Neue Bedrohungen erfordern neue Gegenwehr
Konsens herrscht aber auch über die Notwendigkeit, das Signaturprinzip durch neue vorbeugende Schutzmaßnahmen zu ergänzen. Aus diesem Grund konzentriert sich die AV-Branche seit einiger Zeit darauf, ihr Anti-Malware-Portfolio um proaktive Verfahren aufzurüsten, um auch unbekannte, noch nicht registrierte Schädlinge entlarven und abwehren zu können.
Als Vorreiter gilt hier Norman Data Defense Systems. Der norwegische Sicherheitsanbieter hat bereits vor rund vier Jahren mit seiner "Sandbox" eine Technik entwickelt, die - der signaturbasierenden Erkennung nachgeschaltet - eine komplette Kommunikationsumgebung in einem virtuellen Prozess darstellt. Dabei werden PC-Systeme, aber auch Rechner- oder Peer-to-Peer-Netze und sogar Tauschbörsen simuliert. "Kann die signaturbasierende Erkennung keine Zuordnung ‚gut/böse’ liefern, darf sich die unbekannte Datei in diesen virtuellen Umgebungen austoben", erläutert Stefan Angerer, Geschäftsführer bei Norman Deutschland, das Prinzip. Anhand der dort ausgeführten Routinen trifft das System, das eine Erkennungsrate zwischen 60 und 70 Prozent leisten soll, eine Wahrscheinlichkeitsentscheidung: Zeigt die Datei Malware-verdächtiges Verhalten, indem sie etwa Registry-Einträge modifiziert, Kommunikationsports öffnet oder Adressbücher ausliest, wird sie vom Rechner des Benutzers ferngehalten.
Neu ist die auf der Sandbox basierende, seit Juni erhältliche Software "Norman Network Protection" (NNP), die den Datenverkehr in Firmennetzen nahezu ohne Latenz auf Malware scannen soll. Technisch handelt es sich Angerer zufolge dabei um eine auf Layer 2 laufende Bridge, die sich von dort bis auf Applikationsebene hocharbeitet und alles inspiziert. Anders als Proxy-Lösungen hält die Software hierzu nicht den gesamten Datenstrom, sondern lediglich die für den Schadcode-Check erforderlichen Daten zurück. Das Linux-basierende NNP lässt sich an der Grenze zum Internet einsetzen, aber auch zwischen einzelne Netzbereiche schalten. Daher sei es möglich, etwa auch die Produktionsumgebung Malware-frei zu halten, so Angerer.
Laut Righard Zwienenberg, Chief Research Officer bei Norman, beschäftigt sich der Hersteller zudem mit einer neuen Technik namens "Raw Cable Scanning". "Dabei wird das Internet-Kabel in eine Box geführt, die die gesamte Kommunikation – unabhängig vom Protokoll – nahtlos und vom Endanwender unbemerkt auf Schadcode scannt", so der Sicherheitsforscher.
Auch Symantec arbeitet seit geraumer Zeit an Verfahren zur Analyse von Applikationsverhalten und Netzkommunikation, um potenzielle Angriffe bereits im Vorfeld erkennen und abwehren zu können. Als Beispiel führt Guido Sanchidrian, Manager Produkt-Marketing AV bei Symantec, die unter anderem in die für diesen Herbst angekündigte Sicherheitssuite Endpoint Protection 11.0 integrierte Technik "Generic Exploit Blocking" (GEB) auf. Die schwachstellenbasierende, auf Netzebene integrierte IPS-Technik (Intrusion Prevention System) soll das Ausnutzen von Sicherheitslücken verhindern, bevor darüber Schadcode in Systeme eindringen kann. "Die Technik blockt also generell das Ausnutzen einer Schwachstelle – egal wodurch", so Sanchidrian. Die von WholeSecurity übernommene Symantec-Technik "Proaktive Threat Scan" wiederum soll bösartigen Code ohne Signaturen erkennen und blockieren und so einem Virenausbruch vorbauen.
Ein Beispiel für die proaktiven Bemühungen von Seiten des Mitbewerbers Sophos stellt das Host-basierende Intrusion-Prevention-System (HIPS) "Behavioral Genotype Protection" dar. Im Gegensatz zu anderen HIPS-Lösungen, die laufenden Code überwachen und Programme, die verdächtige Verhaltensmuster aufweisen, erst nach ihrem Auftreten unterbrechen, soll die Sophos-Technik von vornherein verhindern, dass Schadprogramme auf dem PC ausgeführt werden. Laut Hersteller kann das System digitale Schädlinge sowohl am Gateway als auch auf File-Servern identifizieren und löschen, ehe sie auf den Endpunkt gelangen und dort Schaden anrichten. Um False Positives zu vermeiden, gleicht das System seine Regelverzeichnisse gegen eine umfassende Datenbank mit erlaubtem Code ab.