AV-Tests: Ein Schritt in die richtige Richtung

Originalartikel von Raimund Genes (Chief Technology Officer bei Trend Micro)

Kürzlich fand in Tokio die jährliche Konferenz Direction 2010 statt, bei der Trend Micro Partner und Kunden zum Meinungsaustausch trifft. Im Rahmen einer Panel-Diskussion debattierten Vertreter von AV-Comparatives, AV-Test und NSS Labs über den Bedarf an neuen Metriken und Methodologien beim Testen von Sicherheitsprodukten gegen reale Bedrohungen. Alle Teilnehmer waren sich darüber einig, dass neue Tests erforderlich sind, die die Angriffe auf die echten Kundenumgebungen besser widerspiegeln.

Es bedarf einer Reform der Methodologien von Testverfahren für Sicherheitsprodukte, um die heutigen Bedrohungen besser in den Griff zu bekommen

Live-Angriffsszenarien, gegen die die geplante Implementierung von Sicherheitslösungen geprüft wird, liefern die beste Darstellung der Effizienz der Arbeitsweise eines Produkts. Die Tester sollten auch in der Lage sein herauszustellen, wie die schädlichen Auswirkungen von Malware vor der Ausführung an unterschiedlichen Punkten blockiert werden können. Beispielsweise können verschiedene Lösungen folgendes leisten:

  1. Sie blockieren Malware bei deren Auftauchen am Endpunkt (z.B. Web Filtering; Web Reputation Services)
  2. Sie hindern bösartige Dateien an der Ausführung am Endpunkt (z.B. signaturbasiertes Scannen der Dateien)
  3. Sie hindern Malware an der Ausführung schädlicher Aktionen (z.B. Verhaltensmonitoring) und
  4. schützen Schwachstellen vor Exploits (z.B. Deaktivieren des Zugangs zu bekannten Schwachstellen, bis diese geschlossen sind).

Die längste Zeit über hat das traditionelle Testen lediglich das Aufspüren gemessen (siehe Punkt 2). Dieser Ansatz ist zu simpel, bestraft innovative Lösungsanbieter und missachtet den Wert des Blockierens einer Bedrohung in einem frühen Stadium der Ausführung. Zudem muss noch ein weiterer Aspekt beachtet werden: die Geschwindigkeit, in der neue Bedrohungen behandelt werden (schließlich gibt es alle 1,5 Sekunden eine neue Bedrohung).

Die Kunden profitieren von diesen neuen Tests, indem sie tatsächlich beurteilen können, welches Produkt sie am besten gegen die wahren Bedrohungen schützt. Sie müssen sich nicht länger die künstlichen „Shootouts“ gegen eine Million alter Schädlingsmuster ansehen, die über einen manuellen Scan geprüft werden. Die neuen Tests zeigen nicht nur, wie effektiv ein Produkt webbasierte Bedrohungen blockiert, sondern auch wie schnell der Sicherheitshersteller den Schutz gegen eine neue Bedrohung zur Verfügung stellt – Time to Protect.

Angesichts der Tatsache, dass Malware immer aggressiver wird und eine Umstellung in der Verbreitung der Schädlinge von der Selbstreplizierung auf Spam-Kampagnen stattfindet, gewinnen diese Aspekte ernorm an Bedeutung. Malware sieht heute anders aus als vor fünf Jahren, also sollten auch die Tests anders durchgeführt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*