Muss die Bedrohung und Ihre Eigenschaften vorher bekannt sein, damit ein Schutz gewährleistet ist?

Aus den vergangenen Jahren kennt man das klassische Vorgehen. In einer Unternehmung wird eine Antivirus-Lösung installiert, konfiguriert, auf die Endgeräte verteilt und dann “vergessen”. Das Tool wird vom Hersteller regelmäßig mit sogenannten “Pattern Updates” zur Aktualisierung der Signaturen automatisch versorgt. Das zu schützende Endgerät erhält diese teilweise mehrmals am Tag durch Update übertragen. Ziel ist es, das Endgerät regelmäßig mit den aktuellen Signaturen zu versorgen.

Daraus schließt sich der Kreis, wie solche Software agiert und funktioniert: Sie untersucht das lokale System, errechnet bestimmte Werte aus den Daten des lokalen Systems und vergleicht diese mit den ihr bekannten Signaturen, die sich in ihrer Signatur-Datenbank findet. Sollte ein Treffer gelandet werden, wird die untersuchte Information als schadhaft eingestuft und die konfigurierten Prozesse laufen los. Soweit so gut.

Welche Probleme ergeben sich damit für ein Tool, dass eigentlich einen möglichst umfänglichen Schutz eines Endgerätes sicherstellen soll?

Problem 1 – Die Zeit!

Die Signaturen werden vom Hersteller der Software festgeschrieben, sobald diese bekannt wurde. Diese Signaturen werden dann im Rahmen der Pattern Signatur Updates an alle Endgeräte verteilt, die die jeweilige Software einsetzen. Je nach Komplexität der Bedrohung, der Geschwindigkeit des Herstellers bei der Analyse und Herstellung der Signatur und der Dauer, bis das Update auf die Endgeräte verteilt wurde, können für diese Aktion mehrere Stunden bis einige Tage vergehen. Aber selbst 24h sind ein Zeitraum ist eigentlich schon zu viel, in dem sich die Bedrohung in großem Maße bereits verteilen und Schaden anrichten kann. Unberücksichtigt sind dabei Endgeräte, die z.B. aktuell keine Möglichkeit haben, Ihre Signatur-Update zu empfangen. Diese sind natürlich vollständig ungeschützt gegen neue Angriffe.

Problem 2 – Dateilose Bedrohungen (fileless attacks)

Die Signaturen basieren auf etwas, das man aus Sicht eines Computers “anfassen” kann. “Anfassen” bedeutet in diesem Fall etwas, was der Computer zur Analyse untersuchen kann. Dies sind in der Regel dateibasierte Vorgänge. Dateien werden gescannt und entsprechend der Signatur-Datenbank verglichen. Die Vorgehensweise der Angreifer hat aber zum Ziel, möglichst nicht aufzufallen auf den Endgeräten, die sie befallen. Daher ist seit längerem bereits ein deutlicher Trend zu erkennen, der aufzeigt, dass Angreifer gar keine Dateien mehr auf die Endgeräte verteilen. Sie manifestieren sich zu Laufzeit im Speicher, bedienen sich Verschleierungstaktiken und “verstecken” sich in gutartigen, dem System bekannten Prozessen. Sie fliegen sozusagen im Stealth-Modus durch unsere Systeme. Wenn aber nun keine Datei mehr vorhanden ist, die die AV-Lösung untersuchen kann, dann kann sie die Bedrohung auch nicht erkennen.

Fazit und Antwort

Zusammengefasst kann man für klassische AV-Lösungen sagen: Was das Tool nicht kennt, also nicht in seiner Signaturdatenbank gespeichert hat, kann es nicht erkennen! Die Quote der Erkennung von Schadsoftware auf Basis klassischer Signaturen nimmt ständig ab und liegt heute bereits unter 50% bei den klassischen AV-Lösungen. Unabhängig davon, ob es sich bei der untersuchten Lösung um eine klassische AV-Lösung handelt oder aber um eine modernere Endpoint-Protection-Lösung, so ist die Lösung aus den o.g. Gründen kritisch zu bewerten, wenn sie die Bedrohung im Vorfeld kennen muss, um verlässlich schützen zu können. Diese Fragen sollte kritisch beim Hersteller der angebotenen Lösung platziert und hinterfragt werden. Alleine der Zeitfaktor ist kritisch genug, um solche Lösungen nicht in Betracht zu ziehen.