Whitelisting-Lösung von Seculution

Whitelisting statt Virenscanner

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Whitelisting-Lösungen können in einigen Fällen effizienteren Schutz für Endgeräte bieten, als klassische Virenscanner.
Whitelisting-Lösungen können in einigen Fällen effizienteren Schutz für Endgeräte bieten, als klassische Virenscanner. (© peterschreiber.media - stock.adobe.com)

Computerviren und Würmer traten schon in den frühen 70er Jahren erstmals auf und erlebten ihre Hochzeit in den 80ern und 90ern. Auch heute ist Malware noch eine der größten Bedrohungen für die Netzwerksicherheit. Lange galt der klassische, signatur­basierte Viren­scanner als Waffe der Wahl gegen diese Schädlinge. Heute soll künstliche Intelligenz vor Malware schützen. Aber es gibt auch noch eine dritte Methode.

Wie wäre es, wenn man für den Schutz vor Malware neue Wege gehen könnte? Wie wäre es, wenn man auf tägliche oder gar stündliche Update-Pattern verzichten könnte die das Netzwerk massiv belasten? Wie wäre es, wenn man sich lossagen könnte, von Meldungen, die nicht wirklich weiterbringen? Denn der Hinweis „Verdächtige Aktion gefunden und blockiert bei Datei oo64too.exe“ oder „Variante von Trojan-Backdoor-0815.ab22h gefunden“ helfen nur bedingt, wenn man keine weiteren Informationen hat. Beschreibungen für Schadsoftware sind i.d.R. nicht aktuell oder fehlen aufgrund der Menge auftretender Varianten ohnehin!). Wie wäre es, wenn man auf diese Herausforderungen verzichten könnte? Es ist machbar – das Zauberwort dafür läuft unter der Bezeichnung „Application-Whitelisting“ (aka Checksummen-Programm).

Modus Operandi!

Der Unterschied zwischen einem Virenscanner, egal ob klassisch oder Next Generation, zu einem Whitelisting-Tool besteht darin, dass bei einem Virenscanner zur Erkennung von Malware stets Suchmuster bzw. Verhaltensbeschreibungen aktualisiert werden müssen.

Ein Whitelisting-Tool kommt hingegen ohne derartige Beschreibungen aus, denn es verifiziert nur, ob a) eine Programmkomponente geladen werden darf und b) ob diese in originärer Form vorliegt. Trifft eine dieser Bedingungen nicht zu, wird der Programmstart bzw. Zugriff unterbunden. Ein Update findet im Verhältnis zu einem Virenscanner nur in geringem Umfang statt. So ist dies der Fall, wenn neue Programmversionen eingesetzt werden, die über eine abweichende Checksumme verfügen und daher aktualisiert werden.

Durch clevere Techniken und bereits vordefinierter Werte (zentraler Service) läuft dies üblicherweise mit einem geringeren Ressourcenverbrauch ab, als bei einem Virenscanner.

Tool-Angebot

In den letzten 20 Jahren dominierten Virenscanner das Segment Malwareschutz. Andere Verfahren konnten sich selten durchsetzen. So blieben auch Checksummen-Programme die zeitgleich auf den Markt kamen, wie Virenscanner meistens unberücksichtigt. Schaut man sich heute in der Szene um oder besucht Fachmessen, wie die jährliche it-sa in Nürnberg, kann man aber erfreut feststellen, Whitelisting ist nicht ausgestorben. „Überlebende“ Vertreter sind beispielsweise:

Wobei man auch bei näherem Hinsehen Tools findet, die im EMEA Bereich nicht so bekannt sind, wie Voodoo Shield, Airlock Digital und PC Matic pro.

