In der jüngeren Vergangenheit habe ich mich an vielen Diskussionen beteiligt, in denen es darum ging, ob Antivirenprodukte überhaupt sinnvoll sind oder nicht einfach nur reine Geldverschwendung. Meine Position dazu ist natürlich offensichtlich – schließlich bin ich bei F-Secure angestellt. Aber statt mich an dieselben alten Argumente zu halten, will ich diesmal die Aufmerksamkeit auf einige Verhaltensmuster und Fehlkonzeptionen lenken, die sich immer und immer wieder in solchen Diskussionen wiederholen.
Muster 1: Jemand versucht, die Scan-Ergebnisse von VirusTotal als Argument zu verwenden.
VirusTotal ist ein sehr brauchbares System, um Informationen über Attacken zu sammeln, doch liefert es keine zuverlässige Information über die Leistung einzelner Antivirus-Produkte. Die Leute bei VirusTotal wissen das und mögen nicht, dass ihr System für solche Zwecke missbraucht wird. Sie haben dies selbst: auch schon betont : „Wir sind es leid zu erklären, dass unser Dienst nicht für den Vergleich von Antivirenprodukten gedacht ist. Das Tool prüft nur verdächtige Samples und gibt sie an die Hersteller weiter, wenn deren Programme sie nicht erkennen. Das hilft den Antiviren-Labs. Wer unsere Ergebnisse nutzt, um Antiviren-Engines zu vergleichen, macht aber bedeutende Fehler in seiner Methodik“.
Das ist drei Dingen zuzuschreiben: Erstens sind die Konfigurationen der Engines, die die Hersteller an VirusTotal geben, nicht identisch mit den Konfigurationen der Produkte in der „wirklichen“ Welt. Sie erhalten nicht so viel Pflege wie die echten Produkte. Zweitens würde kein Unternehmen mit gesundem Menschenverstand seine fortgeschrittensten Techniken einem Vergleichssystem zur Verfügung stellen, mit dessen Hilfe Angreifer ihre neueste Malware ausprobieren könnten, um dann festzustellen, wie sie die Virenscanner am besten umgehen.
Drittens testet VirusTotal auch nicht die Ausführung der Dateien, wenn eine aktualisierte Datei installiert ist: Echtzeit-Heuristik, Verhaltensmuster-Erkennung oder Speicher-Scans finden gar nicht statt. Damit kann die Ausbeute im Vergleich zu der von Vollversionen von vorneherein nur mager sein. Es ist aber verständlich, dass VirusTotal die Dateien nicht ausführt: Das würde massive Ressourcen benötigen. Außerdem wäre bei vielen Tests deren Aussagekraft nur gering, weil Elemente der tatsächlichen Infektion fehlen würden.
Muster 2: Tester scannen heruntergeladene Dateien lokal und beschweren sich, wenn Malware nicht gleich erkannt wird.
Selbst, wenn diese Tester die richtigen Produkte nutzen, um Dateien zu scannen, verwenden sie das Sicherheitsprodukt nicht so, wie es eigentlich arbeiten sollte. Scannen ist im Grunde genommen erst die dritte Verteidigungslinie. Denn die Antivirus-Branche hat schon seit Jahren erkannt, dass sie durch bloßes Scannen nicht genügend Schutz bieten kann. Auch bei F-Secure haben unseren Fokus schon lange darauf gelegt, feindliche Inhalte davon abzuhalten, jemals ihr Ziel zu erreichen – statt sie erst zu prüfen, wenn sie schon im System laufen.
Das typische Antivirenprodukt – oder besser gesagt die „Security Suite“, enthält viele Verteidigungsebenen, von denen Scans nur einen ganz kleinen Teil ausmachen. Was da noch so alles genutzt wird, variiert von Produkt zu Produkt. Aber alle haben zumindest drei Schichten:
1. URL/Web-Zugriffsfilter Das schützt den User schon vor dem Erstkontakt mit den gefährlichen Websites. 2. Protokoll-Scanning (HTTP oder andere) Hier wird der feindliche Inhalt abgehalten, bevor er den Browser oder einen anderen Software-Client erreicht. 3. Exploit-Erkennung Sie soll die Ausnutzung von Lücken verhindern, bevor der Exploit den Rechner übernehmen kann. Und wenn ein „Zero-Day“-Exploit die Malware-Erkennung umgeht, können viele Security-Produkte mit weiteren Maßnahmen den Schädling daran hindern, Schaden anzurichten. 4. Reputations-Abfragen Netzwerk- oder Cloud-„Reputationsabfragen“ geschehen meist über Backend-Server und vergleichen die in der Cloud abgelegten Muster mit dem, was vor Ort passiert. Viele Experten haben schon vorausgesagt, das werde traditionelle Antivirus-Produkte irgendwann einmal ersetzen. Tatsächlich machen wir das schon lange, aber es ist nur eine von vielen Waffen in unserem Arsenal. Es ersetzte nicht, sondern erweitert existierende AV-Produkte. 5. Sandboxing und dateibasierte Heuristik Dies wird genutzt, um Exploits und übertragene Payloads abzufangen, bevor sie überhaupt ausgeführt werden können. 6. Traditionelles Datei-Scannen Dies ist der traditionelle „Antivirus“-Teil. Er trägt allerdings heute wahrscheinlich nur noch zu 15 bis 20 Prozent zum gesamten Schutz bei. 7. Speicher-Scans Hier wird die Malware erkannt, die nie auf Harddisks landet, erst im RAM entpackt wird und so Scans und Sandboxes umgehen will. 8. Heuristik in laufenden Anwendungen Momentan ist dies die letzte Verteidigungslinie. Hier werden Programme und Dateien abgefangen, die sich verdächtig benehmen.
