasierte Lösungen sollten mit einer Form von Verbindungskontrolle (URL-Filter, Blockieren von Emails anhand des Absenders) kombiniert werden, um eine Überschwemmung durch Malware von vornherein zu verhindern. 5. Protokolle (Z.B. HTTPS oder IM) die noch keiner Kontrolle unterliegen, müssen entweder blockiert, oder, wenn sie für Unternehmenszwecke erforderlich sind, genauestens kontrolliert werden. Protokolle, die nicht kontrolliert werden können, sollten blockiert werden, da neue Formen von Malware ansonsten ihren Weg in das Unternehmen finden. Der Webwasher® Anti-Malware von Secure Computing ist derzeit die einzige Lösung, die all diese Anforderungen erfüllt. Diese Lösung wird im nächsten Abschnitt näher beschrieben. White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen Schutz vor Malware dank Webwasher Überblick www.securecomputing.com Secure Computing bietet ein komplettes Portfolio an Web Gateway Security-Anwendungen, die Unternehmen vor Malware, dem Verlust vertraulicher Daten sowie dem Missbrauch des Internets schützen und mit denen die Einhaltung von Richtlinien für eine produktive Benutzerumgebung gewährleistet werden kann. Dank der TrustedSource™-Technologie kann Secure Computing in Echtzeit buchstäblich für Millionen von Rechnern, die weltweit an das Internet angeschlossen sind, ein Profil erstellen und über Verhaltensanalysen einen “Reputationswert” vergeben. Anhand dieses Wertes wird dann entschieden, ob eine Verbindung zu dem betreffenden Rechner genehmigt wird. Auch in Webwasher kommt die TrustedSource-Technologie zum Einsatz. Des Weiteren nutzt dieses Produkt Verhaltensanalysen von potentiellem Schadcode und Signaturtechnologien zum Stoppen von Malware. Webwasher® versorgt Ihr Netzwerk mit der dringend benötigten Sicherheitsebene, mit der sowohl eingehende wie auch ausgehende Bedrohungen erkannt werden und die sofortigen Schutz vor versteckten Bedrohungen bietet. Webwasher Anti-Malware von Secure Computing ist ein Produkt der nächsten Generation, wenn es um den Schutz von Internet-Gateways geht. Von der unabhängigen Einrichtung AV-test.org wurde es als bestes seiner Klasse gekürt19. Webwasher untersucht allen eingehenden und ausgehenden Datenverkehr in bis zu sechs Schritten. Webwasher lässt sich durch Hinzufügen zusätzlicher Schutzebenen weiter verbessern. Diese Ebenen kontrollieren auf einfache Weise die Verbindungen, die am Gateway erlaubt sind. Diese “Verbindungskontrolle” umfasst zwei Mechanismen: - Einen wirkungsvollen URL-Filter, mit dem Benutzern der Zugriff auf bekannte “kriminelle” Sites verweigert wird, auf denen Spyware und andere schädliche oder gar illegale Inhalte verbreitet werden. - Einen Mechanismus zum Abweisen eingehender Emails, und zwar bereits, wenn die Verbindungsanfrage gestellt wird. Emails von bekannten unerwünschten IP-Adressen werden mit Hilfe der TrustedSourceDatenbank von Secure Computing blockiert. Im ersten Schritt der Webwasher Anti-Malware-Lösung führt ein leistungsstarker Medientypfilter für jede Datei eine Analyse anhand des „MagicByte“ durch. Dadurch wird bei Dateien, die vorgeben, einem anderen Dateityp anzugehören, der tatsächliche Dateityp ermittelt. Unternehmen können somit potenziell gefährliche Medientypen (wie z. B. unbekannten ActiveX-Steuercode), die eine hohe Bandbreite benötigen oder die Produktivität senken (z. B. Videostreams) einfach und sicher verbieten. Im