Antivirenlösungen (AV-Lösungen) können aufgrund der hohen Fehleranfälligkeit ihrer Parsing-Engines das Einschleusen und Ausführen von Schadcode ermöglichen (siehe www.computerwoche.de/1848636). Das haben zahlrei-che Tests des IT-Security-Dienst-leisters N.runs AG ergeben. Als besonders kritisch bewerten die Sicherheitsexperten die Schwäche der AV-Programme nicht zuletzt, weil Virenscanner mittlerweile nahezu an allen zentralen Schaltstellen - häufig auch im Verbund mit mehreren Engines - im Firmennetz laufen, wo die kritischsten Unternehmensdaten gespeichert und verarbeitet werden.
Für die AV-Hersteller sei es sowohl technisch als auch betriebswirtschaftlich kaum möglich, das Problem ganz zu beheben, warnt N.runs. Zwar ließen sich einzelne, gemeldete Sicherheitslücken in den jeweiligen Lösungen abdichten, nicht aber die grundsätzliche Parsing-Problematik der AV-Produkte beheben, so die Argumentation des primär auf Consulting in den Bereichen Security und Netzinfrastruktur spezialisierten Unternehmens. Da das Parsing als Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge jedoch unverzichtbar ist, sah N.runs nur eine Möglichkeit: Eine weiterhin hohe Virenerkennungsrate durch parsende AV-Systeme, eingebettet in eine sichere Architektur, die unter anderem erfolgreiche Angriffe auf die gesamte AV- und Mail-Infrastruktur verhindert. Ziel sei daher eine Lösung gewesen, die unter Einbindung der beim Anwenderunternehmen etablierten AV-Hersteller als Technikpartner hohe Sicherheit und Verfügbarkeit sowie Investitionsschutz gewährleistet, indem die bestehenden Virenschutzlösungen weitergenutzt werden können.
Das Unternehmen
Die in Oberursel ansässige N.runs AG wurde 2001 gegründet. Das Gründerteam stammt aus dem ehemaligen Geschäftsbereich Worldwide Services von Lucent Technologies. Als unabhängiger IT-Dienstleister bietet N.runs Beratung und Lösungsentwicklung in den Bereichen IT-Sicherheit (Applikationssicherheit, Sourcecode-Audits, Sicherheitsanalysen, IT-forensische Analysen), IT-Infrastruktur, IT-Business-Consulting und IT-Applications. Mit der auf Basis seiner Consulting-Erfahrung entwickelten Systemlösung "Aps-AV" zur Absicherung von AV-Lösungen gibt N.Runs sein Debüt als Lösungsanbieter.
Abhilfe gegen Parser-Probleme
Genau dies soll das "Application Protection System - Antivirus" (Aps-AV) ermöglichen, mit dem der in Oberursel ansässige IT-Dienstleister sein Debüt als Lösungsanbieter gibt. "Die langjährigen Erfahrungen aus unserem Consulting-Geschäft haben eine zielorientierte Umsetzung von Aps-AV möglich gemacht", kommentiert Andreas Bruns, Gründer und Vorstandsvorsitzender der N.runs AG, die Markteinführung der Lösung.
Bei dem Produkt handelt es sich um eine speziell für die Absicherung von AV-Programmen in Unternehmen konzipierte Three-Tier-Hochsicherheitsarchitektur, die laut Anbieter mit ihren Kontroll-, Abschottungs- und Vernichtungsmechanismen einem BSL-Klasse-4-Virenlabor (Biosafety Level) nachempfunden ist. Mit Aps-AV wendet sich N.runs insbesondere an Großunternehmen und regierungsnahe Organisationen, aber auch an Firmen mit hohen Sicherheitsanforderungen, die sich gegen Industrie- und Wirtschaftsspionage schützen wollen.
Die modular skalierbare und kundenspezifisch erweiterbare Lösung besteht aus drei Teilen: Die I/O-Frontend-Komponente generiert Aufträge für das Middle-Tier, die "Distribution Engine", die nach zuvor definierten Regeln die für den jeweiligen Scan-Vorgang zuständige AV-Engine beziehungsweise -Engines (bei Mehrfach-Scanning) bestimmt. Neben dem Scheduling und Spooling ist diese Aps-AV-Komponente für die Überwachung und Steuerung des abgeschotteten "Execution Environment" verantwortlich.
Sicherheit durch "No-Parsing"
Dabei werden die potenziell bösartigen Daten nicht inspiziert oder interpretiert (geparst), bevor sie in die abgesicherte Ausführungsumgebung gelangen. "Auf diese Weise sind erfolgreiche Parsing-spezifische Angriffe nicht möglich", erklärt Thierry Zoller, Senior Security Engineer bei N.runs. Erst im Execution Environment, das über ein gehärtetes Hochsicherheits-Betriebssystem und keinerlei Netzschnittstellen verfügt, kommen demnach die verwundbaren AV-Engines zum Zug und scannen den Mail-Anhang auf Schadcode. "Wird dort bei der Untersuchung eine Anomalie festgestellt, wird die abgeschottete Umgebung samt Betriebssystem komplett gelöscht und der Vorgang als Angriff auf das AV-Produkt markiert", so der Security-Experte. Die Distribution Engine gibt dem Mail-Server dann entweder grünes Licht oder veranlasst das Blockieren der E-Mail. Darüber hinaus wird der Vorgang zentral geloggt und gemeldet.
Um Angriffe auf Aps-AV selbst zu verhindern, wurde die Lösung in vollständig überprüfbarem typisiertem C# entwickelt. Zudem, so der Anbieter, seien alle Prozes-se innerhalb der Three-Tier-Architektur gegeneinander in beide Richtungen authentifiziert und die Kommunikation zwischen den drei Kernkomponenten durch Signaturen und ein spezielles Mehrwegeprotokoll abgesichert.
Sicheres Mehrfach-Scanning
Laut N.runs bietet Asp-AV nicht nur Schutz vor unbekannten Attacken (Zero-Day) auf die AV-Infrastruktur, sondern ermöglicht sicheres, beliebig skalierbares Mehrfach-Scanning und damit höhere Malware-Erkennungsraten, ohne dadurch - wie bisher beim Einsatz mehrerer hintereinandergeschalteter Virenschutzsysteme - die Angriffsfläche zu vergrößern. Als weitere Vorteile seiner Lösung hebt der Anbieter deren Aktualisierung im laufenden Betrieb sowie einfache Überwachung durch zentralisiertes Logging hervor. Die als Lizenz zu erwerbende Sicherheitslösung ist ab sofort verfügbar. (kf)u