Entschuldigung dafür, hier nicht allzu tief in technische Details zu gehen – aber das würde diesen Beitrag sprengen. So oder so gilt: Wenn die eine oder andere Bedrohung nicht sofort gefunden wird, bedeutet das nicht, dass sie bei einer realen Angriffssituation nicht entdeckt und blockiert würde.
Wirklich funktionierende Sicherheitslösungen bieten zahlreiche Schutzebenen. Und was besonders amüsiert ist der Fakt, dass Leute, die behaupten, Antivirus sei sinnlos, die eine oder andere der genannten Techniken als Lösung heranziehen. Was immer sie auch empfehlen, ist aber keine vollständige Lösung. Wir brauchen alle diese Layer.
Muster 3: Blacklisting ist dumm. Man sollte mit Whitelisting arbeiten.
Wenn Whitelisting wirklich eine brauchbare Lösung wäre, denken Sie wirklich, wir würden das nicht längst verwenden? Tatsächlich nutzen wir es, aber nur, um die Performance zu verbessern und Fehlalarme zu vermeiden.
Das Problem mit Whitelisting ist, dass es sich nur mit ausführbaren Daten beschäftigt und so nicht verhindern kann, dass eine Attacke nur aus dem Speicher heraus stattfindet. Außerdem schützt Whitelisting nicht vor infizierten Dokumenten, die einen Exploit ausnutzen oder vor kompromittierten Webseiten. Dazu müsste man eine riesige Liste aller sauberen Dokumente und Webseiten aufbauen.
Muster 4: Antivirus sollte im Netz sein, nicht auf dem Desktop
Es wäre ein Traum, alle Security-Maßnahmen auf einen Server abwälzen zu können und sich nie wieder um ressourcenfressende Antivirenlösungen sorgen zu müssen. Aber unglücklicherweise ist der Traum unrealistisch, schon weil Computer mobil sind und immer mobiler werden.
Mit einem statischen Desktop, der nie mit etwas anderem verbunden ist als dem Büronetz, könnte man theoretisch alle Sicherheitsarbeiten auf Netzwerkebene auslagern. Aber in der Realität sind heutzutage die meisten Computer Laptops, die mal ins eine und mal ins andere Netzwerk angesteckt werden. Und zudem schützen die meisten AV-Angebote diese Geräte nicht vor Bedrohungen, die über USB und andere Medien hereinkommen.
Natürlich könnte man reine „Cloud“-Security-Lösungen bevorzugen, die nicht viele Ressourcen auf dem PC in Anspruch nehmen, aber das würde nur zu geringerem Schutz führen – weil man eben einige der lokal nötigen Schutztechnologien für den Client über Bord werfen würde.
Muster 5: „Aber ich habe diese riesige Datenmenge auf unseren Servern und wir sehen Malware bis hierhin vordringen.“
So etwas kann natürlich immer passieren. Zum Einen sehen Anwender, die diese Aussage machen, nur einen sehr kleinen Teil der Angriffe, diejenigen die durchkommen. Wir sollten in der Sicherheitsindustrie nie behaupten, hundertprozentigen Schutz bieten zu können. Ein paar schädliche Anwendungen werden es immer schaffen.
Zum Zweitem gibt es viele Unternehmen, die aus Performancegründen Netzwerkanfragen über den Antivirenserver unterbinden – und damit ihr Netz „verkrüppeln“ und so auf lokale Heuristik und Scans angewiesen sind. Damit geben sie aber die Ebenen 1 und 4 ihrer Schutzstrategie auf.
Muster 6: „Antivirenlösungen verpassen 98 bis 100 Prozent der Malware, die ich sehe:“
Diese Aussage bedeutet ja letztlich nur: 100 Prozent der Malware, die sich unabgewehrt auswirkt, wurde nicht erkannt. Das ist natürlich selbsterklärend und kann auch gar nicht anders sein. Anwender, die so argumentieren, sehen nur das, was es hinter die verschiedenen Schutzwälle geschafft hat, ganz gleich, welche Lösungen benutzt werden. Sie sehen nicht das, was wirklich abgewehrt wurde. Natürlich würden wir uns freuen, wenn Sie uns kontaktieren und alles erzählen, was Sie über solch eine Attacke wissen – das schädliche File alleine sagt uns noch lange nicht alles, was wir zum Weitentwickeln von Scans und Heuristiken brauchen.
Muster 7: AV ist nutzlos gegen „APT“-Angriffe.
„Advanced persistent attacks“ – also fortgeschrittene, lang anhaltende Angriffe nach dem Motto „Steter Tropfen höhlt den Stein“, sind schwer abzuhalten. Niemand hat eine komplette Antwort darauf – Angreifer versuchen immer, alle Sicherheitsmaßnahmen zu umgehen, und wenn sie eine Lücke gefunden haben, nutzen sie sie so lange wie möglich aus. Dann aber heißt es oft wieder, AV sei nicht in der Lage, das abzuwehren. Wer so etwas denkt und danach handelt, macht seine Angriffsfläche durch Verzicht auf Abwehrmaßnahmen nur größer. Hüten Sie sich vor Leuten, die behaupten, Ihre Abwehrmaßnamen seien nicht sicher genug und die sie Ihnen deswegen ganz ausreden wollen!
Jarno Niemelä ...