Programmkontrolle als Pfand für die Netzwerksicherheit. Teil 2

Alles Geniale ist einfach?

Das Konzept Default Deny ist äußerst einfach und logisch. Allerdings richtete sich dieser Ansatz bis zum gegenwärtigen Zeitpunkt an ein sehr kleines Publikum. In erster Linie hängt das mit den technischen Schwierigkeiten zusammen, die bei der Entwicklung einer Lösung auftreten, die für eine breite Anwendung und die Aufhebung einer Reihe von kritischen Beschränkungen geeignet sein soll.

Neue Entwicklungsetappe der Programmkontrolle

Die Verwendung des Modus Default Deny bedeutet auch eine Prioritätenverschiebung bei der Auswahl der Sicherheitsregeln: Weg von der Handlungsfreiheit und dem Komfort für den Endanwender hin zur Erfüllung der wichtigsten Aufgabe eines jeden IT-Sicherheitssystems – der Minimierung des Risikos, kritisch wichtige Unternehmensdaten preiszugeben oder zu verlieren.

Die Einführung eines strikten Programmkontrollmodus führte früher allerdings zu ernsthaften funktionalen Einschränkungen, was die Verwendung eines solchen Modus praktisch unmöglich machte. Damit Default Deny die Funktionsfähigkeit des Unternehmensnetzwerkes nicht beeinträchtigt, braucht es eine zusätzliche Komponente.

Beim Wechsel in den Modus Default Deny muss der Systemadministrator eine Reihe von Aufgaben erfüllen. Um ihm die Lösung dieser Aufgaben zu erleichtern, sollte die Application Control als Hauptkomponente, die die Anwendungen des Unternehmensnetzes steuert, angepasst werden.

Default Deny lässt sich also nur nach der Einführung der folgenden Funktionen nutzen:

  • Inventarisierung: Sammeln von Informationen über die gesamte Software, die im Unternehmensnetzwerk installiert ist – auf allen Computern und Netzwerkressourcen.
  • Kategorisierung: Einteilung der im Netzwerk identifizierten Software in funktionale Gruppen wie Betriebssystem-Komponenten, Browser, Multimedia, Spiele usw.
  • Konfiguration oder Application Management: Einführung von Beschränkungen für das Starten und die Ausführung von Programmen bestimmter Kategorien für Anwender/Anwendergruppen (im Grunde genommen die Festlegung der Sicherheitsregeln).
  • Dynamic Whitelist: Wissensdatenbank über jegliche weltweit herausgegebene Software. Sie enthält aktuelle und regelmäßig aktualisierte Informationen über die Anwendungen, ihre Reputation, ihre Kategorien sowie gängige/empfohlene ähnliche Programme. Es handelt sich um Expertenwissen, das Hersteller von Sicherheitslösungen bereitstellen.
  • Sichere Software-Updatemechanismen: Autonome Techniken zur Unterstützung regelmäßiger Updates der gängigen Software. Diese befreien die Administratoren von der lästigen Aufgabe, die im Netzwerk aktualisierte Software jedes Mal erneut freizugeben.
  • Unterstützung von Listen vertrauenswürdiger Anwender und Softwarequellen: Netzwerkadministratoren und IT-Sicherheitsingenieure erhalten damit ein einfaches und bequemes Mittel zur Softwarelegalisierung. Insbesondere geht es dabei um die Erstellung von Listen vertrauenswürdiger Netzressourcen im Internet und im lokalen Unternehmensnetzwerk (HTTP/FTP/Shared folders/etc.) – also um Bezugsquellen für saubere Anwendungen, die installiert und verwendet werden dürfen.
  • Prüfung und Unterstützung des Modus „Versuchsbetrieb“: Methoden zur statischen oder dynamischen Erkennung von Softwareproblemen, die bei Einführung der einen oder anderen Regel auftreten (Inkompatibilität/Funktionsunfähigkeit verschiedener Anwendungen), infolge derer die Geschäftsabläufe gestört werden könnten.
  • Feedback und Anwenderunterstützung: Tools, mit denen Administratoren Vorfälle protokollieren, steuern und dokumentieren können und dadurch die Anwender unterstützen.
  • Monitoring und Reporting: Entwicklung von Methoden zum Sammeln, Bündeln und Systematisieren der Berichterstattung.