Mit Windows 10 Device Guard Arbeitsstationen schützen

Whitelisting-Tool von Microsoft

Mit Windows 10 Device Guard Arbeitsstationen schützen

22.08.17 - Microsoft bietet mit Windows 10 Device Guard Administratoren die Möglichkeit, Workstations so zu sperren, dass nur vorab fest definierte Anwendungen ausgeführt werden können; Das ist ideal für Kiosk-Rechner. Die Whitelisting-Funktion bietet damit ein großes Plus an Sicherheit, das sich der Admin aber mit einer unhandlichen Verwaltung mittels Powershell und Gruppenrichtlinien erkaufen muss. lesen

Auch andere, etablierte Anti-Malware-Anwendungen, unter anderem von Kaspersky Labs verfügen oft über eine Whitelisting-Funktion (Modus für vertrauenswürdige Programme). Wobei aber immer der Scanner das Hauptprodukt darstellt.

Im Beitrag Whitelisting als neue Anti-Malware Strategie? wurde schon einmal auf Stärken von Whitelisting-Tools eingegangen, daher nun ein näherer Blick auf das bereits erwähnte Produkt Seculution.

Seculution – Einfacher Einstieg

Ein Whitelisting-Tool ist relativ statisch im Programmaufbau, da man selten neue Techniken implementieren muss, um Schadsoftware (veränderte Programme und/oder Programmkomponenten) zu blockieren. Trotzdem gibt es natürlich immer etwas zu optimieren und zu verbessern. Bei Seculution hat man nun die Überarbeitung der GUI abgeschlossen und ist von einem „Old-School-Layout“, zu einem zeitgemäßen Design gewechselt (Aktuell Programmversion 2). Wobei die genutzten Icons im Dashboard auf den ersten Blick wenig Aussagekräftig sind, zumal auch noch die unter Windows erwartete Tooltipp-Einblendung fehlt. Aber nach einer halben Stunde arbeiten weiß man, welche Funktionen welches Icon symbolisiert. Erfreulicherweise kommt man bei Seculution auch ohne wälzen des Handbuches gut zurecht. Mit einem Security-Background und dem grundlegenden Verständnis für Whitelisting-Tools kann man nach gut zwei Stunden das Tool auf Administratorebene ausreichend bedienen. Es gibt zwar auch den Bereich Automatisierung, der es beispielsweise erlaubt, Backups zu planen, Whitelisting-Daten zu importieren etc. – aber dies sind erweitere Features, die man am Anfang noch nicht zwingend benötigt. Bei Bedarf kann man aber immer auf die Hotline von Seculution zurückgreifen oder einen (kostenpflichtigen) Vor-Ort-Installationssupport beauftragen, der einem die Arbeit abnimmt.

Jedem Interessierten Security-Beauftragten sei zudem die 60-Tage-Testphase von Seculution empfohlen. In dieser Zeitspanne kann man ausreichend eigenen Erfahrungen mit dem Tool sammeln, den Support testen (sofern er benötigt wird) und feststellen, ob der Wechsel auf ein Whitelisting-Tool Sinn macht.

Whitelisting als neue Anti-Malware Strategie?

Mit alter Technik gegen neue Gefahren

Whitelisting als neue Anti-Malware Strategie?

20.12.18 - Malware stellt nach wie vor, basierend auf der Menge, die die größte Bedrohung für den PC-Anwender dar. Auch wenn die Anzahl der Computerviren oder Würmer leicht rückläufig ist, Malicious Code, wie Ransomware und Trojaner sind dafür umso aktiver. lesen

Die Installation

Seculution ist als gehärtete Black-Box-Appliance konzipiert, die man im eigenen Rechenzentrum betreibt. Alternativ kann der Dienst aber auch via SaaS geordert werden. Seculution unterstützt hierbei die Nutzung von virtuellen Appliances, vom Typ Xen, Hyper-V, KVM und VirtualBox (Der Betrieb auf einem physikalischen Server im VM-Player ist aber auch möglich). Die Installation ist dabei einfach gehalten und beschränkt sich auf einige wenige Konfigurationsdaten. Das Tool selbst besteht aus drei Komponenten:

  • 1. Die Appliance für das Daten-Management
  • 2. Der AdminWizard, als zentrales Tool für den Administrator
  • 3. Der System-Dienst für das Monitoring der zu startenden Programmdateien

Die Appliance wird zentral einmal aufgesetzt. Der AdminWizard kommt auf mindestens einem Administrator PC zum Einsatz und der System-Dienst, für das Monitoring, auf jedem zu schützendem System.

