Dieser Artikel bietet einen kleinen Ausblick auf die Zukunft der Host Virenscanner und ist eine Ergänzung zum Artikel des Jericho-Konzept. Die zukünftigen Scanner werden ganz anders als heute sein und mit der Technologie der klassischen Mustererkennung wird es ein Ende haben, wie auch mit dem reinen Antiviren-Schutz selbst.
Um dem Einstieg in das Thema näher zu kommen, muss man etwas ausholen. Ein Virenscanner besteht im Prinzip aus zwei Teilen. Ein Teil ist die Scan-Engine, diese sorgt für den Vergleich zwischen den zu prüfenden Daten und dem zweiten Teil des Scanners, der Muster-Datenbank. Die Datenbank enthält die Signaturen des Schadcodes die die Scan-Engine braucht um diesen zu erkennen. Sie vergleicht dazu die Muster der Datenbank mit den Daten auf Übereinstimmung. Zusätzlich bieten einige Scanner eine Heuristik-Funktion, welche unbekannte Viren anhand ihres Verhaltens erkennen soll.
Die Datenbanken der Muster werden aber immer größer und die Handhabung was Updates und die Verteilung angeht dadurch immer schwieriger. Daher arbeiten die Hersteller an neuen Technologien um von den klassischen Virenscannern weg zu kommen. Der Trend aber geht in die Richtung Heuristik und Applikationsverhalten. Zur Zeit sind die Heuristik-Funktionen nur rudimentär vorhanden und bei weiten noch von den Erkennungsraten der Muster-Prüfung entfernt. Aber so langsam führt der Weg immer weiter weg von den reinen Mustererkennungssystemen. Die Hersteller arbeiten daher mit hochdruck an den neuen Programmen zur Schadcode-Erkennung. In ein paar Jahren, was zugegebener Maßen für die IT eine lange Zeit ist, wird sich das Bild der Virenscanner deutlich gewandelt haben. Die ersten Ansätze sind schon bei aktuellen Produkten der führenden Hersteller in diesem Bereich deutlich zu erkennen.
Online Ressourcen werden dabei auch eine immer größere Rolle spielen, wie z.B. das Einbinden der auf dem Host installierten Schutzsoftware in das zentrale Management der Sicherheitsinfrastruktur eines Unternehmens. So können von IDP-System gewonnene Informationen aktiv als Schutz für die Hosts eingesetzt werden. Auf der anderen Seite liefern die Hosts dem Management System als Sensor-Grid Informationen die wiederum in dynamische Richtlinien einfließen werden. Statische Regeln und Richtlinien werden in Zukunft nicht mehr ausreichend sein, um auf Gefahren schnell genug reagieren zu können. An ihre Stelle rücken dynamische Regelwerke die innerhalb definierter Parameter die Richtlinien selbständig anpassen werden.
Dies könnte zum Beispiel das Sperren einer Quell-IP im LAN sein, da dieser Host aktuell versucht Schadcode zu verteilen. Das Management System gibt diese Information an die anderen Hosts aus, die dann alle Daten des infizierten Systems ignorieren. Ob diese Information über den „Schadcodeverteiler“ jetzt von ihm selbst, über die IDP Systeme im LAN, der Firewall, von anderen Hosts oder aus der Summe aller Informationen stammt ist dabei völlig irrelevant. Wichtig ist nur, dass ein Ausbruch unterbunden wird.
Durch dieses Security-Grid, wie ich es einmal nennen möchte, wird man in der Lage sein bei Ausbrüchen von Schadcode oder Angriffen zu agieren und nicht zu reagieren. Die Zukunft wird einen spürbaren Zugewinn an Sicherheitsfunktionen und Mechanismen bringen, die weit über heutige Standards wie Firewalls, Web- und Mail-Gateways, IDP und Virenscanner hinausgehen. Auch werden die zentralen Management-Systeme für Sicherheitsfunktionen eine immer wichtigere und unverzichtbare Rolle einnehmen, weil ohne sie die Verwaltung eines solchen Security-Grids nicht möglich wäre. Der verteilten aber zentral verwalteten IT-Sicherheit wird in Zukunft eine immer größere Bedeutung zukommen. Das zeigen auch die Überlegung der Open Group mit ihrem Jericho-Konzept, was in einem der früheren Artikel hier im Blog beschrieben wurde.
Die neue Generation der Schutz-Software für die Hosts in einer Infrastruktur benutzt Ansätze des Jericho-Konzepts, jedoch ohne gänzlich auf die klassischen Schutzmaßnahmen zu verzichten.
Bei Fragen zu diesen Themen stehen wir wie gewohnt zur Verfügung.