Newsfeed abonnieren
Security

Client-Server EDV - Virenabwehr mit TrendMicro

Viren-Trends: Professionell und kriminell ins Netz

Aus MONITOR Kommunikation 6a/2004
Drucken | Versenden | Feedback

Das allgegenwärtige Thema Spam hat bei Herstellern, Unternehmen und Medien die Bedrohung durch Viren und Würmer fast ein wenig in den Hintergrund treten lassen. Dabei ist die Bedrohung nicht kleiner geworden. Im Gegenteil: die Virenentwickler gehen professionell vor und arbeiten nicht zuletzt mit Spammern Hand in Hand. Und das mit einem nicht unerheblichen Maß an krimineller Energie.

Dagmar Schulz

Hersteller wie Trend Micro bescheinigen denn auch einen deutlich höheren technischen Aufwand bei der Virenbekämpfung als noch im letzten Jahr. Tendenz steigend. Gleichzeitig richtet sich die neue Generation an Viren und Würmern gezielter als bisher auf bestehende Netzwerkschwachstellen und Schwachstellen innerhalb des Betriebssystems - auch die Sicherheitssysteme selbst geraten nach Einschätzung der einschlägigen Hersteller zunehmend ins Visier der Angreifer. Sie können dann den gesamten Netzwerkverkehr eines Unternehmens und seiner Partner stören, ausspionieren, manipulieren oder für kriminelle Zwecke nutzen. Die Network VirusWall 1200 von Trend Micro setzt genau an diesem Punkt an, beziehungsweise sogar noch einen Schritt davor. Schon der Virenausbruch soll verhindert werden.

Die Network VirusWall 1200 ist eine Appliance Lösung, die sich ganz gezielt auf die Virenprävention im Netzwerk richtet. Technologisch neuartig ist bereits der Ansatz, auf der Netzwerkebene zu operieren. Dabei spielen mehrere Komponenten zusammen: zum einen soll durch Prävention die Ausbreitung von Viren verhindert werden, zum anderen wird der Zugriff auf bedrohte Schwachstellen während des Virenausbruchs gekappt. Gleichzeitig werden Sicherheitsrisiken wie zum Beispiel noch ungeschützte Computer im Netz isoliert und anschließend gesäubert. Die Network VirusWall integriert eine Anti-Viren Lösung mit Intrusion Detection Protection (IDP) und einer verstärkten Sicherheits-Policy. Der Netzwerkadministrator kann einen potenziellen Virenausbruch schnell blockieren und Schwachstellen isolieren, von denen er vor dem Virenausbruch möglicherweise noch gar nichts wusste. Bereits infizierte Maschinen können im Netzwerk repariert werden.

Viren-Prävention ist gefragt

Die Kombination aus verschiedenen Tools und Strategien soll aber noch mehr bieten: nämlich den Ausbruch von Vireninfektionen im Netzwerk von vorneherein verhindern.

"Netzwerk Viren sind eine ausgesprochen ernst zu nehmende Bedrohung für jedes Unternehmen, sogar für diejenigen, die bereits sehr viel in die IT-Sicherheit investiert haben. Dass in den allermeisten Fällen eine Vielzahl von Produkten isoliert an verschiedenen Stellen des Netzwerks arbeitet, macht es nicht einfacher, das Problem zu lösen. Unternehmen, die Anzahl und Schwere von Virenausbrüchen wirksam reduzieren wollen, sollten den Einsatz integrierter und netzwerk-basierter Lösungen in Betracht ziehen. Schlüsselkomponenten reichen vom Schwachstellenmanagement über Intrusion Prevention hin zu Anti-Viren Maßnahmen. Ziel muss es sein, den Ausbruch von Viren pro-aktiv aufzudecken, zu verhüten oder ganz zu verhindern - und damit gleichzeitig Unterbrechungen in den Geschäftsabläufen zu reduzieren oder gänzlich zu verhindern", beschreibt Chris Christiansen, Program Vice President for Security bei IDC, die Situation.

Zeitfenster schließen!

Die Nimdas, SQL Slammers und MSBlasters der letzten Jahre konnten vor allem deshalb nicht gestoppt werden, weil sie mit dem traditionellen Pattern File Ansatz gar nicht erst entdeckt wurden. Gleichzeitig wird das Zeitfenster zwischen der Verfügbarkeit eines Patches und der Virus Attacke immer kleiner. In Zahlen: bei Nimda im September 2001 betrug es noch 336 Tage, bei MSBlaster A. im August 2003 nur noch 26 Tage. Außerdem kann im Vorfeld niemand wissen, gegen welche Schwachstellen sich ein Virus nun letzten Endes richtet. Und immer noch sind Sicherheitsrichtlinien nur so gut wie ihre praktische Umsetzung. Systeme, die nicht oder noch nicht in die geltende Policy einbezogen sind, sind ein klassischer Infektionsherd.

Die Network VirusWall setzt an den Netzwerk-internen LAN-Segmenten an und kombiniert auf dieser Ebene verschiedene Funktionen miteinander:

  • sie identifiziert und isoliert bestehende Schwachstellen innerhalb des Netzwerks, besonders in Betriebssystemen.
  • sie überwacht Virenausbrüche im Netz auf der Basis der TrendLabs Präventionsrichtlinien, die an den LAN-Segmenten des Netzwerks wirksam werden.
  • sich sucht und entdeckt Viren im Netz: auf der Basis verdächtiger Signaturen können möglicherweise infizierte Pakete rechtzeitig verworfen werden.
  • sie stellt die Funktionsfähigkeit von Systemen automatisch wieder her.