Dynamic Whitelist: Dynamische Wissensdatenbank über Software

Was ist die Datenbank Dynamic Whitelist? Es handelt sich dabei um eine Wissensdatenbank zu allen Spielarten von legitimer Software. Vom technischen Standpunkt aus gesehen stellt die Dynamic Whitelist eine riesige Datenbank „sauberer“ Software dar, die ununterbrochen um neue Daten, Dateien aller Art und – was am wichtigsten ist – um Informationen über die betreffenden Objekte ergänzt wird. Die Qualität und Vollständigkeit von Daten dieser Art hängt von den Informationsquellen ab: Führende Anbieter von IT-Sicherheitslösungen stellen die Dynamic Whitelist selbst zusammen.

Die Dynamic Whitelist ist eine Komponente, die für die Erfüllung dreier der zur Umsetzung von Default Deny notwendigen sieben Aufgaben unerlässlich ist (siehe Tabelle oben). Es liegt auf der Hand, dass die Qualität der von AV-Unternehmen angebotenen Lösungen direkt von der Qualität der in ihnen verwendeten Wissensdatenbanken abhängt.

Zur Bewältigung der oben aufgezählten Aufgaben sollte die Datenbank folgendes erhalten:

  1. Basisinformationen zu der Software: Hersteller, Name und Version des Produkts sowie weitere Informationen, die hauptsächlich den Programmen selbst entnommen werden.
  2. Erweiterte Informationen (Expertenwissen):
    • Daten über den Risikograd: Klassifizierung der Software, Reputation (zum Beispiel vertrauenswürdig, nicht vertrauenswürdig, zweifelhaft).
    • Software-Kategorie: Systemsoftware, Browser, Spiele, Office-Anwendungen und andere.
    • Business-Ausrichtung der Anwendungen: Buchhaltung und Finanzen, Marketing, HR, CRM , Logistik und andere.
    • Alternative Software: Informationen über ähnliche Software.
    • Statistische Daten: Zum Beispiel Popularität der Programme, Verbreitung nach Regionen.

Welche weiteren Anforderungen müssen derartige Wissensdatenbanken neben den Daten noch erfüllen?

Wie ihr Name schon sagt, sollte die Datenbank Dynamic Whitelist in erster Linie dynamisch sein. Täglich erscheinen unzählige neue legitime Anwendungen sowie Updates zu bereits existierender Software. Das bedeutet, dass die Anbieter von Sicherheitslösungen unverzüglich auf jegliche Veränderung der Software reagieren müssen, indem sie ihre Wissensdatenbanken sofort aktualisieren. Dafür braucht es eine regelmäßige und rechtzeitige Ergänzung der Datenbanken, in denen saubere Software aus zahlreichen Quellen und aus verschiedenen Regionen der Welt stehen. Diese Aktualisierung sollte automatisch ablaufen, da hier von gigantischen Informationsmengen die Rede ist (täglich Terabytes von Daten). Zu diesem Zweck entwickeln die Anbieter der Datenbank Dynamic Whitelist so genannte Crawler – Suchagenten, die im Internet neue Software erfassen und wenn nötig neue Anwendungen herunterladen.

Um die Aktualität der Datenbanken sicherzustellen, müssen zudem technologische Partnerschaften zwischen dem AV-Anbieter, den großen Herstellern und unabhängigen Softwareanbietern aufgebaut werden. Das Ziel einer solchen Partnerschaft ist es, neue Software noch vor deren offizieller Herausgabe zu erhalten, zu analysieren, klassifizieren und kategorisieren, um so die Falsch-Positiv-Rate zu minimieren. Damit schließt man aus, dass es zwischen den Sicherheitslösungen und der Software der Partner-Anbieter zu Inkompatibilitäten kommt.

Eine weitere mögliche Quelle zur Ergänzung der Datenbanken ist ein globales Informationsnetz, das der AV-Anbieter auf der Grundlage seiner Anwender-Community aufbaut. Ein solches Informationsnetz stellt einen ernstzunehmenden Wettbewerbsvorteil dar. Der Anbieter erhält dadurch Metadaten über die Software, die auf den Computern der Anwender läuft. Dadurch kann er die Wissensdatenbank um Informationen über das Erscheinen neuer Anwendungen und den Start verschiedener Software-Updates ergänzen.

Kaspersky Lab verfügt über alle aufgezählten Komponenten zur Ergänzung der Dynamic Whitelist-Datenbank. Derzeit gewährleistet das hochentwickelte Partnernetzwerk eine ständige Ergänzung der dynamischen Wissensdatenbank von Kaspersky Lab – und zwar um durchschnittlich 1 Million neuer Dateien pro Tag. Das Partnernetzwerk umfasst einige hundert internationale Partner, weltweit Dutzende Millionen von Teilnehmern des globalen Informationsnetzes Kaspersky Security Network sowie ein umfassendes Netz automatischer Suchagenten.

