GRID: Fünf Jahre, 500 Millionen saubere Dateien

Originalartikel von Vincent Daraliay, Produktmanager

Trend Micro hat Ende 2014 die 500-millionste „gute Datei“ in das eigene Repository eingefügt. Diese Datenbank unterstützt die Bedrohungsforscher dabei, kompetent zu entscheiden, ob eine bestimmte Datei bösartig ist oder nicht.

Whitelisting wird immer häufiger als Schlüsselkomponente von modernen Sicherheitslösungen eingesetzt. Die Angriffe auf ICS/SCADA– und Point-of-Sales (PoS)-Systeme haben gezeigt, wie effizient das Absichern von Systemen über Anwendungskontrolle sein kann.

In dieser Art von Systemen gibt es nur eine eingeschränkte Zahl von Funktionen, die aktiviert sein müssen. Deshalb ist es relativ einfach, die exakten Dateien anzugeben, die alle Whitelisting-Filter passieren sollen. Eine andere Option mögen Air-Gapping-Systeme sein, doch ist deren Einsatz nicht immer möglich, und meistens umgehen Mitarbeiter diese Barriere mithilfe von USB-Platten. Auch ist bekannt, dass zielgerichtete Angriffe sehr anpassungsfähige Schadsoftware nutzen, die gegen bekannte Blacklists getestet wurde, bevor sie dann spezifisch eingesetzt wird.

Angesichts der wachsenden Verbreitung von Whitelisting und Anwendungskontrolllösungen ist der Aufbau einer Datenbank mit entsprechenden Dateien eine Schlüsselkomponente für den Schutz der Anwender.

Risikomanagement über Applikationskontrolle

Whitelisting kann nicht nur gegen bekannte und neue Bedrohungen schützen, sondern liefert auch Administratoren Vorteile. Werden schwerwiegende Sicherheitslücken bekannt, so lassen sich die Informationen dazu nutzen, um das dadurch entstehende Risiko für eine Organisation festzustellen. Auch für die Klassifizierung von Apps, die Mitarbeiter nutzen, ist Whitelisting nützlich.

Trend Micro hat eine zentrale Whitelist-Dateidatenbank aufgebaut, die Goodware Resource Information Database (GRID), und bietet einen Service namens Trend Micro Certified Safe Software Service (TMCSSS). Mehr als 570 Millionen nicht bösartiger Dateien sind innerhalb von fünf Jahren in GRID gespeichert worden. Dazu gehören die Anwendungen, die Nutzern höchstwahrscheinlich in ihrer täglichen Arbeit unterkommen.

Die GRID-Sammlung verwenden die Bedrohungsforscher auch, um wertvolle Erkenntnisse über legitime Dateien zusammenzutragen. Dateieigenschaften werden extrahiert und normalisiert, um sicherzustellen, dass Anwendungen, Anbieter und Software Publisher korrekt aufgenommen werden. Zusätzlich werden Funktionskategorien, Ressourcennutzung, Informationen zu Sicherheitslücken und Bewertung der Risiken erstellt und gespeicher.

Applikationskontrolle in Endpoint Clients

GRID verbessert verschiedene Trend Micro-Produkte und Prozesse. Funktionalitäten wie File Integrity Monitoring und Anwendungskontrolle vertrauen auf die Informationen in GRID. Endpoint-Produkte stellen regelmäßig Anfragen an GRID, um die Performance und Genauigkeit ihrer Prozesse zu verbessern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.