Gajus - Fotolia

Whitelisting und Blacklisting zum Schutz vor Malware kombinieren

Zum Malware-Schutz reicht es nicht mehr aus, sich nur auf White- oder Blacklists zu verlassen. Ein hybrider Ansatz verspricht eine höhere Sicherheit.

Die Zahlen sprechen für sich. Große Datendiebstähle treten mit erschreckender Häufigkeit auf. Das deutsche AV-Test Institut, ein auf die Erkennung von Schadcode spezialisierter unabhängiger Service-Provider, spürt alleine mehr als 390.000 neue Malware-Varianten pro Tag auf. Der Cyberspace ist damit zum Wilden Westen geworden, in dem Datenbanken in einem noch die da gewesenen Ausmaß geplündert und im Dark Web verkauft werden.

Es ist unmöglich, die hohe Zahl bekannt gewordener Bedrohungen Tag für Tag auf schwarze Listen zu setzen und dann zu blockieren. Ebenso ist es nicht so einfach zu realisieren, alle bekannten erlaubten Anwendungen auf Whitelists zu setzen. Viele der in Unternehmen genutzten Werkzeuge und Techniken sind auf den Kampf gegen bekannte Schädlinge ausgerichtet. Dieser Kampf ist jedoch nicht zu gewinnen. Selbst Managed Security Services Provider (MSSPs) sind dabei, ihn zu verlieren. Unternehmen benötigen deswegen einen neuen Ansatz, um sich zu schützen. Ein so genanntes hybrides Whitelisting-Blacklisting kann die Antwort auf die entstandenen Probleme sein.

Viele der auf dem Markt erhältlichen Security-Produkte setzen vor allem auf ihre Blacklisting-Fähigkeiten. Schwarze Listen sperren nur das, was sich auf ihnen befindet. Alles andere, zum Beispiel E-Mails, IP-Adressen und Domain-Namen, werden durchgelassen. Eine Blacklist ist also nichts anderes, als eine Liste mit allen Elementen, die geblockt werden sollen. Wenn etwas als schädlich identifiziert wurde, wird es zur Blacklist hinzugefügt und kann dann in Zukunft nicht mehr ausgeführt werden.

Malware identifizieren

Das Problem ist jedoch die Frage, wie sich Elemente blockieren lassen, von denen man noch gar nicht weiß, dass sie schädlich sind? In der Regel muss Malware erst etwas infizieren, damit man erkennt, dass es sich hierbei um einen Schädling handelt. Dann wird sie analysiert und zur Blacklist hinzugefügt. Die heutigen Probleme lassen sich aber nicht allein mit Signaturen lösen. Geräte und Anwendungen, die vor allem auf Signaturen zurückgreifen, vergleichen jede eintreffende Datei mit diesen Daten. Wird eine Übereinstimmung erkannt, wird die Datei verworfen. Der Erfolg Signatur-basierter Systeme ist jedoch nur so gut, wie die von ihnen verwendeten Daten. Bei der schieren Menge an täglich neu generierter Malware ist es nicht mehr möglich, Signaturen schnell genug zu erstellen, um der Lage wieder Herr zu werden.

Selbst zusammen mit Hilfe modernster heuristischer und verhaltensbasierter Analysen lässt sich dieser Kampf nicht mehr gewinnen. Alle geistigen Besitztümer sind gefährdet. Persönliche Daten sind gefährdet. Medizinische Akten, finanzielle Daten und sogar Millionen elektronisch erfasste Daten von Wählern sind gefährdet. Blacklisting ist kein ausreichender Schutz für Unternehmen und ihre Angestellten.

Um die Lücke zu schließen, wird oft auch auf Whitelisting zurückgegriffen. Whitelisting erlaubt nur das Ausführen von Netzwerk- oder Anwendungsdateien, die sich auf einer so genannten weißen Liste befinden. Eine Whitelist ist also keine Blockliste, sondern eine Art Erlaubnisliste. Nur die Elemente, die sich auf der Whitelist befinden, dürfen ausgeführt werden. Das Whitelisting von Anwendungen hatte jedoch zunächst keinen guten Start in Unternehmen. Erste Anwender fanden es sehr aufwändig, die Listen zu erstellen und zu pflegen. Es gab auch nur wenige Spezialisten, die Whitelists einführen und verwalten konnten. Bei den ersten Whitelisting-Lösungen war es zudem möglich, dass eine eigentlich als gut erkannte Anwendung blockiert wurde. Aktuelle Lösungen setzen dagegen auf Sandboxing-Technologie, um Unbekanntes in einer kontrollierten Umgebung analysieren zu können. Die Risiken waren also anfangs zu groß und Whitelisting wurde zu wenig genutzt, um zu einer praktikablen Lösung für das Malware-Problem zu werden.

Gute Software, bösartige Software

Unternehmen sollten jedoch keiner der beiden Lösungen den alleinigen Vorzug geben. Stattdessen sollten sie sowohl Whitelists als auch Blacklists verwenden. Die ideale Lösung ist ein hybrider Whitelisting- Blacklisting-Ansatz, der das Beste aus beiden Welten kombiniert. Whitelisting ermöglicht es, bekannte gute Anwendungen zu identifizieren, während Blacklisting bekannte schädliche Anwendungen blockiert. Neue hybride Whitelisting-Blacklisting-Lösungen sind nicht nur ausgereifter und effizienter als frühere Systeme, sie sorgen auch für einen Perspektivenwechsel. Dadurch wird vor allem Whitelisting in Zukunft eine größere Rolle in den Angeboten vieler MSSPs spielen.

Whitelisting ist eine kritische Komponente in einem modernen Cyber-Security-Ansatz, der Unternehmen eine Chance im Kampf gegen ein ansonsten kaum überwindbares Problem gibt. Erst wenn die bekannten guten Elemente in den jeweiligen IT-Umgebungen identifiziert werden und nur ihnen erlaubt wird, ausgeführt zu werden, können die Verhältnisse wieder zu unseren Gunsten gewendet werden. Ein hybrider Whitelisting-Blacklisting-Ansatz ist genau die Lösung, die jetzt benötigt wird, um die Malware-Flut wieder unter Kontrolle zu bekommen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Black- und Whitelisting von Anwendungen mit Windows AppLocker.

System und Anwendungen gegen Attacken schützen.

Microsoft-Office-Risiko: So kann man sich vor OLE-Malware schützen.

Mit verhaltensbasierter Angriffserkennung die Sicherheit erhöhen.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de

Close