Jeder System-Dienst hält dabei Kontakt zur Appliance, um beispielsweise anzufragen, ob ein bestimmtes Programm, welches unbekannt ist, gestartet werden darf. In sehr großen Umgebungen kann es sein, dass ein Cluster-Einsatz mit zwei Appliances sinnvoll ist. Dies empfiehlt auch Seculution, wenn mehr als 2500 Systeme überwacht werden. Letztendlich orientiert sich aber diese Empfehlung aber auch an der Dynamik der Anwender. Nutzer die morgens Ihr Buchhaltungsprogramm starten und es am Feierabend schließen erzeugen nur einen Bruchteil von Anfragen gegenüber einem Entwickler, der mit mehr Tools und Programmen tagtäglich arbeitet.

Die Installation des Service-Dienstes kann auch per Script erfolgen und lässt sich so problemlos in bestehende SW-Verteilungen integrieren. Der Dienst selbst arbeitet unauffällig und die Zeitverzögerung, die sich durch die Berechnung des MD5-Hashwertes zur Identifikation einer Datei ergibt, liegt im Bereich von Millisekunden und ist für den Anwender nicht wahrnehmbar.

Auch wenn die Verbindung zur Appliance nicht verfügbar ist, weil der PC-Nutzer mit seinem Laptop auf Dienstreise ist, bleibt der Schutz aktiv. Nur die automatisierte Versorgung mit weiteren Whitelist-Werten unterbleibt. Allerdings gibt es für dieses Fall auch Alternativen (Challenge Response) die nutzbar sind. Die Dateiprüfsumme bzw. der Hash-Wert zur Verifizierung einer auszuführenden Programm-Datei wird mittels MD5 gebildet.

Im Umfeld des „Message-Digest Algorithm 5“ (MD5) wurden Stimmen laut, die MD5 als unsicher einstufen (Kollisionsangriffe). Sofern man aber nicht gerade MD5 zur Speicherung von Passworten verwendet, kann der Algorithmus durchaus weiterverwendet werden, denn seine Geschwindigkeit ist für viele Anwendungen unverzichtbar.

Ergänzendes zum Thema
 
Im Gespräch mit Torsten Valentin, CEO Seculution

Der tägliche Betrieb

Für den Anwender gestaltet sich die Nutzung von Seculution transparent. Er arbeitet wie gewohnt mit seinen Tools und Programmen. Sollten sich Programme verändert haben, beispielsweise durch einen nicht geplanten bzw. unerwarteten (vom Hersteller initialisierten) Software-Update wird der Programstart mit einer Meldung verhindert. Der Meldungstext ist frei konfigurierbar und kann konkrete Hinweise enthalten was zu tun ist, wie „Verständigen Sie das Helpdesk.“ oder „Kontaktieren Sie den Systemadministrator, um eine neue Regel für die Nutzung dieses Programms zu definieren.“.

Das einzige was der Anwender ggf. noch gelegentlich machen muss, sofern es in einem Software-Beschaffungsprozess nicht bereits implementiert ist. Er muss das Whitelisting für sein neues Programm oder seine neue Programmversion beantragen, damit er dieses gegenüber Seculution autorisiert und in Zukunft starten kann.

Für den Administrator ist tägliche Betrieb in zwei Schritte gegliedert.

Schritt 1 – Initialerfassung

Hier wird Seculution über den AdminWizard in einem Lernmodus gestartet, der ausführbaren Dateien auf einem Standard-PC erfasst, einen MD5-Wert je Programmdatei berechnet und diesen, inklusive weiterer Daten, an die Appliance meldet. Bei Bedarf kann dieser Schritt auch auf einem „normalen“ Anwender-PC erfolgen, wenn sich das Anwendungsspektrum des Admins zu sehr vom Software-Bestand der Anwender unterscheidet.