Die Qualität der dynamischen Whitelist-Datenbank von Kaspersky Lab wurde in einem unabhängigen Test des Unternehmens West Coast Labs bestätigt. Laut den Testergebnissen enthält unsere Datenbank Informationen über 94 Prozent der gesamten weltweit veröffentlichten Software.

Alle in der Datenbank Dynamic Whitelist aufgenommenen Objekte müssen sorgfältig kontrolliert werden. Vor allem muss ihre Reputation immer auf dem aktuellen Stand sein. Denn Software, die heute noch als „sauber“ klassifiziert wird, kann sich nach eingehenderer Analyse schon morgen als Träger von Schadcode herausstellen.

Man muss wissen, dass das regelmäßige Scannen der Dynamic Whitelist-Datenbank eine durchaus anspruchsvolle Aufgabe ist. Zu diesem Zweck benötigt man neben automatisierten Verarbeitungs- und Informationsanalysetools ein ausgewähltes Expertenteam, das in der Lage ist, bei Problemfällen den Programmcode zu analysieren und ein endgültiges Urteil zu fällen. Kleine Unternehmen oder Hersteller von „kostenlosen“ AV-Produkten können sich ein solches ausgewähltes Antiviren-Labor nicht leisten. Außerdem sind die Spezifika der Verarbeitung von schädlicher und sauberer Software unterschiedlich. Im Idealfall sollte ein Unternehmen nicht nur über ein Antiviren-, sondern auch über ein spezialisiertes Whitelisting-Labor verfügen, das alle eingehenden Informationsströme verfolgt, die intelligenten Systeme ausbildet und in Sonderfällen unverzüglich reagiert. Kaspersky Lab verfügt über ein solches Whitelisting-Lab.

Von der Theorie zur Praxis: Endpoint 10 von Kaspersky Lab

Administratoren von Unternehmensnetzwerken erfüllen bei der Verwaltung von Workstations komplexe, sich oft wiederholende Aufgaben. Der Einsatz des Whitelist Security Approach garantiert (im Modus Default Deny) ein wesentlich höheres Sicherheitsniveau im Unternehmensnetzwerk. Dabei erfordert Default Deny mit seinen strengen Systembeschränkungen die Umsetzung von Methoden, mit denen sich die Aufgaben der Administratoren automatisieren lassen.

Werfen wir nun am Beispiel der Unternehmenslösung Endpoint Security von Kaspersky Lab einen Blick darauf, wie der Übergang von der Theorie zur Praxis vonstattengeht. Dazu betrachten wir der Reihe nach jede Etappe des Lebenszyklus von der Inventarisierung der Software bis zur Unterstützung des Unternehmensnetzwerks (nach Integration des Produkts).

Der Whitelist Security Approach wurde erstmals in Kaspersky Endpoint Security 8 für Windows im Jahr 2011 umgesetzt. Jetzt, im Jahr 2013, bietet Kaspersky Endpoint Security 10 für Windows eine noch umfassendere Funktionalität, unter anderem auch auf dem Gebiet der Programmkontrolle.

Etappen des Lebenszyklus (Default Deny)

  • Inventarisierung: Gleich zu Beginn, nach der Installation des Produktes, muss der Administrator die automatisierte Prozedur zur Inventarisierung der gesamten Software durchführen, die im Unternehmensnetzwerk installiert ist. Im Rahmen dieser Aufgabe sammelt Kaspersky Endpoint Security Informationen über die gesamten auf den Computern des Netzwerks und in den Netzressourcen installierten Programme.
  • Ergebnis der Programm-Inventarisierung im vorgeschriebenen Verzeichnis

  • Kategorisierung (automatisiert, auf Grundlage der Dynamic Whitelist): Nach Abschluss der Inventarisierung folgt automatisch die Kategorisierung der gesamten Software, das heißt die Einteilung in die entsprechenden Gruppen gemäß den im Produkt festgeschriebenen Regeln (Betriebssystem, Multimedia, Peripherie, Spiele, Browser usw.). Nicht alle AV-Unternehmen bieten eine solche Funktionalität an, die durch die Programmkontrolle umgesetzt wird. Für eine komfortable Steuerung der enormen Vielfalt der im Unternehmensnetzwerk installierten Software halten wir die Application Control jedoch für unerlässlich. Daher haben wir unsere Whitelist-Datenbank in 16 Hauptkategorien und 96 Unterkategorien eingeteilt (siehe auch unseren Kategorienkatalog).
  • Kategorienkatalog von Kaspersky Lab

