Finden AV-Hersteller ein Mittel gegen "Exploits"?

9. April 2009, 12:28
  • security
  • cyberangriff
image

Handelsübliche Antiviren-Software nützt wenig gegen Angriffe auf neu entdeckte Sicherheitslücken. Der norwegische Security-Hersteller Norman versuchts mit neuen Ansätzen.

Handelsübliche Antiviren-Software nützt wenig gegen Angriffe auf neu entdeckte Sicherheitslücken. Der norwegische Security-Hersteller Norman versuchts mit neuen Ansätzen.
Fast täglich tauchen neue Sicherheitslücken auf. Betroffen sind nicht nur Windows oder Browser wie Internet Explorer und Firefox sondern auch andere Programme, die man auf fast jedem PC findet. So können Lücken in Büroprogrammen, in der Java-Plattform, in Acrobat Reader oder in Medienplayern gefährliche Angriffsflächen eröffnen. Und diese Lücken werden ausgenützt. So ist gemäss Are Tjønn (Foto), CTO des norwegischen Security-Spezialisten Norman, nach jedem "Patch Tuesday" eine Welle von Angriffsversuchen, so genannten "Exploits", auf die an diesem Tag veröffentlichten Sicherheitslücken feststellbar. Am "Patch Tuesday" stellt Microsoft jeweils eine ganze Reihe von Softwareflicken für Sicherheitslücken zur Verfügung.
Solche "Exploits" können sich überall verstecken. In einer PDF-Datei, einem Excel-Sheet aber auch in einem Werbebanner auf einer an sich seriösen Webseite. Gleichzeitig ist es für Administratoren und auch einzelne Anwender äusserst anspruchsvoll, sämtliche Applikationen, vom selten gebrauchten Plug-In eines selten gebrauchten Browsers bis zum hinterletzten Mediaplayer, den man in grauer Vorzeit installiert hat, laufend auf dem neuesten Stand zu halten.
Gegen "Exploits" kann man sich nur schlecht wehren, denn die verbreiteten Anti-Viren-Software-Pakete schützen praktisch nicht vor Angriffen, die Sicherheitslücken auszunützen versuchen.
Normans Ansatz
Der norwegische Security-Hersteller Norman versucht nun mit einem neuen Ansatz, einer so genannten Appliance (dedizierter Computer), Abhilfe gegen "Exploits" zu bieten. Die "Norman Network Protection Appliance" (NNP) kann irgendwo in ein Netzwerk eingeklinkt werden. Sie scannt dann den Netzwerk-Verkehr und verursacht dabei nach Herstellerangeben nur sehr geringe Latenzzeiten. Als Protokolle werden FTP, HTTP, SMTP, POP3, RPC, TFTP, IRC und Microsofts SMB unterstützt. Bösartiger Code - auch solcher, der sich zum Beispiel in einer Flash-Datei versteckt - soll dann von der Box aus dem Verkehr genommen werden. Der Scanner von Norman endeckt heute Exploits in Office-, PDF- und Flash-Dateien (nicht aber solche, die Lücken in der Java-Plattform ausnützen), wie Tjønn im Gespräch mit inside-it.ch erklärte.
Zudem benutzt NNP die Norman "Sandbox". Dies ist eine Art virtueller PC, auf dem allfällig schädlicher Code ausgeführt und analysiert wird. NNP könne sogar ein einziges, mit gefährlichem Code verseuchtes, Bild aus dem Internet-Verkehr (HTTP) herausfischen und den Rest der Daten zum Browser des Users weiterleiten, so Tjønn.
Neue Management-Konsole und ein "vorausschauender" Virenscanner
Neben der NNP hat Norman die Management-Konsole für Administratoren völlig überarbeitet. Norman Endpoint Protection entdeckt, so Tjønn, selbständig alle IP-Geräte in einem Netzwerk. Sie lässt sich in andere Desktop-Management-Suiten integrieren.
Ziemlich stolz sind die Norweger, deren Scanning-Maschine übrigens in den Antiviren-Produkten von anderen Herstellern, zum Beispiel Microsofts Forefront, steckt, auf ein neues Verfahren zur Entdeckung von bisher unbekannter Malware. Norman geht davon aus, dass die schiere Zahl neuer schädlicher Software-Varianten das heute übliche Vorgehen mit Signaturen immer schwieriger macht. Andererseits ist neuer Schadcode heute oft eine leichte Abwandlung von bereits bekannter gefährlicher Software. Mittels "DNA Matching" werden typische Code-Abschnitte von Malware ermittelt und in einer Datenbank abgelegt. Damit soll Normans Scanner dann auch neue Varianten von Schadcode ermitteln und ausschalten.
Ähnliche Ansätze verfolgen auch andere Security-Hersteller. Wir haben Norman herausgefischt, weil wir die Gelegenheit hatten, uns die ganze Sache von Are Tjønn höchstpersönlich erklären zu lassen. (Christoph Hugenschmidt)

Loading

Mehr zum Thema

image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt. Die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht, während Cisco detailliert den Ablauf schildert.

publiziert am 11.8.2022
image

Chaos Computer Club hackt Verfahren zur Videoidentifikation

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

publiziert am 10.8.2022