Advertorial: Codeanalyse in Echtzeit spürt auch unbekannte Malware auf
Die meisten Angriffe werden nicht mehr per Mail durchgeführt, sondern über das Web, bietet dieses doch viel mehr Möglichkeiten. Im Prinzip lassen sich drei Elemente unterscheiden, die für Angriffe meist kombiniert werden:
– Das Hacken von Websites, um Malware einzuschleusen
– Das Ausführen dynamischer Schadcodes
– Das Ausnutzen bekannter Schwachstellen
Gelingt es Cyberkriminellen eine Website zu hacken, können sie Schadcode in diese einfügen, um die Besucher mit Malware zu infizieren. Erleichtert wird dies dadurch, dass Websites zunehmend komplexer werden und auch externe Inhalte einbinden – Werbung, Feeds, Dienste von Drittanbietern. Ein reiner URL-Filter auf Basis einer Datenbank versagt hier, weil es sich eigentlich um legitime Websites handelt. Bis diese in die Datenbank aufgenommen wurde, haben sich die ersten Website-Besucher bereits Schadcode eingefangen. Und ist die Website bereinigt, muss sie erst wieder aus der Datenbank entfernt werden, bevor sie die Nutzer überhaupt wieder aufsuchen können.
Die auf der gehackten Website platzierten Schadcodes werden dynamisch angepasst. So können Attacken gezielt auf bestimmte Browser- oder Betriebssystemversionen gefahren werden und der Code sieht jedes Mal anders aus – keine Chance für signaturbasierte Erkennungssysteme. Besonders beliebt sind so genannte Zero-Day-Attacken, bei denen Sicherheitslücken in Programmen ausgenutzt werden, für die noch kein Update verfügbar ist. Der Anwender ist einem solchen Angriff schutzlos ausgeliefert.
Wie wenig Chancen klassische Schutzvorrichtungen haben, zeigt eine Studie der M86 Security Labs (PDF), in der sich ein URL-Filter und drei signaturbasierte Virenscanner an einem Bestand aus über 30 000 schädlichen Websites beweisen mussten. Das Ergebnis: der URL-Filter erkannte nur 3 Prozent der mit Malware und Spyware infizierten Websites, den Rest stufte er als unbedenklich ein oder scheiterte an der Einstufung. Etwas besser schnitten die Virenscanner ab, die (gemeinsam!) immerhin 39 Prozent der Websites blockierten.
Inhalte in Echtzeit prüfen
Das zeigt, dass Web-Inhalte dynamisch beim Zugriff geprüft werden müssen. Anders ist ein wirksamer Schutz nicht sicherzustellen. Hier greift die patentierte Technologie zur Codeanalyse in Echtzeit, die im M86 Secure Web Gateway zum Einsatz kommt und Schadcodes identifiziert und entfernt. Der große Vorteil dieser Lösung: eine Website mit Malware wird nicht blockiert, sondern die Malware ausgefiltert, so dass die bereinigte Site gefahrlos aufgesucht werden kann.
Das M86 Secure Web Gateway untersucht nicht nur den HTTP-Datenstrom, sondern auch mit SSL verschlüsselten Datenverkehr. Zudem werden FTP-Übertragungen und Rich Content (wie PDF-Dokumente und Adobe Flash) überwacht.
Dafür geht das M86 Secure Web Gateway (PDF) wie folgt vor: der Inhalt wird aufgeteilt und von spezialisierten Routinen geprüft. So kümmert sich ein Javascript-Scanner beispielsweise um Javascript-Code, ein PDF-Scanner nimmt PDF-Dokumente unter die Lupe. In Echtzeit wird ein umfassendes Verhaltensprofil für die Website erstellt und dieses mit der für den Anwender geltenden Sicherheitsrichtlinie verglichen. In dieser ist definiert, was erlaubt ist und was blockiert beziehungsweise entfernt werden muss. Anschließend korrigiert die Fix-it-Engine alle Formatierungen, damit die Seite trotz Bereinigungen korrekt dargestellt wird.
Fazit
Versuche, Muster in Schadcode zu erkennen und Signaturen zu erzeugen oder bekannte Schadseiten zu kategorisieren, schützen nicht ausreichend gegen die dynamischen Gefahren im Web. Eine weitere Schutzebene als Ergänzung zum URL-Filter und Virenscanner ist notwendig: die Codeanalyse in Echtzeit.