    Zur Bestimmung der kritisch wichtigen Komponenten des Betriebssystems und der Treiber steht in Kaspersky Endpoint Security eine besondere Kategorie von Betriebssystemdateien mit der Bezeichnung Golden Image zur Verfügung. In diese Kategorie gehören alle für Windows XP, Windows Vista, Windows 7, Windows 8 (32 und 64 Bit) notwendigen Komponenten sowie mehr als 15 Lokalisierungen für jede der Komponenten, was sich zu insgesamt über 100 Versionen und Lokalisierungen summiert. Der Administrator muss der Kategorie Golden Image lediglich die Dateien aus der lokalen Whitelist-Datenbank hinzufügen und die Konfiguration von Default Deny ist abgeschlossen.

  • Kategorisierung (manuell): Man sollte berücksichtigen, dass keine Weiße Liste eines Anbieters von Schutzlösungen Informationen über die gesamte Software enthalten kann, die im Unternehmensnetzwerk installiert ist. So verfügen Unternehmen beispielsweise nicht selten über spezialisierte proprietäre Software, die vor Ort oder auf Bestellung entwickelt wird. In Kaspersky Endpoint Security 10 hat der Administrator in der Application Control deshalb die Möglichkeit, eine lokale Weiße Liste zu erstellen.
  • Außerdem versteht sich Kaspersky Endpoint Security 10 auf die Multivektoren-Kategorisierung. Das bedeutet, eine Anwendung kann gleichzeitig mehreren Kategorien angehören.

    Dateikategorisierung durch den Administrator

  • Konfiguration: Kaspersky Endpoint Security kann die kategorisierte Software in Abhängigkeit von Anwendern und Anwendergruppen verwalten. Beispielsweise kann unsere Lösung die Verwendung von Software der Kategorie „Accounting“ ausschließlich der Buchhaltung gestatten, damit darüber hinaus niemand Zugriff auf die Finanzinformationen des Unternehmens erhält.
  • Auf die gleiche Art und Weise kann die Verwendung von nicht lizenzierter Software und Programmen eingeschränkt werden, die nichts mit der Arbeit zu tun haben. Das heißt, man kann die Nutzung von jeder beliebiger Software verbieten, für die das Unternehmen keine Lizenzen besitzt oder beispielsweise alle Chatprogramme außer Skype zulassen. Es ist ebenfalls möglich, bestimmte Programmversionen zu blockieren, zum Beispiel alle Browser mit Ausnahme einer bestimmten Version des Internet Explorer.

  • Sichere Software-Updatemechanismen: Die Technologie Trusted updaters übernimmt in Kaspersky Endpoint Security die automatische Softwareaktualisierung. Sie ermöglicht eine sichere Update-Prozedur der Produkte – unter Berücksichtigung komplexer Ketten von Programmaufrufen, die im Update-Prozess auszuführen sind.
  • Prüfung und Unterstützung des Versuchsbetriebs: Da die Einführung strenger Regeln eine recht verantwortungsvolle Angelegenheit ist, haben wir einen speziellen Test-Modus vorgesehen, den der Administrator zur Ausformung und Bewertung einer jeden Regel nutzen kann. Im Versuchsbetrieb werden Anwendungen nicht real gesperrt, doch der Administrator sieht anhand der Berichte, was tatsächlich geschehen würde. Dadurch können entsprechende Korrekturen an den Regeln vorgenommen werden, bevor es wirklich ernst wird, ohne negative Reaktionen seitens der Anwender oder eine Behinderung der Geschäftsprozesse des Unternehmens hervorzurufen, falls die zugrunde gelegten Regeln nicht funktionieren.
  • Feedback und Anwenderunterstützung: Die IT-Umgebung eines Unternehmens ist dynamisch, daher sollte der Anwender immer die Möglichkeit haben, beim Administrator die Erlaubnis für den Start neuer Software zu erfragen. Der Administrator sollte seinerseits mit einem einzigen Knopfdruck auf einer komfortablen Benutzeroberfläche die entsprechende Anfrage gestatten oder ablehnen können. Unser Produkt beherrscht beide Varianten. Um eine solche Flexibilität selbst im Modus Default Deny zu haben, kann der Administrator Anwenderbeschwerden bearbeiten. Für den Fall, dass sich eine Anwendung als blockiert erweisen sollte, die der Anwender für seine Arbeit aber als unerlässlich einstuft, so muss dieser nur auf „Anfrage absenden“ klicken, und der Administrator  erhält automatisch eine entsprechende Benachrichtigung.
  • Beispiel für eine Nachricht, die automatisch an den Systemadministrator gesendet wird, wenn der Start einer Anwendung blockiert ist.

