Sicherheitsentscheidungen, Teil 3: Proaktive Sicherheitslösungen
Einleitung
Wir haben bereits zwei Eckpunkte des Goldenen Dreiecks der Sicherheit besprochen: Firewalls und Antiviren-Software. Dieser Artikel befasst sich mit dem dritten Eckpunkt - dem proaktiven Schutz. Unter proaktivem Schutz verstehen wir Software, die versucht, illegale oder unerwünschte Anwendungsaktivitäten zu blockieren, ohne dazu diese Aktivität mit einem Satz bekannter "Fingerabdrücke" vergleichen zu müssen, die einer bestimmten Bedrohung entsprechen.
Überblick
Es gibt keine allgemeingültige Definition des Begriffs "proaktive Sicherheit", nach der allgemein verbreiteten Ansicht handelt es sich jedoch um jede Lösung, die illegale oder verdächtige Aktivitäten von Programmen auf lokaler Ebene blockiert oder auf andere Weise verhindert. Diese Lösungen benötigen keine Signaturen, um einen möglichen Angriff zu erkennen - statt dessen untersuchen sie das Verhalten der Anwendung, um einen möglicherweise schädlichen Prozess zu erkennen und einen Angriff aufzuhalten, noch bevor er das System infizieren oder auf andere Weise gefährden kann.
Werfen wir einmal einen Blick auf die zurzeit verfügbaren Kategorien proaktiver Sicherheitslösungen.
HIPS
HIPS steht für "Host-based Intrusion Prevention System", eine Art Laufzeitverhaltensanalyse. Der Name erklärt sich nicht gerade selbst, HIPS funktioniert jedoch folgendermaßen: Stellen Sie sich eine Lösung vor, die die Aktivitäten und Interaktionen mit dem Betriebssystem für jede einzelne Anwendung überwacht und Sie jedes Mal warnt, wenn ein neues oder unbekanntes Ereignis auftritt. Sobald ein solches Ereignis eintritt, fragt die Lösung Sie, ob die Aktivität zugelassen oder blockiert werden sollte. Die daraus folgende Regel wird dann in die Datenbank der bereits vom Programm erlernten Entscheidungen aufgenommen.
Obwohl dieser Ansatz übermäßig aufdringlich und störend wirken mag, kann er den besten Schutz vor unbekannten Angriffen bieten, da kaum etwas schiefgehen kann, wenn jede Aktivität von Ihnen kontrolliert wird oder vielmehr davon abhängt, wie Sie sie behandeln. HIPS handelt als "Informant" - es informiert Sie über abweichende Aktivitäten und lässt Sie entscheiden, ob es in Ordnung ist, damit fortzufahren.
Hier sehen Sie eine Liste von Aktivitäten, die üblicherweise von HIPS-Lösungen überwacht und kontrolliert werden:
- Integrität des Anwendungsspeichers und Freigabe gemeinsam genutzter Komponenten (DLLs),
- Laden von Systemtreibern,
- Erstellung oder Registrierung neuer Dienste,
- Änderungen in der Windows-Registrierungsdatenbank,
- Tastatur- und Bildschirm-Interaktionen, einschließlich der Befehle zum Kopieren/Einfügen,
- Kontrolle der Verwendung von typischen Windows-Anwendungen und -Diensten mit ungewöhnlichen Parametern,
- Kontrolle der Interaktion zwischen Anwendungen, Kontrolle von Schnittstellen-Fenstern,
- Ändern von Windows- und Programm-Einstellungen (Browser-Startseite, HOSTS-Datei usw.),
- systemnaher Festplattenzugriff,
- andere Sonderfunktionen und -vorgänge.
Obwohl diese Aktivitäten den meisten Anwendern vielleicht etwas unklar erscheinen, schützen SieIden Computer durch die sorgfältige Überwachung vor einem Großteil der Angriffstechniken von real vorkommender Malware.
Um diese Aktivitäten kontrollieren zu können, verwenden HIPS-Programme spezielle Überwachungs- und Abfangmethoden, mit denen die Aktivität der Zielprozesse ausgesetzt und später je nach Eingabe des Anwenders wieder aufgenommen oder völlig gestoppt werden kann.
Beispiele für klassische HIPS-Lösungen sind die Firewalls Outpost Firewall Pro und ZoneAlarm.
Der Nachteil einer so sorgfältigen Überwachung der Systemvorgänge liegt in der hohen Anzahl von Eingabeaufforderungen an den Benutzer. Um dieses Problem zu beseitigen, erstellen und aktualisieren die Entwickler von HIPS-Lösungen Konfigurationseinstellungen, die automatisch im Hintergrund angewandt werden können, so dass der Anwender nicht auf Sicherheitswarnungen reagieren muss. Die Liste der vordefinierten Einstellungen wird selbstverständlich fortlaufend erweitert und regelmäßig über das Internet an die Anwender verteilt.