nächsten Schritt untersucht die Anti-Malware-Engine von Webwasher den eingehenden Datenverkehr auf bekannte Signaturen von Viren, Spyware, Bots oder anderen unerwünschten Programmen. Mit dem Authenticode-Filter wird sämtlicher aktiver Code auf digitale Signaturen untersucht. Über detaillierte Einstellungsmöglichkeiten können Administratoren aktiven Code im Hinblick auf den Aussteller oder die Gültigkeit von Signaturen zulassen, blockieren oder weiter untersuchen. Dies ist eine effektive Möglichkeit, unerwünschten aktiven Code vom Netzwerk fernzuhalten und reguläre Software Updates oder ausführbare Dateien von bekannten und vertrauenswürdigen Quellen dennoch zuzulassen. Im nächsten Schritt wird eine Verhaltensanalyse durchgeführt. Hierbei untersucht Webwasher die Programmstruktur des Codes, um zu ermitteln, ob er sich auf bekannte Weise verhalten wird. Bei unerwartetem oder verdächtigem Verhalten wird der Code an der Ausführung gehindert16. Weltweit sind bereits über 5 Millionen Endbenutzer durch Webwasher-Produkte mit integrierter Verhaltensanalyse geschützt, und Secure Computing erhält über die eingebaute Feedback-Funktion einen stetigen Strom an böswilligen oder unerwünschten Programmen. Diese werden analysiert und Signaturen in die Anti-Malware-Engine eingespeist. Im sechsten und letzten Schritt werden Skripte gescannt und neutralisiert, die versuchen, Schwachstellen beim Client auszunutzen. Auch wenn die Skripte an sich nicht schädlich sind, ermöglichen sie das Einschleusen oder Ausführen weiteren schädlichen Codes. Das Erkennen und Neutralisieren solcher Skripte am Gateway verhindert, dass schädliche Inhalte an die Clients weitergegeben werden. Mithilfe umfangreicher Methoden werden die Skripte gescannt und mit einer automatisch aktualisierten Richtliniendatenbank abgeglichen. Bekannter oder unbekannter, auf Schwachstellen abzielender Scriptcode wird durch Wahrscheinlichkeitsgewichtungen verlässlich erkannt. White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen www.securecomputing.com Abbildung 5: Webwasher Anti-Malware untersucht allen eingehenden und ausgehenden Datenverkehr mithilfe mehrerer Filter. Weitere Informationen erhalten Sie in der Produktübersicht für Webwasher18. Der gemeinschaftliche Ansatz gegen Malware Mit Webwasher Anti-Malware wird jeder Kunde Teil der weltweiten Gemeinschaft gegen Malware. Die verhaltensbasierten Proactive Security-Filter von Webwasher, die in Webwasher Anti-Malware und anderen Webwasher-Produkten zum Einsatz kommen, schützen weltweit bereits mehr als 5 Millionen Endbenutzer. Mit diesen Sicherheitsfiltern werden die neuen Bedrohungen ohne ständig aktualisierte Signaturliste erkannt, und bei Secure Computing geht ständig ein Strom von Proben neuer Malware ein. Dank dieser verlässlichen MalwareQuellen kann Secure Computing problemlos Updates für die eigene signaturbasierte Engine in Webwasher AntiMalware bereitstellen. Vom Secure Computing-Verfahren profitieren alle Kunden, auch wenn sie die Proactive Security-Filter nicht aktiviert oder die Scanstufe auf “niedrig” gesetzt haben, denn diese Updates werden an alle weitergegeben. Abbildung 6: Die Anti-Malware-Community White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen 10 Überzeugende Ergebnisse Die Wirksamkeit der oben vorgestellten Herangehensweisen zum Bekämpfen bekannter Malware wurde von unabhängigen Virenforschungsstellen bestätigt. In einem kürzlich durchgeführten Test19 wurden 33 AntiMalware-Tools auf die Erkennung von 289.682 verschiedenen Malware-Exemplaren untersucht, die im Jahr 2006 gesammelt worden waren. Webwasher Anti-Malware belegte bei der Malware-Abdeckung den ersten Platz. www.securecomputing.com Abbildung 7: Vergleich der Erkennungsraten bei Malware. Quelle: eWeek: http://www.securecomputing.com/pdf/246693_final. pdf Test durchgeführt von AV-Test.org19 Die unabhängigen Testergebnisse in der nachfolgenden Tabelle machen deutlich, wie Webwasher Anti-Malware von Secure Computing proaktiv gegen Malware vorgeht. #1 Webwasher 99.97% #18 Trend Micro 90.03% #2 AntiVir 99.95% #19 Ikarus 84.77% #3 AVK 2007 99.95% #20 VBA32 81.28% #4 AVK 2006 99.89% #21 F-Port 77.88% #5 Symantec 99.04% #22 Command 77.11% #6 Kaspersky 98.86% #23 Microsoft 76.18% #7 F-Secure 98.24% #24 Ewido 74.67% #8 BitDefender 96.51% #25 Sophos 65.55% #9 Norman 96.34% #26 eSafe 59.34% #10 Nod32 95.80% #27 UNA 58.76% #11 Avast! 95.17% #28 QuickHeal 55.72% #12 AVG 94.78% #29 @Proventia-VSP 51.76% #13 Fortinet 94.65% #30 ClamAV 48.71% #14 McAfee 93.99% #31 eTrust-VET 48.37% #15 Rising 91.18% #32 eTrust-INO 41.92% #16 Panda 90.45% #33 VirusBuster 40.94% #17 Dr Web 90.38% Abbildung 8: Malwareschutz-Testergebnisse. Quelle: eWeek: http://www.securecomputing.com/pdf/246693_final.pdf. Test durchgeführt von AV-Test.org19 White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen 11 Quellen 1 Computer Security Institute: http://gocsi.com/ 2006 CSI/FBI Computer Crime and Security Survey 2 http://www.astalavista.net/ 3 http://www.metasploit.org/ www.securecomputing.com 4 http://astalavista.box.sk 5 http://www.blackcode.com/ 6 http://secunia.com/graph/?type=all&graph=adv_om 7 Presseerklärung von McAfee Inc. vom 6. Juli 2006: http://phx.corporate-ir.net/phoenix. zhtml?c=104920&p=irol-newsArticle&ID=879176&highlight= 8 http://www.av-test.org/index.pho3?lang=en 9 Quelle: http://www.pcwelt.de/news/sicherheit/118264/index2.html, Daten von AV-Test.org 10 Quelle: http://www.pcwelt.de/news/sicherheit/130720/index2.html, Daten von AV-Test.org 11 Computerworld Security (online): Ehepaar wegen Unternehmensspionage in Israel in Untersuchungshaft; Autoren von Trojaner halfen Top-Unternehmen bei gegenseitiger Spionage: http://www.computerworld.com/ securitytopics/security/virus/story/0,10801,108225,00.html?from=story_kc 12 http://de.wikipedia.org/wiki/Root_kit 13 Webwasher SSL Scanner von Secure Computing: http://www.securecomputing.com/index.cfm?skey=1536 14 IronIM von Secure Computing: http://www.ciphertrust.com/products/ironim/ 15 Verbreitung von Malware im Jahr 2006 – VirusBulletin: http://www.virusbtn.com/resources/malwareDirectory/ prevalence/index.xml?year=2006 16 “Proactive Security Step-by-step Guide” (Schrittweise Anleitung für proaktive Sicherheit), abrufbar bei Secure Computing: http://www.securecomputing.com/resourcecenter_main.cfm 17 Beschreibung des Begriffes “Sandbox” bei Wikipedia: http://de.wikipedia.org/wiki/Sandbox 18 Secure Computing Webwasher - Produktübersicht: http://www.securecomputing.com/index.cfm?skey=1657 19 Der von AV-Test.org durchgeführte Anti-Malware-Test wurde veröffentlicht in http://www.eweek.com/article2/0,1895,2023127,00.asp White paper Gezielte Angriffe abwehren: Weshalb umfassender Schutz gegen Malware für Ihr Unternehmen wichtiger ist als Virensignaturen 12