    Im vergangenen Jahr haben unabhängige Testlabore erstmals die Application Control geprüft. Gleich zwei Unternehmen untersuchten die Effektivität der Application Control-Technologie zum Schutz vor zielgerichteten Attacken und der Steuerung von nicht autorisierter Software.

    Anfang 2012 veröffentlichte West Coast Labs einen Bericht über die Ergebnisse des branchenweit ersten unabhängigen Tests, in dem Kaspersky Lab den ersten Platz belegte.

    Später führte die Firma Dennis Labs ebenfalls einen Vergleichstest durch und veröffentlichte die Resultate zu Beginn des Jahres 2013. Unsere Lösung belegte das zweite Mal in Folge den Spitzenplatz.

Fazit

Die steigende Qualität und – noch wichtiger – die zunehmende Komplexität von Computer-Bedrohungen zwingt die Hersteller von Antiviren-Software, nach neuen Lösungen für einen effizienten Schutz von Unternehmensnetzwerken zu suchen. Der neue Ansatz Whitelist Security Approach gestattet ausschließlich geprüfter Software aus der Weißen Liste den Start und die Ausführung im System. Dementsprechend blockiert unsere Lösung den Start jeglicher unbekannter und nicht autorisierter Software. Das hat zur Folge, dass keinerlei Schadprogramme im System gestartet werden können. Dieser Ansatz gewährleistet den Schutz vor komplexen und unbekannten Bedrohungen, darunter auch zielgerichteten Angriffen.

Der Whitelist Security Approach ist ein weiterer Entwicklungsschritt in der Programmkontrolle (Application Control), ergänzt um einen ausgereiften Modus „Standardmäßig blockieren“ (Default Deny) sowie um die innovative Technologie Weißer Listen (Dynamic Whitelist).

Der Modus für erhöhte Sicherheit, Default Deny, erfordert zusätzliche Funktionalität. Die Application Control sollte dazu einige einfache Mechanismen beinhalten, wie zum Beispiel Inventarisierung, Kategorisierung, Konfiguration (Application Management), flexible Verwaltung der Regeln der lokalen Weißen Liste sowie die Möglichkeit, die Cloud-Datenbank Dynamic Whitelist zu nutzen, die in der Lage ist, unverzüglich auf aktualisierte Software zu reagieren. Die Funktion Versuchsbetrieb-Modus ist unerlässlich für einen professionellen Übergang in den Modus Default Deny.

Der Whitelist Security Approach unterstützt den Systemadministrator bei der Erfüllung einer Reihe von Aufgaben:

  • Kontrolle (gestatten, verbieten, flexibel beschränken und protokollieren) des Starts sauberer Programme auf den Clients in Übereinstimmung mit den im Unternehmen geltenden Sicherheitsregeln.
  • Der Entwickler der Sicherheitslösung bescheinigt die Unbedenklichkeit der Dateien in seiner Dynamic Whitelist-Datenbank.
  • Eine Garantie, dass saubere und zur Benutzung freigegebene Software reibungslos funktioniert.
  • Verwaltung von Software-Kategorien statt einzelner Programme.
  • Probleme, die infolge einer Blockierung des einen oder anderen Programms auftreten können, kann der Administrator während des normalen Betriebs erfassen, kontrollieren und darauf reagieren.
  • Der Whitelist Security Approach kontrolliert, ob unbekannte oder nicht lizensierte Software im Einsatz ist. Dadurch lässt sich die Nutzung der IT-Ressourcen des Unternehmens optimieren und die Leistung steigern.

In Verbindung mit Default Deny ist die Application Control ein leistungsstarkes und komfortables Tool, das dem Systemadministrator die Verwaltung von Clients im Unternehmensnetzwerk erleichtert und deren Sicherheit gewährleistet.

Wir bei Kaspersky Lab halten den Whitelist Security Approach für ein Schlüsselelement bei zukünftigen Schutzmechanismen für Unternehmensnetzwerke. Gleichzeitig sind wir aber der Meinung, dass es kein Allheilmittel und auch nicht die eine Technologie geben kann, die einen Schutz vor allen Bedrohungen garantieren kann. Für Unternehmensnetzwerke lohnt sich daher die Verwendung eines leistungsstarken Endpoint-Produkts, das verschiedene Schutztechnologien in sich vereint. Nur ein vielschichtiges Schutz- und Kontrollsystem kann ein höchstmögliches Schutzniveau in Unternehmensnetzwerken gewährleisten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.