:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Whitelisting-Lösung von Seculution Whitelisting statt Virenscanner
Computerviren und Würmer traten schon in den frühen 70er Jahren erstmals auf und erlebten ihre Hochzeit in den 80ern und 90ern. Auch heute ist Malware noch eine der größten Bedrohungen für die Netzwerksicherheit. Lange galt der klassische, signaturbasierte Virenscanner als Waffe der Wahl gegen diese Schädlinge. Heute soll künstliche Intelligenz vor Malware schützen. Aber es gibt auch noch eine dritte Methode.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Wie wäre es, wenn man für den Schutz vor Malware neue Wege gehen könnte? Wie wäre es, wenn man auf tägliche oder gar stündliche Update-Pattern verzichten könnte die das Netzwerk massiv belasten? Wie wäre es, wenn man sich lossagen könnte, von Meldungen, die nicht wirklich weiterbringen? Denn der Hinweis „Verdächtige Aktion gefunden und blockiert bei Datei oo64too.exe“ oder „Variante von Trojan-Backdoor-0815.ab22h gefunden“ helfen nur bedingt, wenn man keine weiteren Informationen hat. Beschreibungen für Schadsoftware sind i.d.R. nicht aktuell oder fehlen aufgrund der Menge auftretender Varianten ohnehin!). Wie wäre es, wenn man auf diese Herausforderungen verzichten könnte? Es ist machbar – das Zauberwort dafür läuft unter der Bezeichnung „Application-Whitelisting“ (aka Checksummen-Programm).
:quality(80)/images.vogel.de/vogelonline/bdb/1555800/1555873/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1555800/1555874/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1555800/1555875/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1555800/1555876/original.jpg)
Modus Operandi!
Der Unterschied zwischen einem Virenscanner, egal ob klassisch oder Next Generation, zu einem Whitelisting-Tool besteht darin, dass bei einem Virenscanner zur Erkennung von Malware stets Suchmuster bzw. Verhaltensbeschreibungen aktualisiert werden müssen.
Ein Whitelisting-Tool kommt hingegen ohne derartige Beschreibungen aus, denn es verifiziert nur, ob a) eine Programmkomponente geladen werden darf und b) ob diese in originärer Form vorliegt. Trifft eine dieser Bedingungen nicht zu, wird der Programmstart bzw. Zugriff unterbunden. Ein Update findet im Verhältnis zu einem Virenscanner nur in geringem Umfang statt. So ist dies der Fall, wenn neue Programmversionen eingesetzt werden, die über eine abweichende Checksumme verfügen und daher aktualisiert werden.
Durch clevere Techniken und bereits vordefinierter Werte (zentraler Service) läuft dies üblicherweise mit einem geringeren Ressourcenverbrauch ab, als bei einem Virenscanner.
Tool-Angebot
In den letzten 20 Jahren dominierten Virenscanner das Segment Malwareschutz. Andere Verfahren konnten sich selten durchsetzen. So blieben auch Checksummen-Programme die zeitgleich auf den Markt kamen, wie Virenscanner meistens unberücksichtigt. Schaut man sich heute in der Szene um oder besucht Fachmessen, wie die jährliche it-sa in Nürnberg, kann man aber erfreut feststellen, Whitelisting ist nicht ausgestorben. „Überlebende“ Vertreter sind beispielsweise:
- Das Tool Seculution von gleichnamiger Firma
- Application Control von McAfee
- AppLocker von Microsoft, als Ergänzung zum MS Defender und Windows 10 Device Guard (Siehe dazu „Mit Windows 10 Device Guard Arbeitsstationen schützen“)
- Ivanti Anwendungskontrolle (ehemals HEAT Application Control)
Wobei man auch bei näherem Hinsehen Tools findet, die im EMEA Bereich nicht so bekannt sind, wie Voodoo Shield, Airlock Digital und PC Matic pro.
:quality(80)/images.vogel.de/vogelonline/bdb/1272900/1272942/original.jpg "Windows 10 Device Guard ist ideal für Kiosk-Rechner geeignet und bietet mehr Sicherheit für Arbeitsstationen im Unternehmen, ist aber schwer einzurichten und zu verwalten. (Pixabay)")
Whitelisting-Tool von Microsoft
Mit Windows 10 Device Guard Arbeitsstationen schützen
Auch andere, etablierte Anti-Malware-Anwendungen, unter anderem von Kaspersky Labs verfügen oft über eine Whitelisting-Funktion (Modus für vertrauenswürdige Programme). Wobei aber immer der Scanner das Hauptprodukt darstellt.
Im Beitrag Whitelisting als neue Anti-Malware Strategie? wurde schon einmal auf Stärken von Whitelisting-Tools eingegangen, daher nun ein näherer Blick auf das bereits erwähnte Produkt Seculution.
Seculution – Einfacher Einstieg
Ein Whitelisting-Tool ist relativ statisch im Programmaufbau, da man selten neue Techniken implementieren muss, um Schadsoftware (veränderte Programme und/oder Programmkomponenten) zu blockieren. Trotzdem gibt es natürlich immer etwas zu optimieren und zu verbessern. Bei Seculution hat man nun die Überarbeitung der GUI abgeschlossen und ist von einem „Old-School-Layout“, zu einem zeitgemäßen Design gewechselt (Aktuell Programmversion 2). Wobei die genutzten Icons im Dashboard auf den ersten Blick wenig Aussagekräftig sind, zumal auch noch die unter Windows erwartete Tooltipp-Einblendung fehlt. Aber nach einer halben Stunde arbeiten weiß man, welche Funktionen welches Icon symbolisiert. Erfreulicherweise kommt man bei Seculution auch ohne wälzen des Handbuches gut zurecht. Mit einem Security-Background und dem grundlegenden Verständnis für Whitelisting-Tools kann man nach gut zwei Stunden das Tool auf Administratorebene ausreichend bedienen. Es gibt zwar auch den Bereich Automatisierung, der es beispielsweise erlaubt, Backups zu planen, Whitelisting-Daten zu importieren etc. – aber dies sind erweitere Features, die man am Anfang noch nicht zwingend benötigt. Bei Bedarf kann man aber immer auf die Hotline von Seculution zurückgreifen oder einen (kostenpflichtigen) Vor-Ort-Installationssupport beauftragen, der einem die Arbeit abnimmt.
Jedem Interessierten Security-Beauftragten sei zudem die 60-Tage-Testphase von Seculution empfohlen. In dieser Zeitspanne kann man ausreichend eigenen Erfahrungen mit dem Tool sammeln, den Support testen (sofern er benötigt wird) und feststellen, ob der Wechsel auf ein Whitelisting-Tool Sinn macht.
:quality(80)/images.vogel.de/vogelonline/bdb/1496300/1496348/original.jpg "Auch wenn Whitelisting als Malwareschutz nicht neu ist, sollten Unternehmen die Technologie im Hinblick auf steigende Gefahren durch Schadsoftware unbedingt auf einen möglichen Einsatz überprüfen. (PXhere.com)")
Mit alter Technik gegen neue Gefahren
Whitelisting als neue Anti-Malware Strategie?
Die Installation
Seculution ist als gehärtete Black-Box-Appliance konzipiert, die man im eigenen Rechenzentrum betreibt. Alternativ kann der Dienst aber auch via SaaS geordert werden. Seculution unterstützt hierbei die Nutzung von virtuellen Appliances, vom Typ Xen, Hyper-V, KVM und VirtualBox (Der Betrieb auf einem physikalischen Server im VM-Player ist aber auch möglich). Die Installation ist dabei einfach gehalten und beschränkt sich auf einige wenige Konfigurationsdaten. Das Tool selbst besteht aus drei Komponenten:
- 1. Die Appliance für das Daten-Management
- 2. Der AdminWizard, als zentrales Tool für den Administrator
- 3. Der System-Dienst für das Monitoring der zu startenden Programmdateien
Die Appliance wird zentral einmal aufgesetzt. Der AdminWizard kommt auf mindestens einem Administrator PC zum Einsatz und der System-Dienst, für das Monitoring, auf jedem zu schützendem System.