Idealerweise lässt man den PC nun ein paar Tage im Produktions-Betrieb mitlaufen und agiert wie gewohnt, um sämtliche Ereignisse zu erfassen. So können spezifische Aktivitäten durch die Software initiiert werden (Backup, Lizenzcheck, Automatisierung, Datenkorrektur etc.), die nicht am Tage der Erfassung auftritt, sondern erst im laufenden Betrieb. Diese können dann auch erfasst und der Datenbasis auf der Appliance zugefügt werden.

Nachdem diese Aktion abgeschlossen ist, steht über die Appliance ein Software-Repository von erlaubten Anwendungen zur Verfügung. Über den Service-Dienst ist gewährleistet, dass nur diese auf dem zu schützendem System ausgeführt werden können.

Bei Bedarf kann nun noch der Service-Dienst konfiguriert werden und Einstellungen angepasst werden für den Bedarf des Unternehmens. Das Default-Set dürfte aber für viele Firmen bereits passend sein.

Schritt 2 – Aktualisierungen

Bei neuen Software-Versionen, die ausgerollt werden oder neuen Programmen, die im Unternehmen eingesetzt werden, ergeben sich auch neue MD5-Hashes. Diese der Datenbasis auf der Appliance zuzuführen ist die zweite Aktivität des Administrators. Dazu kann entweder wieder der Standard-PC überprüft werden oder auch spezifische Installations-Directorys oder Software-Installations-Laufwerke überprüft werden.

Wie dies idealerweise in den jeweiligen Prozessen im Unternehmen umgesetzt wird, wird man von Fall zu Fall betrachten. Denn bei einem relativ statischem Programmset fällt hier deutlich weniger Aufwand an, als bei häufigen Updates oder beispielsweise, wenn selbst Software entwickelt wird. Mit etwas Feintuning über die bei Seculution integrierte „Automatisierung/TrustLevelDB“ und „Signatur Whitelisting“ ist aber auch eine automatische Aktualisierung machbar, die sich in die bestehenden SW-Verteilprozesse integriert. Dies reduziert weiter den Aufwand für Administratoren.

Malwareverdacht

Bei entsprechend strikter Umsetzung von Seculution und dem Verbot von nicht autorisierter Software sollte es zu keinen Warnungen über „Veränderte Software“ kommen. Denn durch den Administrator und automatisierte Verfahren wird im Vorfeld alles verifiziert, was im Unternehmen genutzt werden darf.

Daher müssen diese Regelung auch bindend sein für Gruppen, die einem erhöhten Risiko ausgesetzt sind. Dies gilt speziell für die Mitarbeiter, die in der Lage sind, die Überwachung abzuschalten oder nach Ihren Wünschen anzupassen:

  • Eventuell das Management
  • Die IT- und Security-Administratoren
  • Entwickler

Kommt es doch zu Warnungen, liegt entweder ein perfider Angriff vor oder ein Mitarbeiter hat sich nicht an die Regeln gehalten.

Die Vorteile

Whitelisting-Tools können in einigen Bereichen punkten. Zum einem im direkten Vergleich mit einem Virenscanner aber auch im Umfeld der Gerätesteuerung und im Vulnerability-Management.

Bei einem Virenscanner bestimmen neue Such-Pattern, eine Heuristische Analyse, neue Next Gen-Techniken und Verhaltensanalysen dessen Wirksamkeit. Dies erfordert, dass täglich jede Menge manueller und automatisierter Arbeit in die Analyse und Erkennung von Malware gesteckt wird.

Ein Punkt, der bei Whitelisting-Tools entfällt, denn die Erkennung anhand einer Veränderung ist einfacher zu garantieren (Seculution wirbt auch mit dem Spruch: „Nie wieder Schadsoftware. Garantiert!“).

Aber auch Legacy-Anwendungen, für die es a) keine Security-Patches mehr gibt oder auf denen b) manche Security-Tools nicht lauffähig sind, können mit Whitelisting-Tools perfekt abgesichert werden. Denn die Integrität und Unversehrtheit der Programmkomponenten lässt sich damit problemlos überwachen und auch für Revisionszwecke dokumentieren.

