Wichtige Erkenntnisse der 23. Virus Bulletin Conference Berlin

Wie gut arbeitet die Antivirus-Industrie?

| Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Diverse Security-Experten haben sich auf der VB Conference 2013 in Berlin zusammengefunden.
Diverse Security-Experten haben sich auf der VB Conference 2013 in Berlin zusammengefunden. (Bild: Virus Bulletin)

Große Hersteller wie Microsoft kämpfen weiter mit Zero-Day-Schwachstellen. Schnellere Reaktionszeiten auf Anfälligkeiten sind gefragt, um einen drohenden Flächenbrand zu unterbinden. Einfache Patentrezepte hierfür gibt es allerdings nicht, vielmehr empfiehlt sich eine Rückbesinnung auf erprobte Methoden.

Zum 23. Mal versammelten sich die Spezialisten in Berlin zur Virus Bulletin Conference. Der Fokus bei der Abwehr von Schädlingen liege angesichts der immer raffinierteren Bedrohungsmuster nicht mehr allein auf dem Netzwerk, betonte Andreas Lindh vom Sicherheitsspezialisten „I Secure“ in Schweden.

Zwar sei ein leistungsfähiger Antivirenschutz weiterhin ein probates Mittel, es löse aber nicht alle auftretenden Probleme. „Manchmal können wir nicht patchen, weil es sich um Legacy- oder Third-Party-Systeme handelt“, so der Experte. Trotz eines deutlich verbesserten Sicherheitsniveaus, etwa bei neuen Betriebssystemen und Anwendungen, stehen nach wie vor die führenden IT-Größen wie Microsoft im Fokus der Angreifer.

Dies bestätigt auch der aus Redmond publizierte Report „Software Vulnerabilty Exploitation Trends“. Dessen Kernbotschaft lässt sich nach Einschätzung von Lindh so pointieren: Nahezu die Hälfte aller Schwachstellen werde von den Eindringlingen bereits vor dem Patch-Vorgang erkannt und möglicherweise auch ausgenutzt.

Die Antiviren-Industrie müsse deshalb wieder zu ihren Wurzeln zurückkehren und jene Tools effektiv nutzen, die bereits am Markt verfügbar und erprobt seien. Das allerdings dürfte kein nicht einfach sein. Folgt man den Angaben der Symantec Research Labs, dann bleibt eine Schwachstelle durchschnittlich 312 Tage unentdeckt, bevor sie öffentlich wird und entsprechende Gegenmaßnahmen eingeleitet worden sind.

Zielgerichtete Exploits

Heute sind es vor allem maßgeschneiderte, teilweise direkt auf den Nutzer zugeschnittene Attacken, die etwa Sicherheitsspezialistin Holly Stewart von Microsoft beunruhigen. Um die Abwehrkräfte gegen Zero Day Exploits zu bündeln, plädiert sie deshalb für einen besseren Datenaustausch und mehr Kooperation zwischen unterschiedlichen Akteuren.

Dabei seien Regeln zu beachten, um die Zusammenarbeit zwischen der AV-Industrie, den Herstellern zu verbessern - und damit letztlich auch mit den betroffenen Unternehmen und Endnutzern. Hier auszugsweise einige Anregungen (Quelle: Microsoft).

  • Hashes (MD5, SHA1 etc.) der Malware-Samples verwenden, um den Herstellern dabei zu helfen, Samples besser zu identifizieren und zu enttarnen.
  • Dabei sollte die Angabe von relevanten technischen Details vermieden werden, die möglicherweise für andere Akteure zum leichten „Copycat“ eines Angriffsmusters führen.
  • Die Veröffentlichung einer Schwachstelle sollte auch die so genannte CVE-Nummer enthalten, mit dem Ziel, die Suche für andere Betroffenen durch eine klare formale Systematik zu beschleunigen.
  • Dabei sollten die Akteure aus der AV-Industrie auch Bezug auf die spezifischen Produkt-Updates nehmen, um Arbeitsfluss und Geschwindigkeit beim allgemeinen Workaround zu erhöhen.
  • Relevante Daten sollten Industriepartnern zur Verfügung stehen, beispielsweise über das MAPP-Programm; und zwar bevor die Daten an die breite Öffentlichkeit gelangen.

Dass ein ungeschützter Computer die Wahrscheinlichkeit einer Malware-Infektion um mehr als das Fünffache erhöht, untermauern mit konkreten Zahlen Joe Blackbird und Bill Pfeiffer von Microsoft. Die Auswertungen der Sicherheitsspezialisten stammen aus dem Computerscan über das Microsoft Windows Malicious Software Removal Tool (MSRT).

Ergebnis: Immerhin 14 Prozent der mit einem Betriebssystem Windows XP ausgestatteten Rechner agieren im Netz vollständig ohne flankierenden Virenschutz. Demgegenüber habe sich das Sicherheitsniveau beim aktuellen Pendant Windows 8 deutlich verbessert.

Mit Blick auf die weitere Entwicklung erwarten die beiden Experten von Microsoft von der AV-Industrie rascher als bislang aktualisierte Signaturen, inklusive einer synchronen Bereitstellung in der Cloud. Weitere Empfehlung: Die Akteure sollen dazu auf das Windows Security Center (WSC API) zurückgreifen, um eine größere Durchschlagskraft und Reichweite im Austausch über die aktuelle Bedrohungslage herzustellen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42343876 / Schwachstellen-Management)