Jeder System-Dienst hält dabei Kontakt zur Appliance, um beispielsweise anzufragen, ob ein bestimmtes Programm, welches unbekannt ist, gestartet werden darf. In sehr großen Umgebungen kann es sein, dass ein Cluster-Einsatz mit zwei Appliances sinnvoll ist. Dies empfiehlt auch Seculution, wenn mehr als 2500 Systeme überwacht werden. Letztendlich orientiert sich aber diese Empfehlung aber auch an der Dynamik der Anwender. Nutzer die morgens Ihr Buchhaltungsprogramm starten und es am Feierabend schließen erzeugen nur einen Bruchteil von Anfragen gegenüber einem Entwickler, der mit mehr Tools und Programmen tagtäglich arbeitet.
Die Installation des Service-Dienstes kann auch per Script erfolgen und lässt sich so problemlos in bestehende SW-Verteilungen integrieren. Der Dienst selbst arbeitet unauffällig und die Zeitverzögerung, die sich durch die Berechnung des MD5-Hashwertes zur Identifikation einer Datei ergibt, liegt im Bereich von Millisekunden und ist für den Anwender nicht wahrnehmbar.
Auch wenn die Verbindung zur Appliance nicht verfügbar ist, weil der PC-Nutzer mit seinem Laptop auf Dienstreise ist, bleibt der Schutz aktiv. Nur die automatisierte Versorgung mit weiteren Whitelist-Werten unterbleibt. Allerdings gibt es für dieses Fall auch Alternativen (Challenge Response) die nutzbar sind. Die Dateiprüfsumme bzw. der Hash-Wert zur Verifizierung einer auszuführenden Programm-Datei wird mittels MD5 gebildet.
Im Umfeld des „Message-Digest Algorithm 5“ (MD5) wurden Stimmen laut, die MD5 als unsicher einstufen (Kollisionsangriffe). Sofern man aber nicht gerade MD5 zur Speicherung von Passworten verwendet, kann der Algorithmus durchaus weiterverwendet werden, denn seine Geschwindigkeit ist für viele Anwendungen unverzichtbar.
Der tägliche Betrieb
Für den Anwender gestaltet sich die Nutzung von Seculution transparent. Er arbeitet wie gewohnt mit seinen Tools und Programmen. Sollten sich Programme verändert haben, beispielsweise durch einen nicht geplanten bzw. unerwarteten (vom Hersteller initialisierten) Software-Update wird der Programstart mit einer Meldung verhindert. Der Meldungstext ist frei konfigurierbar und kann konkrete Hinweise enthalten was zu tun ist, wie „Verständigen Sie das Helpdesk.“ oder „Kontaktieren Sie den Systemadministrator, um eine neue Regel für die Nutzung dieses Programms zu definieren.“.
Das einzige was der Anwender ggf. noch gelegentlich machen muss, sofern es in einem Software-Beschaffungsprozess nicht bereits implementiert ist. Er muss das Whitelisting für sein neues Programm oder seine neue Programmversion beantragen, damit er dieses gegenüber Seculution autorisiert und in Zukunft starten kann.
Für den Administrator ist tägliche Betrieb in zwei Schritte gegliedert.
Schritt 1 – Initialerfassung
Hier wird Seculution über den AdminWizard in einem Lernmodus gestartet, der ausführbaren Dateien auf einem Standard-PC erfasst, einen MD5-Wert je Programmdatei berechnet und diesen, inklusive weiterer Daten, an die Appliance meldet. Bei Bedarf kann dieser Schritt auch auf einem „normalen“ Anwender-PC erfolgen, wenn sich das Anwendungsspektrum des Admins zu sehr vom Software-Bestand der Anwender unterscheidet.
Idealerweise lässt man den PC nun ein paar Tage im Produktions-Betrieb mitlaufen und agiert wie gewohnt, um sämtliche Ereignisse zu erfassen. So können spezifische Aktivitäten durch die Software initiiert werden (Backup, Lizenzcheck, Automatisierung, Datenkorrektur etc.), die nicht am Tage der Erfassung auftritt, sondern erst im laufenden Betrieb. Diese können dann auch erfasst und der Datenbasis auf der Appliance zugefügt werden.
Nachdem diese Aktion abgeschlossen ist, steht über die Appliance ein Software-Repository von erlaubten Anwendungen zur Verfügung. Über den Service-Dienst ist gewährleistet, dass nur diese auf dem zu schützendem System ausgeführt werden können.
Bei Bedarf kann nun noch der Service-Dienst konfiguriert werden und Einstellungen angepasst werden für den Bedarf des Unternehmens. Das Default-Set dürfte aber für viele Firmen bereits passend sein.
Schritt 2 – Aktualisierungen
Bei neuen Software-Versionen, die ausgerollt werden oder neuen Programmen, die im Unternehmen eingesetzt werden, ergeben sich auch neue MD5-Hashes. Diese der Datenbasis auf der Appliance zuzuführen ist die zweite Aktivität des Administrators. Dazu kann entweder wieder der Standard-PC überprüft werden oder auch spezifische Installations-Directorys oder Software-Installations-Laufwerke überprüft werden.
Wie dies idealerweise in den jeweiligen Prozessen im Unternehmen umgesetzt wird, wird man von Fall zu Fall betrachten. Denn bei einem relativ statischem Programmset fällt hier deutlich weniger Aufwand an, als bei häufigen Updates oder beispielsweise, wenn selbst Software entwickelt wird. Mit etwas Feintuning über die bei Seculution integrierte „Automatisierung/TrustLevelDB“ und „Signatur Whitelisting“ ist aber auch eine automatische Aktualisierung machbar, die sich in die bestehenden SW-Verteilprozesse integriert. Dies reduziert weiter den Aufwand für Administratoren.
Malwareverdacht
Bei entsprechend strikter Umsetzung von Seculution und dem Verbot von nicht autorisierter Software sollte es zu keinen Warnungen über „Veränderte Software“ kommen. Denn durch den Administrator und automatisierte Verfahren wird im Vorfeld alles verifiziert, was im Unternehmen genutzt werden darf.
Daher müssen diese Regelung auch bindend sein für Gruppen, die einem erhöhten Risiko ausgesetzt sind. Dies gilt speziell für die Mitarbeiter, die in der Lage sind, die Überwachung abzuschalten oder nach Ihren Wünschen anzupassen:
- Eventuell das Management
- Die IT- und Security-Administratoren
- Entwickler
Kommt es doch zu Warnungen, liegt entweder ein perfider Angriff vor oder ein Mitarbeiter hat sich nicht an die Regeln gehalten.
Die Vorteile
Whitelisting-Tools können in einigen Bereichen punkten. Zum einem im direkten Vergleich mit einem Virenscanner aber auch im Umfeld der Gerätesteuerung und im Vulnerability-Management.
Bei einem Virenscanner bestimmen neue Such-Pattern, eine Heuristische Analyse, neue Next Gen-Techniken und Verhaltensanalysen dessen Wirksamkeit. Dies erfordert, dass täglich jede Menge manueller und automatisierter Arbeit in die Analyse und Erkennung von Malware gesteckt wird.
Ein Punkt, der bei Whitelisting-Tools entfällt, denn die Erkennung anhand einer Veränderung ist einfacher zu garantieren (Seculution wirbt auch mit dem Spruch: „Nie wieder Schadsoftware. Garantiert!“).
Aber auch Legacy-Anwendungen, für die es a) keine Security-Patches mehr gibt oder auf denen b) manche Security-Tools nicht lauffähig sind, können mit Whitelisting-Tools perfekt abgesichert werden. Denn die Integrität und Unversehrtheit der Programmkomponenten lässt sich damit problemlos überwachen und auch für Revisionszwecke dokumentieren.
Ein Vorfall wie 2017, als großflächige Infektionen durch WannaCry zahlreiche Opfer forderte wäre mit einem Whitelisting-Tool zu verhindern gewesen. Denn unbekannte Programme wären nicht ausgeführt wurden, da dies das Whitelisting-Tool verhindert.
Auch mit reduzierten Aufwendungen für die Administratoren und einer geringeren Netzwerk Belastung darf gerechnet werden. Auch wenn hier AntiMalware-Tools mit zentralen Hash-Repositroys, neuer Malware erfolgreich zu Leibe rücken und versuchen den Administrations-Aufwand zu reduzieren.
Der größte Nutzen aber dürfte sein, dass es keine False-Positves gibt und man bei einer Warnung durch ein Whitelisting-Tool immer davon ausgehen kann, dass sich das Originalfile verändert hat.
:quality(80)/images.vogel.de/vogelonline/bdb/1501800/1501875/original.jpg "Unternehmen brauchen einen Endgeräteschutz, der sie auch gegen neue und nicht bekannte Angriffe schützt. (Pixabay)")
Security-Trends 2019
Die nächste Entwicklungsstufe beim Endpunkt-Schutz
Die Nachteile
Whitelisting-Lösungen wie Seculution haben aber auch zwei Nachteile, die nicht unerwähnt bleiben dürfen. Der erste betrifft die Analysemöglichkeiten. Wenn eine Veränderung für eine Datei gemeldet wird, liegt dem nun ein Virus zugrunde, der es auf die Festplatte geschafft hat oder ist ein Datenfehler der durch einen defekten Sektor auf der Festplatte verursacht wurde oder war es ein Administrator der einen Fehler gemacht hat?
Man benötigt hier eigentlich immer noch weitere Analysetools und zumindest einen Virenscanner, der das File betrachtete um den Malwareverdacht auszuschließen!
Wobei dies aber nicht unbedingt der eigene sein muss! Ein möglicher Workaround ist VirusTotal (Siehe unser Artikel: Geniale Toolbox für Viren-Jäger), denn hier kann der MD5-Hash-Wert der gemeldeten Datei hochgeladen werden und bekommt zeitnah und gratis gemeldet, ob einer der Virenscanner eine Schadsoftware entdeckt hat.
Ein weiter Aspekt ist, dass üblicherweise die Anschaffung einer Whitelisting-Lösung teurer ist, als ein klassischer Virenscanner.
Seculution nennt auf Nachfrage einen Listenpreis von 31,50 Euro für eine Lizenz von „Seculution Application Whitelist“ worauf sich noch einmalig der Preis für das Basismodul (Appliance) von 1200 Euro addiert. Antimalware-Lösungen sind hier meistens preiswerter. Wobei man berücksichtigen muss, dass je nach Produkt unterschiedliche Laufzeiten gelten und Software-Erneuerungen bzw. Wartungsverlängerungen anstehen.
Letztendlich sollte man also individuell die Produkte vergleichen aber dazu auch einen Faktor X addieren, der sich durch die Vorteile eines Whitelisting-Tools ergibt. Denn wenn ein Security-Admin hier 40 Prozent weniger Aufwand hat, ist dies auch zu berücksichtigen.
Zusammenfassung
Seculution überzeugt in seiner Funktion und Handhabung. Wer kritische PCs betreibt (Legacy-Anwendungen) oder verstärkt den Risiken von Attacken (Phishing, Malware, Hacker) ausgesetzt ist, der sollte sich ein Whitelisting-Tool unbedingt ansehen. Über die 60-Tage-Testvesion bietet sich Seculution dafür geradezu an. Das neue ist immer der Feind des bestehenden, auch wenn das Prinzip Whitelisting-Tool bzw. Prüfsummenprogramm eigentlich ein alter Lösungsansatz ist.
(ID:45890712)
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954348/original.jpg "Microsoft Defender schützt Windows-Systeme inzwischen sehr zuverlässig und kostenlos vor Malware. Wer aber lieber auf eine kostenfreie Alternative setzen will, dem zeigen wir ein paar Möglichkeiten. (Skórzewiak - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883500/1883553/original.jpg "Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt. (peterschreiber.media - stock.adobe.com)")