Es ist schon lange Zeit vorbei, dass ein AntiVirus-Produkt auf einem System Schutz vor Bedrohungen geboten hat. Die aktuellen und zukünftigen Gefahren sind viel komplexer, als das man diese mit so einem einfachen Stück Software noch in den Griff bekommen könnte. Herkömmliche AntiViren-Produkte sind Dinosaurier, die sich mit aller Gewalt gegen die „Evolution“ im Bereich IT Security stemmen. Nur wie alles was sich nicht anpassen kann, wird diesen Kampf verlieren. Es wäre alles kein Problem, wenn nicht die Benutzer davon betroffen wären.
Führt man sich nur mal vor Augen, was ein normaler Viren-Scanner heute noch ausrichten kann? So kommt man (leider) zum Ergebnis: So gut wie gar nichts. Er dient lediglich noch dazu alte und bekannte Schädlinge auf dem System zu entdecken und mit Glück dann auch zu entfernen. Gegen die plötzlich und ganz gezielt auftretenden Angriffe mit den so genannten „Zero Day“ oder „Zero Hour“ Exploits sind herkömmlicher Scanner völlig machtlos und so zu sagen völlig unnütz.
Ein gutes Beispiel ist hier (mal wieder) der Internet Explorer. Seit Wochen gibt es einen Exploit dem die Benutzer völlig schutzlos ausgeliefert sind. Es wird auch mindestens noch bis zum nächsten Patch-Day von Microsoft dauern, bis diese Lücke dann beseitigt wird. Dieses einfache Beispiel zeigt, trotz Viren-Scanner auf dem System ist es angreifbar und dies ist nicht der einzige Fall, bei dem der Viren-Scanner keinen Nutzen hat.
Ein grundsätzlicher Verzicht auf einen Viren-Scanner ist aber angesichts der Anzahl von herkömmlichen Schadcode auch keine Option. Nur welche Wahl hat man heute bei den auf dem Markt zur Verfügung stehenden Produkten? Salopp gesagt, hat man die Wahl zwischen Not und Elend. Hier bleibt einem dann nichts weiter, als aus der Not eine Tugend zu machen und sich für ein umfassendes Security-Konzept zu entscheiden.
Es ist nun mal eine Tatsache, dass eine herkömmliche AntiVirus Software keinen Schutz gegen moderne Angriffe bietet. Jedoch bietet er aber einen Teil-Schutz, den man für ein solches Security-Konzept benötigt. Aber die Tage des herkömmlichen AntiViren Produkts sind gezählt. Die reine Mustererkennung hilft nur noch bei engen Rahmenbedingungen. Dazu kommt noch, dass die Musterdatenbanken eine Größe erreicht haben, die nur noch mit hohen Ressourcenverbrauch zu verwenden sind. Daher kommt es, dass Scanner mit hoher Erkennungsrate auch gleichzeitig die langsamen Vertreter dieser Gattung sind. Auf der anderen Seite sind der Pflegeaufwand dieser Musterdatenbanken und hier vor allem die Verteilung der Updates zunehmen ein Problem von Herstellern und Benutzern.
Aus diesen Gründen werden sich andere Technologien zum Absichern der Systeme durchsetzen müssen. Die aktuellen Lösungen gehen in Richtung Verhaltensanalyse, Reputation und Cloud-Services die zur Echtzeitabfrage genutzt werden. Das Vorhalten großer Musterdatenbanken wird damit obsolet. Auch werden Techniken die auf IPS und Netzwerk-Analyse basieren immer wichtiger. In der virtuellen Welt geht die moderne Security noch einen Schritt weiter und hält Optionen vor, die in einer physikalischen Welt so nicht möglich gewesen wären. Hier bietet sich durch Security Appliances die direkt auf dem Hypervisor laufen und so die VM auf dem Host schützen ein völlig neues Sicherheitskonzept. Dies führt gerade in Umgebungen mit Terminal Server oder Citrix und vor allem bei VDI und ThinClients bei den Anwendern zu ganz neuen Wegen in der IT Security. Diese neuen Wege mit den immer besser werdenden Möglichkeiten am Gateway die die nächste Generation von Firewall-Systemen bieten, ergib ein völlig neues Sicherheitssystem für die IT Infrastruktur.
Dieser neue Ansatz ist aber auch dringend notwendig, um sich in einer Welt der immer größer werdenden Bedrohungen besser schützen zu können. IT Sicherheit heute besteht aus vielen Teilbereichen die in Summe mehr sind als die einzelnen Teile, wenn man diese richtig miteinander verzahnt. Die Sicherheit beginnt bereits auf Netzwerk-Ebene inkl. WLAN Umgebungen. Der LAN oder WLAN Zugang zum Netzwerk ist auch ein Perimeter, nur wesentlich weniger beachtet als die Schnittstelle zum Internet.
Besonders durch die große Anzahl an Geräten die heute Zugang zum Netzwerk haben, stellt sich auch hier immer mehr die Aufgabe diesen Zugang aller möglichen Geräte sicher zu gestalten. Da man aber hier nicht beliebig Einfluss nehmen kann, muss der Schutz auf eine andere Art und Weise erfolgen. Als Vorteil erweisen sich hier die virtuellen Rechenzentren mit den Möglichkeiten der ‚Software Driven Security‘ als Teilsegment des SDN’s (Software Driven Network). Ein einfaches Beispiel sind die virtuellen Security-Zonen in die sich VM’s stecken lassen. Hier ist über Firewall-Regen definiert, wer überhaupt mit den Systemen sprechen darf. Wird eine VM verschoben, so nimmt sie ihre Security-Einstellungen so zu sagen einfach mit.
Macht man sich einmal die Mühe und definiert wer überhaupt mit wem in Netzwerk „sprechen“ darf, so ist schon mal viel an Sicherheit gewonnen. Nutzt man dann noch die Optionen einer Deep Security Lösung und das was moderne Firewall-Systeme an Sicherheit bietet, kann man einen umfassenden Schutz aufbauen. Zu diesem Schutz gehört aber auch das Monitoring! Dieses wichtige Thema darf keinesfalls vergessen werden. Denn ohne das Wissen um die tatsächlichen Vorfälle lebt man in einer Traumwelt von gefühlter Sicherheit die gar nicht existiert. Zu einem solchen Monitoring gehören ganz klassische Dinge wie ein syslog, Netzwerkdiagramme, Nagios, Icinga oder weiterführend dann so ausgefeilte Tools wie zum Beispiel AlienVault.
Für Fragen zum Thema Security stehen wir wie gewohnt zur Verfügung.