Ein Vorfall wie 2017, als großflächige Infektionen durch WannaCry zahlreiche Opfer forderte wäre mit einem Whitelisting-Tool zu verhindern gewesen. Denn unbekannte Programme wären nicht ausgeführt wurden, da dies das Whitelisting-Tool verhindert.

Auch mit reduzierten Aufwendungen für die Administratoren und einer geringeren Netzwerk Belastung darf gerechnet werden. Auch wenn hier AntiMalware-Tools mit zentralen Hash-Repositroys, neuer Malware erfolgreich zu Leibe rücken und versuchen den Administrations-Aufwand zu reduzieren.

Der größte Nutzen aber dürfte sein, dass es keine False-Positves gibt und man bei einer Warnung durch ein Whitelisting-Tool immer davon ausgehen kann, dass sich das Originalfile verändert hat.

Die nächste Entwicklungsstufe beim Endpunkt-Schutz

Security-Trends 2019

Die nächste Entwicklungsstufe beim Endpunkt-Schutz

07.01.19 - Blickt man auf die IT-Trends des neuen Jahres, wird in Sachen Endpoint Security der normale Antivirenschutz immer weniger interessant – genauso auch die Weiterentwicklung Next Generation Antivirus. Sie bieten einfach keinen ausreichenden Schutz mehr, um Unternehmen, Einrichtungen im Gesundheitswesen oder Behörden und Stadtverwaltungen ausreichend abzusichern. lesen

Die Nachteile

Whitelisting-Lösungen wie Seculution haben aber auch zwei Nachteile, die nicht unerwähnt bleiben dürfen. Der erste betrifft die Analysemöglichkeiten. Wenn eine Veränderung für eine Datei gemeldet wird, liegt dem nun ein Virus zugrunde, der es auf die Festplatte geschafft hat oder ist ein Datenfehler der durch einen defekten Sektor auf der Festplatte verursacht wurde oder war es ein Administrator der einen Fehler gemacht hat?

Man benötigt hier eigentlich immer noch weitere Analysetools und zumindest einen Virenscanner, der das File betrachtete um den Malwareverdacht auszuschließen!

Wobei dies aber nicht unbedingt der eigene sein muss! Ein möglicher Workaround ist VirusTotal (Siehe unser Artikel: Geniale Toolbox für Viren-Jäger), denn hier kann der MD5-Hash-Wert der gemeldeten Datei hochgeladen werden und bekommt zeitnah und gratis gemeldet, ob einer der Virenscanner eine Schadsoftware entdeckt hat.

Ein weiter Aspekt ist, dass üblicherweise die Anschaffung einer Whitelisting-Lösung teurer ist, als ein klassischer Virenscanner.

Seculution nennt auf Nachfrage einen Listenpreis von 31,50 Euro für eine Lizenz von „Seculution Application Whitelist“ worauf sich noch einmalig der Preis für das Basismodul (Appliance) von 1200 Euro addiert. Antimalware-Lösungen sind hier meistens preiswerter. Wobei man berücksichtigen muss, dass je nach Produkt unterschiedliche Laufzeiten gelten und Software-Erneuerungen bzw. Wartungsverlängerungen anstehen.

Letztendlich sollte man also individuell die Produkte vergleichen aber dazu auch einen Faktor X addieren, der sich durch die Vorteile eines Whitelisting-Tools ergibt. Denn wenn ein Security-Admin hier 40 Prozent weniger Aufwand hat, ist dies auch zu berücksichtigen.

Zusammenfassung

Seculution überzeugt in seiner Funktion und Handhabung. Wer kritische PCs betreibt (Legacy-Anwendungen) oder verstärkt den Risiken von Attacken (Phishing, Malware, Hacker) ausgesetzt ist, der sollte sich ein Whitelisting-Tool unbedingt ansehen. Über die 60-Tage-Testvesion bietet sich Seculution dafür geradezu an. Das neue ist immer der Feind des bestehenden, auch wenn das Prinzip Whitelisting-Tool bzw. Prüfsummenprogramm eigentlich ein alter Lösungsansatz ist.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45890712 / Endpoint)