Verhaltensbasiertes Blacklisting

Verhaltensbasiertes Blacklisting kommt in unterschiedlichen Bereichen zum Einsatz: um Mail-Systeme vor Spam und Phishing zu schützen, Computer vor Malware und Hackern abzuschirmen und Websites wie Foren vor Bots zu bewahren.

Content- und IP-basierte Filterung sind die beiden häufigsten Verfahren, um Spam zu blockieren. Deren Wirksamkeit wird jedoch zunehmend durch immer bessere Methoden der Spam-Versender beeinträchtigt. Spam, der diese Hürden meistert, kann unter Umständen durch verhaltensbasiertes Blacklisting abgefangen werden. Anstelle bekannte Spam-Versender über IP-Adressen zu blockieren, versucht das verhaltensbasierte Blacklisting bestimmte Muster zu erkennen. Massenaussendungen, oder von Bots, gekaperten Websites oder Foren versendete Mails können aufgrund ihrer erkennbaren, skriptgesteuerten Verhaltensweise blockiert werden. Heuristik-basierte Antiviren-Programme sind eine Form des verhaltensbasierten Blacklisting und so in der Lage neue Bedrohungen und vor allem auch neue Varianten bestehender Viren zu erkennen.

Verhaltensbasiertes Blacklisting kann insbesondere auf Systemen sinnvoll sein, die besonders viele Funktionen bietet und ständigen Veränderungen unterliegen. In solch variablen Umgebungen kann es sehr aufwendig sein, eine Whitelist ständig aktuell zu halten. Dennoch ist eine Whitelist, die erlaubte Netzwerk- und Software-Verhaltensweisen, E-Mail-Adressen und erlaubten Code enthält, meist kürzer als ihr Blacklist-Pendant. Eine entsprechende Blacklist kann unter Umständen besseren Schutz bieten, muss aber ebenfalls aktuell gehalten werden. Bei sich ständig ändernden Bedrohungen, IP-Adressen und Umgebungen kann dies auf lange Sicht aufwendiger sein.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!