Universelle Bedrohungsabwehr

Universelle Bedrohungsabwehr

Artikel erschienen in IT Magazine 2019/03
Seite 2

Malware im Sandkasten

Signaturbasierte Antivirusfunktionen sind gut bei der Abwehr von bekanntem Schadcode. Bisher unbekannte Schädlinge können sie jedoch nicht eruieren. Hier kommt Sandboxing ins Spiel: Von der Antivirus-Engine als nicht schädlich beurteilte Dateien, die aktiven Code enthalten, werden in eine abgeschottete virtuelle Umgebung geladen und dort ausgeführt. Nur wenn auch dann nichts Gefährliches passiert ist, wird die Datei weitergeleitet.

Grössere Unternehmen betreiben für das Sandboxing eine eigene Infrastruktur mit leistungsfähiger Hardware. UTM Appliances für den KMU-Einsatz nutzen dazu meist einen Cloud Service des Herstellers, da enorme Ressourcen benötigt werden. Sandboxing hat allerdings einen Nachteil: Es kann Minuten dauern, bis die Analyse beendet ist. Es eignet sich deshalb vor allem für Anhänge von E-Mails, die ja ohnehin nicht in Echtzeit übermittelt werden – da wird eine Verzögerung schon mal toleriert.

Bei direkt übermittelten Files, zum Beispiel bei ganz normalen File-Downloads über den Browser, wäre die Nutzerakzeptanz dagegen gering. Deshalb besteht oft die Option, den ersten Download einer unbekannten Datei zuzulassen, sie direkt an den Empfänger zu leiten und sie parallel dazu in die Sandbox zu schicken. Dann ist zwar potentiell ein Client infiziert, weitere Downloads werden nach der Analyse aber gesperrt.

Land X unerwünscht

Bereits etwas länger im Funktionsumfang mancher UTM Appliance ist das Geo IP Firewalling, auch als Geoblocking bekannt. Der UTM-Hersteller stellt dafür eine laufend gepflegte Liste von länderspezifischen Adressobjekten bereit. Auf dieser Basis kann die Kommunikation aus bestimmten Ländern oder ganzen Kontinenten vollständig abgeblockt werden. Wer etwa in seinem Online-Shop keine Kunden aus Asien empfangen möchte, kann dies per Geo IP Firewalling erreichen.

Weniger sinnvoll ist es, bestimmte Länder wegen möglichem Hacking zu blockieren. Zwar gelten einige Gegenden der Welt als besonders dicht von Cyberkriminellen bevölkert, aber bösartige Hacker operieren nicht zwingend von Systemen aus dem Land, in dem sie sich effektiv befinden. Verschleierungstaktiken sind hier der Standard. Geoblocking reduziert somit die Anzahl potentieller Angreifer. Es ist aber ein zweischneidiges Schwert: Auch mobilen Mitarbeitenden, die in einer geblockten Region unterwegs sind, bleibt der Zugang verwehrt.

Vergleichbar mit dem Geoblocking, aber wesentlich sinnvoller im Einsatz ist die Blockierung bestimmter IP-Adressen anhand ihrer Reputation. UTM-Hersteller pflegen dazu Listen von als gefährlich erkannten Systemen, die meist problemlos blockiert werden können. Ein gutes Beispiel sind IP-Adressen von Botnetzen.
Vorherige Seite  
Seite 2 von 4
Nächste Seite

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2019/11
Schwerpunkt: Digital Signage
• Digitale Werbung in ansprechenden Formaten
• Location Based Mobile Advertising
• 14 essenzielle Features einer Digital Signage Software
• Digitale Wegleitung beim Bund
• Anbieter für mehr Abwechslung im Schaufenster
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER