:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mit alter Technik gegen neue Gefahren Whitelisting als neue Anti-Malware Strategie?
Malware stellt nach wie vor, basierend auf der Menge, die die größte Bedrohung für den PC-Anwender dar. Auch wenn die Anzahl der Computerviren oder Würmer leicht rückläufig ist, Malicious Code, wie Ransomware und Trojaner sind dafür umso aktiver.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Als im Jahr 1986, Pakistani-Brain (entwickelt von einer Software-Firma) in Lahore/Pakistan über Raubkopien verteilt wurde, nahm die Malware-Evolution ihren Anfang. Cascade, Stoned und Herbstlaub folgten und nach wenigen Jahren zählte man bereits hunderte verschiedener Computerviren. Manche clever und destruktiv, manche nur als Scherzprogramm konzipiert.
:quality(80)/images.vogel.de/vogelonline/bdb/429200/429228/original.jpg "Computerviren, Würmer und Trojaner wie Sasser, Stuxnet und Melissa sind die Plage der IT. Wer hätte in den 70ern gedacht, was aus den harmlosen Scherzprogrammen einmal werden würde. (Archiv)")
Meilensteine der Malware, 1970-1990
Die Geschichte der Viren, Würmer und Trojaner
Anwenders Gunst
Aber egal, ob Scherzvirus, Bootsektor-Virus oder Dateivirus der Anwender benötigt ein zuverlässiges Mittel, um sich der digitalen Pest zu erwehren. Zu diesem Zeitpunkt waren zwei unterschiedliche Konzepte bei der Bekämpfung etabliert.
- Der Virenscanner, der ein vorgegebenes Such-Pattern in definierten Dateien (ausführbare Programme und Programmkomponenten) suchte.
- Ein Prüfsummenprogramm, welches die Unversehrtheit von ausführbaren Programmen über eine Checksumme verifizierte und nur bei korrekter Checksumme den Programmstart erlaubte.
Beide Konzepte wurden technologisch stets nachgerüstet, so dass beispielsweise Virenscanner mit einer Varianten-Analyse (Heuristik) auch (leicht) veränderte Computerviren erkennen konnten. Oder Checksummen-Tools, die nicht nur Dateien überwachten, sondern auch wichtige Systembereiche (Systemtabellen etc.).
Das Rennen um die Gunst des Anwenders machten schließlich Virenscanner, die nicht nur darüber informierten, dass eine Gefährdung existiert, sondern dieser auch einen (Virus-)Namen geben konnten. Damit war es dem Anwender möglich, Informationen über die Schadfunktion eines Virus zu erhalten und auch Hinweise auf dessen Beseitigung und zu beachtende Nebeneffekte.
Prüfsummenprogramm, die nach dem Funktionsprinzip Whitelisting agierten, verschwanden in der Versenkung und wurden bestenfalls noch additiv als zusätzliches Feature in einigen Security-Programmen angeboten. Aber das „anonyme“ erkennen und blockieren von veränderten und/oder neuen Programmen konnte den Anwender nicht überzeugen. Vielleicht war es aber auch die (nachvollziehbare) Entscheidung der Administratoren, die einer konkreten Bedrohungsfeststellung (Virusname) mit genauen Bearbeitungsschritten den Vorzug gaben, gegenüber einer ggf. erforderlichen Neu-Installation eines Anwender-PCs, um die anonyme Bedrohung (mit unbekannter Schadfunktion) zu beseitigen.
:quality(80)/images.vogel.de/vogelonline/bdb/1496300/1496349/original.jpg "Klassischer Virenscanner F-Prot aus dem Jahr 1994.")
:quality(80)/images.vogel.de/vogelonline/bdb/1496300/1496350/original.jpg "Die Anfänge von McAfee, als Kommandozeilen-Virenscanner.")
:quality(80)/images.vogel.de/vogelonline/bdb/1496300/1496351/original.jpg "WannaCry-Meldung am Bildschirm mit dem Hinweis, dass man nach Zahlung von Lösegeld die verschlüsselten Daten wieder erhält.")
:quality(80)/images.vogel.de/vogelonline/bdb/1496300/1496353/original.jpg "Die GUI von Seculution.")
Veränderte Rahmenbedingungen
Seit Anfang 1990 haben sich aber die Rahmenbedingungen für die IT stark verändert. Daher muss man sich fragen, ob denn das Schutzkonzept „Virenscanner“ überhaupt noch zeitgemäß ist? Anti-Malware-Hersteller nehmen die Fragestellung vorweg und präsentieren Ihrerseits eine technische Produkt-Evolution, die auf ML (Machine Learning), KI (Künstliche Intelligenz) und eine Verhaltensanalyse basiert. Dies beinhaltet meistens auch die integrierte Nutzung einer Sandbox, in der eine virtuelle Umgebung zur Malware-Analyse genutzt wird oder um das eigene Tool zu schützen. Aktuellstes Beispiel ist hier das Unternehmen Microsoft, welches das eigene Produkt „Windows Defender“ für Windows 10 mit einer Sandbox-Funktionalität versehen hat.
Aber die Frage bleibt, ob der Virenscanner, ungeachtet seiner technischen Innovationen heute noch das Security-Produkt der Wahl ist, wenn es gilt Schadsoftware zu bekämpfen? Unter anderem sprechen folgende Punkte dagegen:
- Die Dokumentation zu Schadsoftware ist fast nicht mehr vorhanden oder aktuell, da die Massen von Malware kein Hersteller bewältigen kann und automatisch erstellte Dokumentationen nur Fakten nennt, aber keine Gesamtbetrachtung oder Tipps zur effektiven Bekämpfung
- Die Analyse von Schadsoftware erfolgt automatisiert und es wird Wert auf eine Erkennung gelegt, die erfolgreiche Beseitigung kommt erst an zweiter Stelle
- Immer umfangreicher werdende Such-Pattern und Musterbeschreibungen (via AMSI oder YARA) müssen zum Endpoint transportiert werden, dies belastet die Netzwerke und Verteilmechanismen (Stichworte: Zeit und Netzlast)
- Eine Verhaltensanalyse, die meldet „Dieses Verhalten deutet auf einen Virus hin. Gefahr!“ – überträgt die Verantwortung auf den Endanwender, ohne diesen nachhaltig zu unterstützen.
- Clevere Malware, die der Virenscanner nicht erkennt, kann unerkannt Schaden anrichten, bis eine zuverlässige Erkennung implementiert ist
- Umfangreiche Exklusionen, bei der zu überprüfenden Dateimenge, schwächt das Konzept und schafft Lücken
Eine Alternative, die man näher betrachten sollte sind die Prüfsummenprogramme bzw. Tools, die nach dem Whitelisting-Modus verfahren.
:quality(80)/images.vogel.de/vogelonline/bdb/1482600/1482636/original.jpg "Für den sicheren Betrieb von Windows 10 im Netzwerk braucht es eine Kombination aus den korrekten lokalen Einstellungen und aus den passenden Gruppenrichtlinien. (Microsoft, VIT (M))")
Video-Tipp: Windows 10 Sicherheit
Windows 10 sicher im Netzwerk betreiben
Whitelisting
Tools, welche die Unversehrtheit der PC-Programme und -Bereiche verifizieren, können auf zweierlei Arten betrieben werden. Ein Modus ist der Run-Once-Start beim Laden des Systems und überprüfen aller Komponenten, ob diese unverändert vorliegen inklusive Bearbeitungsfunktion für veränderte Tools. Im alternativen Modus erfolgt die Überprüfung quasi „On-the-fly“ jeweils unmittelbar VOR dem Start eines Programms oder einer Programmkomponente.
Sicherer ist der zweite Modus, aber dieser wird, ebenso wie auch bei einem Virenscanner mit einer höheren Systembelastung erkauft. Mit einem Whitelisting Tool, dass den Start unklassifizierter oder veränderter Programme unterbindet, wäre ein großflächiger Vorfall wie beispielsweise durch WannaCry Mitte des Jahres 2017 erfolgte, zu verhindern gewesen.
Das Funktionsprinzip von Whitelisting ist dabei recht einfach (Siehe Ablaufdiagramm). Sobald der Anwender ein Programm startet, wird VOR der eigentlichen Programmstart ein Vergleich mit Referenzdaten zu dem Programm durchgeführt. Je nach System werden dabei der Dateiname, die Dateigröße, das Dateidatum, die Versionsnummer und andere Werte verglichen inklusive eines Hashwerts. Hier sollte aber aus Sicherheitsgründen ein SHA-2 besser SHA-3 genutzt werden, sofern SHA (Secure Hash Algorithm) hier die Basis ist!
Weicht einer der Referenzwerte ab, liegt eine Veränderung vor und das Programm gilt als kompromittiert und wir nicht ausgeführt! Sind die gespeicherten Referenzwerte und das aktuell im Startmodus vorliegende Programm identisch, erlaubt das Schutz-System den Programmstart.
Abwägung
Betrachtet man die IST-Situation, spricht vieles für einen Schutz auf Basis eines Whitelisting-Tools, denn Vorteile sind klar gegeben!
- Verhindert den Start von unbekannten Tools und Programmen (Malware), auch ohne eine existierende Suchanweisung oder Next-Gen-Verfahren zuverlässig
- Reduziert die Belastung für das Netzwerk (Zeit und Datenmenge), da üblicherweise nur ein Delta von Referenzwerten übermittelt werden muss zwischen den bereits existierenden Programmen auf dem Endpoint und solche, die sich verändert haben bzw. beabsichtigt modifiziert wurden (Programmupdates oder neue Komponenten)
- Es gibt keinen Security-Graubereich – zu startende Programme sind unverändert oder nicht!
- Whitelisting wird performanter bleiben als ein Virenscanner, denn die Zeit für Pattern-Vergleiche wird bei Whitelisting durch die Anzahl der ausführbaren Programme vorgegeben, beim Virenscanner durch die Anzahl der existierenden Malware.
- Das Software-Management wird erleichtert, indem man beispielsweise die Referenzwerte für veraltete Software-Produkte oder solche mit erheblichen Security-Lücken modifiziert bzw. widerruft – damit können diese für den IT-Betrieb gefährlichen Tools nicht mehr gestartet werden.
- Virtuelle Endpoints, die in der Cloud angesiedelt sind oder auf einem eigenen, virtuellen On Premises Rechenzentrum lassen sich schnelle und einfacher neu aufsetzen (Grundinstallation) und unterstützen einen automatischen „Heilungsprozess“
Einige Features, sollte man aber auch bei der Produktauswahl eines Whitelisting-Schutzes beachten. Am wichtigsten ist dabei, wie das Schutz-Modul im zu schützenden System verankert wird. Ist diese Methode nicht ausreichend sicher, könnte es einem Hacker mit Bordmitteln des Betriebssystems gelingen, die Schnittstelle zwischen Betriebssystem und Whitelisting-Tool zu attackieren.
Gleiches gilt für die Datei, in der die Referenzwerte gespeichert sind. Auch diese muss gegen unerlaubte Zugriffe abgesichert werden und darf nur durch eine autorisierte Stelle aktualisiert werden. Wäre dies beispielsweise eine einfache XML-Datei, könnte ein Angreifer einfach einen weiteren „Datensatz“ hinzufügen und so seine Tools oder Schadsoftware legalisieren.
Auch kryptographische Hash-Werte sollten einer Mindestqualität entsprechen und nicht auf simplen XOR- oder ADD-Verfahren basieren. Denn das Whitelisting-Tool muss vor Angreifern geschützt werden, denn sonst ist die eigentliche Schutz-Funktion via Referenzwerten zu kompromittieren und damit wirkungslos!
Auch eine sichere und benutzerfreundliche Strategie, um beispielsweise temporär die Nutzung von Tools zu erlauben oder Mobile-User mit ihrem Laptop auf Reisen zu unterstützen, zeigt die Qualität des Tools.
:quality(80)/images.vogel.de/vogelonline/bdb/1272900/1272942/original.jpg "Windows 10 Device Guard ist ideal für Kiosk-Rechner geeignet und bietet mehr Sicherheit für Arbeitsstationen im Unternehmen, ist aber schwer einzurichten und zu verwalten. (Pixabay)")
Whitelisting-Tool von Microsoft
Mit Windows 10 Device Guard Arbeitsstationen schützen
Whitelisting-Tools
Am Markt werden verschiedene Tools angeboten, die einen Ausweg aus dem Update-Verpflichtungen eines klassischen Anti-Malware-Scanners bieten und gleichzeitig eine einfachere Nutzung als Next-Gen-Tools ermöglichen. Ein Vertreter, der sogar mit einem Slogan „Nie wieder Schadsoftware“ wirbt und eine Geld-Zurück-Garantie verspricht, ist Seculution. Im Gegensatz zu einigen anderen Whitelisting-Tools nutzt Seculution ein eigenes Security-Konzept. Ein Unterlaufen dieses Systems, wie beispielsweise bei Eternal Blue ist damit, aus heutiger Sicht, nicht möglich, auch wenn die Angreifer-Tools mit Systemberechtigung agieren.
Auch McAfee mit seinem Tool „Application Control“ bemüht sich um die Gunst des Anwenders. Das Tool kann dabei auf global verfügbare Daten zurückgreifen (dabei wurden Anwendungen bereits als vertrauenswürdig klassifiziert) und additiv unternehmensspezifische Daten nutzen, die durch die eigene Security-Organisation bereitgestellt werden. Application Control wird auch durch McAfees eigenes Verwaltungstool ePolicy Orchestrator unterstützt, so dass eine zentrale und komfortabel Steuerung gegeben ist.
Letztendlich bietet auch Microsoft selbst mit seinem eingebauten Schutz via „AppLocker“ eine Whitelisting-Lösung an und eine sinnvolle Ergänzung zu Windows Defender. AppLocker gibt es ab Windows V7 (Pro-Version) – aber eine sinnvolle Nutzung, bei der die erzeugten Security-Regeln auch durchsetzbar sind, bleibt auf Server-Ebene beschränkt und auf Windows 10 (bzw. die Enterprise-Version). Durch die integrierte Nutzung von anderen MS-Diensten und Services, lässt sich mit AppLocker ein durchdachter Schutz aufbauen. Wem die Nutzung von AppLocker zu kompliziert erscheint und mit zu viel Handarbeit verbunden ist, dem sei beispielsweise der „AppLocker Manager“ empfohlen.
Technische Herausforderungen
Es gibt aber auch Herausforderungen, für die man mit einem Whitelisting-Tool einige Klimmzüge machen muss. Bekanntestes Beispiel ist hier die Powershell.exe. Dieser mächtige Skriptinterpreter kann auch zur Programmierung von Malware verwendet werden oder um Angriffsprogramme zu schreiben (dies kann man auch direkt eintippen!). Zwar kann man hier mit AMSI (AntiMalware-Scan Interface) partiell entgegensteuern, jedoch ein Restrisiko bleibt immer. Interessant wird es sicher werden, wie sich die verschiedenen Konzepte im Hinblick auf die immer mehr genutzten Cloud-Umgebungen auswirken und wie eine Zusammenarbeit zwischen Cloud-Schutz und lokalem Endpoint-Schutz aussehen wird? Oft liegt hier die Krux im Details, denn die scheinbar unendlich vielen Anwendungen und kreativen Nutzungswege fordern auch ein Whitelisting-Tool heraus. Denn ein prophylaktisches verbieten des Starts von neuen beziehungsweise unbekannten Anwendungen ist wenig geschäftsförderlich!
Zusammenfassung
Auch wenn die Whitelisting-Technologie nicht neu ist, sollte man sie im aktuellen Umfeld unbedingt auf einen möglichen Einsatz überprüfen. Denn die Massenproduktion von Schadsoftware, die gesteigerten Skills der Cyber-Programmierer, die sich intelligente und schwer zu entdeckenden Attacken ausdenken und die immer größer werdenden Datenmengen können eines Tages den technischen KO von Virenscannern einläuten.
(ID:45644999)
:quality(80)/p7i.vogel.de/wcms/45/09/45094460c96046afd4f9b57be6cb1d6e/0106836712.jpeg "Bis Anfang 2021 zählte Emotet zu den gefährlichsten Computer-Schadprogrammen weltweit. Zehn Monate später war die Malware wieder im Umlauf. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/23/4823fc9728af060082662083770937da/0110957961.jpeg "Aktuell gehalten, schützen Gatekeeper und XProtect Remediator macOS zuverlässig vor Malware. (Bild: peterschreiber.media - stock.adobe.com)")