Im Gegensatz zu herkömmlichen Lösungen, die entweder Bedrohungsszenarien beobachten oder Informationen zu Art und Umfang der Bedrohung dokumentieren, handelt es sich hier um einen Ansatz, der sich auf proaktives Vorgehen und konkrete, präzise Aktionen konzentriert.

Gefahr im Verzug

Viren, die auf einzelnen Files basieren, wie beispielsweise SoBig, können üblicherweise mit den traditionellen Anti-Viren Scannings auf Application Layer erkannt werden. Anders verhält es sich mit Netzwerkviren oder auch Internetwürmern wie Blaster oder Slammer, die mit den einzelnen Netzwerkpaketen ins Innere des Netzwerks gelangen. Dort nutzen sie dann vorhandene Softwareschwachstellen aus, um sich effektiv zu verbreiten. Sie infizieren dabei in kurzer Zeit Hosts und gefährdete Server, noch bevor auf der Application Layer Ebene das übliche Anti-Viren Scanning greifen kann.

Neben der Analyse und Aufdeckung von Sicherheitslücken und Schwachstellen sowie dem klassischen Virenscanning, kommt demnach der Virenprävention im Netzwerk ein besonders hoher Stellenwert zu. Diese Phase lässt sich eingrenzen als der kritische Zeitraum zwischen der Erkennung eines Angriffs und der Zeit noch vor der Verteilung der Pattern-Dateien oder der Installierung eines Patches.

IT-Manager stehen dann sehr schnell vor zwei drängenden Problemen: sie haben nur ein kleines Zeitfenster, um zu reagieren, zum anderen muss klar sein, welche Schutzmaßnahmen in diesem konkreten Fall wirken.

Richtlinien zur Virenprävention sollen hier Abhilfe schaffen. Sie sind integraler Bestandteil der Outbreak Prevention Services von Trend Micro und laut Hersteller wichtigstes Attribut in dieser Phase. Um den Koordinationsaufwand für eine konsistente Umsetzung im ganzen Netzwerk so gering wie möglich zu halten, sind die Richtlinien zentral verteilt und installiert. Über einen Control Manager kann der Administrator individuelle Einstellungen vornehmen. Auf der Basis dieser Richtlinien kann die IT-Abteilung zeitnah geeignete Maßnahmen ergreifen:

  • verhindern, dass sich die Viren weiter ausbreiten und der Netzwerkverkehr blockiert wird,
  • automatisches Aktivieren von Damage Cleanup Services, remote und ohne den Einsatz von Agenten.

Die Angriffsanalysen werden anschließend dokumentiert und ausgewertet. Anhand dieser Berichte erschließt sich, wie wirksam die aktuellen Sicherheitsrichtlinien funktionieren und wo sie optimiert werden können.

Fazit

Die Network VirusWall 1200 Appliance wurde speziell für das Scannen, Erkennen und Abwehren von Gefahren innerhalb des Unternehmensnetzwerks konzipiert. Auf Grundlage bedrohungsspezifischer Informationen von Trend Micro ermöglicht sie die Blockade von Netzwerk-Viren sowie die Identifikation von Netzwerk-Elementen, die nicht den gängigen Sicherheitsstandards entsprechen. Die Verbreitung von Viren über ungesicherte Komponenten kann somit wesentlich beschränkt oder sogar ganz verhindert werden.

Dagmar Schulz, freie Redakteurin, Client- Server EDV

Trend Micro

Trend Micro, gegründet 1988 in Cupertino (Kalifornien, USA), zählt weltweit zu den Pionieren bei der Entwicklung web-basierender Antiviren- und eSecurity-Software. Das Unternehmen ist fokussiert auf proprietäre High-end-Technologie zum Schutz von Unternehmensnetzwerken. Es bietet eigenentwickelte, web-basierte High-end-Lösungen an, die jede Form des Schutzes und der Sicherheit gegen Virenangriffe jeder Art (via Gateway, E-Mail, Server, Workstation) gewährleisten. Trend Micro beschäftigt weltweit ein Antiviren-Forschungsteam mit 60 Antiviren-Experten.

http://de.trendmicro-europe.com

Client-Server EDV- und Elektronik Handels GmbH

Client-Server EDV- und Elektronik Handels GmbH ist Distributor für Software- und Hardware Komponenten. Der Vertrieb erfolgt ausschließlich über Reseller und Subdistributoren in Österreich, Schweiz, Deutschland, Slowenien, Kroatien und Bulgarien. Aufbauend auf die positiven Erfahrungen mit einer Partner-Strategie werden alle Projekte gemeinsam mit Händlern, Softwarehäusern oder OEM's abgewickelt, welche als kompetente Partner für den Anwender auftreten. Das Unternehmen wurde 1996 gegründet und hat neben dem Produktvertrieb einen weiteren Schwerpunkt bei Schulungen im Bereich Hersteller Zertifizierungen.

http://www.client-server.at

weitersagen: drucken
Termine

18. Juni - 22. Juni

In ganz Österreich

SAP Mittelstandstage

Print-Archiv
Folgen Sie uns
Leser empfehlen
MONITOR-Newsletter

Abonnieren Sie unseren Newsletter!

E-Mail:
Die von Ihnen angegebene E-Mail Adresse wird von MONITOR Online weder an Dritte weitergegeben noch zu anderen Zwecken verwendet.
MONITOR-Autoren
Dr. Manfred Wöhrl

Dr. Manfred Wöhrl ist Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. ..mehr..

Die neuesten Artikel:

© Copyright 1983-2012 by MONITOR / Bohmann Druck und Verlag Gesellschaft m.b.H. & Co. KG (www.bohmann.at)

Add to Google  | Abo | Themenvorschau | Mediadaten | Inserate buchen | Kontakt | Impressum