Mythen und Missverständnisse rund um webbasierte Sicherheit

Original Artikel von Wei Yan (Senior Threat Researcher, Trend Micro)

Auf der aktuellen Virus Bulletin 2009 Konferenz stellten Andreas Marx und Maik Morgenstern ihren Artikel „Why in-the-cloud scanning is not a solution“ (Warum die webbasierte Virensuche keine Lösung ist) vor, in dem sie die Mängel der webbasierten Sicherheit erläutern. Im Laufe des letzten Jahres gab es bereits diverse Diskussionen zu diesem Thema, und Marx und Morgenstern haben die Probleme gut dargestellt. Trotzdem möchte ich Ihnen auch meine Gedanken zu einigen der von Marx und Morgenstern genannten Probleme vorstellen:

Problem 1: Die Implementierungen sind von Natur aus reaktiv – trotz verbesserter Reaktionszeiten bei neuen Bedrohungen.

Realität: Durch Ersetzen der Hash-Signaturen durch intelligente statische Signaturen kann sowohl die Code-Verschleierung bekämpft als auch polymorphe Malware entdeckt werden. Außerdem werden weit weniger Ressourcen verbraucht als bei der emulationsbasierten Verhaltensanalyse. Das intelligente Pattern-Projekt von Trend Micro – ein System zur automatischen Pattern-Erzeugung – beweist, dass ein intelligentes, statisches Pattern hunderte von Malware-Typen ähnlicher Familien proaktiv erkennen kann, und zwar innerhalb von Millisekunden und ohne Fehlalarme bei über 20 Millionen gutartiger Exemplare.

Problem 2: Während die Erkennungsraten maximiert werden (was in den Testergebnissen immer gut aussieht), erhöht sich das Risiko von Fehlalarmen.

Realität: Vor einigen Jahren entwickelte sich das Security Information Management (SIM) als ein Lösungsansatz im Kampf gegen das übermäßige Log-Aufkommen von Intrusion Detection Systems (IDS). SIM umfasst eine Reihe von Sensoren, die sicherstellen, dass IDS-Ereignisse gesammelt, analysiert und angegangen werden – und zwar in der kürzest möglichen Zeit. Durch das Zentralisieren dieser Daten können Ereignisse von verteilten IDS-Sensoren abgeglichen und kategorisiert werden. Der Vorteil dieses Abgleichs ist der enorme Rückgang von Fehlalarmen.

Das Trend Micro™ Smart Protection Network™ arbeitet ähnlich wie das reputationsbasierte SIM-System: Datenzentren sammeln URLs, E-Mails, Skripte und Dateien aus heterogenen Datenkollektoren. Während des Korrelationsprozesses wertet das Smart Protection Network die Beziehung von Sicherheitsereignissen aus, um deren Bedrohungspotenzial zu bestimmen. Dabei werden Fehlalarme auf ein Mindestmaß reduziert.

Problem 3: Die Ergebnisse der webbasierten Virensuche können auf einer Vielzahl von Daten zu gutartigen und bösartigen Dateien beruhen; diese Daten aber bringen eine zusätzliche Leistungsbeeinträchtigung auf Seiten des Kunden, des Netzwerks und des Servers mit sich.

Realität: Um eine ausgewogene Arbeitslast zwischen Desktop und Internet zu gewährleisten, benötigt der Agent eine leichte und intelligente Signaturdatenbank, die kleiner als herkömmliche Signaturdatenbanken ist. Wenn eine verdächtige Datei nicht bestimmt werden kann, sendet der Agent die Datei oder deren „Fingerabdruck“ zu weiteren Verifizierungsmaßnahmen an den lokalen Server. Dadurch wird Bandbreite eingespart, da nicht übermäßig viele Pakete in das Internet verschickt werden. Durch Einbetten des Emulators in den Desktop und lokalen Server kann der Agent die verborgenen Schadteile von verschleierten Programmen untersuchen. Auch hier wird Bandbreite eingespart, da der Hash-Wert der ausgegebenen Daten – und nicht die Datei selbst – in das Internet versendet wird.

Problem 4: Aufgrund der Zeit, die zur Beantwortung einer Anfrage notwendig ist, werden nur die ausgeführten On-Demand Scanner und Dateien überprüft, und nicht alle Dateien, auf die zugegriffen wurde (wie es ein herkömmliches zugriffsgesteuertes Sicherheitssystem tun würde).

Realität: „Webbasiert“ bedeutet nicht, dass alle Hash-Werte in das Internet verschoben werden. Normalerweise kann „webbasiert“ in drei Bereiche unterteilt werden: in einen leichten, webbasierten Agenten, einen lokalen Server und ein Datenzentrum. Wie bereits erwähnt, umfasst der webbasierte Agent eine leichte und intelligente Signaturdatenbank. Jedes Pattern in dieser Datenbank kann polymorphe Malware erkennen, die zur selben Familie gehört. Außerdem kann der Emulator in den Desktop-Agent oder lokalen Server eingebettet werden. Mithilfe von Verhaltens-Pattern werden die vom Emulator ausgegebenen Verhaltensdaten untersucht. Der lokale Suchserver enthält immer die aktuellen lokalen Pattern-Dateien aus dem Datenzentrum. Daher kann die webbasierte Virensuche nach wie vor zugriffsbasierte Suchmodule unterstützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*