Wenn man über HIPS spricht, fällt dabei auch häufig der Begriff "Leaktest". Leaktests hängen eng mit HIPS zusammen, da sie die Leistung des HIPS testen und beurteilen, wie gut diese Tools gegen echte Angriffe mit hoch entwickelten Zugriffstechniken schützen. Obwohl sie tendenziell eher die Widerstandskraft von Netzwerken nach außen messen, dienen Leaktests sicherlich als nützliches Werkzeug, um die Interaktionsarten festzustellen, denen ein bestimmtes Sicherheitssystem widerstehen kann. Mehr über Leaktests und ihre Verwendung erfahren Sie hier ("Ein Leitfaden zum Thema Leak-Tests").
Verhaltensblocker
Die verhaltensblockierende Software ist eine natürliche Weiterentwicklung des HIPS, da sie analytische Prozesse verwendet, um die Zulässigkeit bestimmter Abläufe einzuschätzen. Anstatt bei jedem einzelnen Ereignis eine Warnmeldung herauszugeben, bewerten Verhaltensblocker die Ereignisabfolge und ermitteln durch Analyse des beobachteten Verhaltens die Wahrscheinlichkeit, dass eine bestimmte Aktivität schädlich ist.
Anstatt zum Beispiel nachzufragen, ob für ein neues Programm der automatische Start beim Windows-Systemstart erlaubt werden sollte, untersuchen Verhaltensblocker, ob das neue Programm ebenfalls versucht, in kritische Systembereiche einzudringen, neue Systemdienste zu registrieren, mit anderen Windows-Programmen zu interagieren oder ob es andere für Schadprogramme typische Verhaltensweisen zeigt. Wenn ausreichende verdächtige Aktivitäten die Schlussfolgerung zulassen, dass das verdächte Programm "etwas im Schilde führt" und wenn die kritische Schwelle erreicht wurde, wird das Programm als schädlich eingestuft und entweder automatisch beendet oder es wird beim Anwender nachgefragt, wie mit dem Programm verfahren werden soll.
Beispiele für solche Programme sind etwa PrevX und CyberHawk Pro. Obwohl diese Programme die Anzahl von Eingabeaufforderungen im Vergleich zu klassischen HIPS-Lösungen ganz erheblich verringern, sind sie anfälliger dafür, von Hackern umgangen zu werden, da die analytische Logik unter Umständen nicht die notwendige Genauigkeit bietet. Für einige Anwender kann das jedoch ein lohnender Kompromiss sein - im Bereich Sicherheit geht es eigentlich immer um einen Kompromiss zwischen Wirksamkeit und Benutzerfreundlichkeit.
Sandboxing und Whitelists
Sandboxing ist ein Verfahren, um eine Liste zugelassener Aktivitäten oder vertrauenswürdiger Programme festzulegen, nach denen alle anderen Aktivitäten automatisch blockiert werden. Dieses Prinzip wird von Produkten wie DefenseWall angewandt, bei denen Sie festlegen können, welche Anwendungen auf einem Computer Sie als sicher betrachten. Sie können dann kritischen Vorgängen die Kommunikationen mit ihnen erlauben, während bei allen anderen Anwendungen die Aktivitäten erheblich eingeschränkt werden.
Verhindern eines unbefugten Abschaltens
Eines der Schlüsselelemente der proaktiven Sicherheit ist die Fortsetzung des aktiven Schutzes, selbst wenn Malware versucht ihn abzuschalten. In der Vergangenheit konnten viele Sicherheitsprodukte relativ einfach abgeschaltet oder deaktiviert werden, so dass Sicherheitsverletzungen möglich waren. Viele Anbieter von Sicherheitslösungen wurden sich der Notwendigkeit bewusst, ihre Produkte widerstandsfähiger gegen solche Angriffe zu machen und fügten eine Selbstschutz-Funktion hinzu, um diese Art des unbefugten Beendens zu verhindern.
Schlussfolgerung
Der eigentliche Wert der proaktiven Sicherheit liegt in ihrem Prinzip, Bedrohungen aufgrund von Verhaltensmustern zu bekämpfen anstatt sich vollständig auf die Erkennung nach bekannten Mustern zu verlassen. Durch diesen Ansatz können neue oder unklare Bedrohungen aufgehalten werden, die nicht durch Antiviren-Programme oder andere signaturbasierte Produkte erkannt werden können. Der proaktive Schutz ist die perfekte Ergänzung von Firewall und Antiviren-Programmen und fügt eine weitere Schutzebene gegen die Risiken hinzu, die in unserer vernetzten Welt nie weit entfernt sind.
|
