Fachartikel

Malware-Bewertung per Checkliste

Es geschieht jeden Tag - der Malware-Scanner identifiziert einen Virus oder Trojaner und blockiert die Schadsoftware, noch bevor sie aktiv wird. Der intakte Schutzschild lässt den Administrator zunächst aufatmen, doch ist eine detaillierte Analyse des Vorfalls angebracht, um die wirkliche Bedrohung für das eigene Netzwerk einschätzen zu können. Unser Fachartikel verrät, wie eine sinnvolle Checkliste samt Punktesystem für die Einstufung eines Virenfunds aussehen kann und welche Punkte darauf nicht fehlen sollten.
Das Finden und Entfernen einer Malware ist nur die halbe Miete - je nach Angreifer sollte eine umfassende Bewertung folgen
IT-Sicherheitswissen, speziell im Bereich Malware, lässt sich nicht in einem dreitägigen Einsteiger-Seminar vermitteln. Das Wissen um die aktuelle Programmiertechniken der Malware-Coder, etablierte Tricks, verfügbare Tools und angesagte Strategien der Programmierer des Schadsoftware lässt sich nur über Jahre hinweg erlernen. Anti-Malware-Experten sind deshalb rar und in der Regel gut beschäftigt, denn die Flut an Schadprogrammen nimmt ständig zu. Durch Toolkits, käufliche Programmier-Dienstleistungen und verschlüsselte Schadsoftware gibt es tagtäglich neue Bedrohungen, die bezüglich ihrer Wirkung zu bewerten und zu analysieren sind.

Malware-Bewertung in der Praxis
Während es heutzutage bei verschiedenen IT-Disziplinen möglich ist, definierte Tätigkeiten an einen Dienstleister abzugeben, ist dies beim Thema Sicherheit nur mit Einschränkungen möglich. Denn eine Analysetätigkeit erfordert Fachwissen über die Malware-Szene, die IT-Infrastruktur des eigenen Unternehmens und Wissen um interne Prozesse und Abläufe. Da eine Aufstockung der eigenen Security-Gruppe durch Budget-Vorgaben oft schwierig ist und Dienstleister nur bedingt geeignet sind, gilt es bei der Malware-Bewertung gerade für kleinere und mittelgroße Unternehmen eine andere Lösung zu finden.

Eine mögliche Option, um die Kritikalität von entdeckter / blockierter Malware zu bewerten ist es, Expertenwissen in einer Checkliste abzubilden. Diese ist zwar kein vollwertiger Ersatz für eine umfassende und gründliche Detailuntersuchung, zeigt sich aber sehr hilfreich, um eine Vorab-Analyse durchzuführen. Eine Checkliste stellt dabei die einfachste Vorstufe zu einem regelbasierten Expertensystem dar, bei dem es durch Wenn-Dann-Entscheidungen zu einer Lösung kommt. Damit gelingt es dann auch, die Spreu vom Weizen zu trennen beziehungsweise die Masse an eher einfach gestrickten Malware-Vorfällen auszusieben. Übrig bleiben dann die Fälle, bei denen es erforderlich ist, dass ein Experte eine weitere Analyse durchführt.

Vorschläge für ein Regelwerk
Das Regelwerk, das eine Malware-Checkliste abarbeitet, sollte von den eigenen Malware-Experten vorgegeben werden. Denn diese kennen das eigene Umfeld und wissen, worauf bei der Sicherheit der Unternehmens-IT zu achten ist und wo kritische Bereiche existieren. Um hier einen ersten Ansatzpunkt zu geben, nachfolgend einige Regel-Vorschläge für die eigene Checkliste:

  • Infiziertes Objekt: Bei welchem Dateiformat hat der Virenscanner eine Schadsoftware entdeckt beziehungsweise blockiert? Eine Office-Datei ist als kritischer anzusehen, als etwa eine HTML-Datei. Während Office-Files in der Regel bereits im Haus sind und durch Anwendungsprogramme verarbeitet werden, sind HTML-Dateien meist extern gespeichert. Auf der entsprechenden Webseite könnte sie aber als Infektionsquelle durch einen URL-Filter leicht geblockt werden. Ein ausführbares Programm, wie ein Bildschirmschoner (SCR) ist dagegen sehr bedrohlich, da dieser unter Umständen durch die Anwender verbreitetet wird, die Kollegen mit einem tollen Screensaver eine Freude bereiten wollen.
  • Aufwand der Bereinigung: Lässt sich die relevante Schadsoftware automatisch durch den Virenscanner bereinigen? Sofern dies der Fall ist, ist eine automatisierte Bearbeitung möglich, die ein manuelles Eingreifen überflüssig macht und damit Ressourcen einspart. Ist keine automatisierte Bearbeitung möglich, die eine Infektion rückgängig macht und Änderungen am System zurücksetzt, sollte diese Malware kritischer beurteilt werden.
  • Befallenes System: Welcher Systemtyp ist von der Malware betroffen? Ist es gegebenenfalls ein mobiles Gerät, das gerade mit dem Eigentümer auf Dienstreise unterwegs ist oder ein stationäres Device, das sich im uneingeschränkten Zugriff des IT-Supports befindet? Ein mobiles Gerät ist hier als wandernder Infektionsherd deutlich gefährlicher als ein stationäres System. Aber ein Server, über den die Anwender Daten teilen ist gegebenenfalls noch kritischer zu sehen. Denn so wird aus einem lokalen Problem schnell ein globaler Event.
Wer sich mit der Thematik etwas beschäftigt, wird weitere Beurteilungskriterien finden, die dazu beitragen, über ein Regelwerk die identifizierte/blockierte Malware genauer einzuschätzen.



                                                Seite 1 von 2                     Nächste Seite>>


31.07.2013/Ralph Dombach, Betreiber der Webseite secuteach.de/ln

Nachrichten

Sicherheit für Cloud und 5G [13.02.2019]

Palo Alto Networks hat mehrere neue Funktionen eingeführt, die Angriffe vorhersagen und durch Automatisierung stoppen sollen. Ab sofort erhalten Next-Generation-Firewall-Kunden, die auf die PAN-OS-Version 9.0 upgraden, Zugang zu diesen neuen Sicherheitsfähigkeiten, bestehend aus mehr als 60 neuen Funktionen und Tools zur einfachen Implementierung von Security Best Practices. [mehr]

Im Fadenkreuz [5.02.2019]

Proofpoint lüftet den Vorhang für den 'Proofpoint Targeted Attack Protection Index' (TAP). Dabei handelt es sich um einen Index, mit dessen Hilfe die IT-Security-Teams in den Unternehmen die aktuelle Gefährdung einzelner Personen im Unternehmen einschätzen könnten. Der Hintergrund sei die Strategie der Cyberkriminellen, nicht die technische Infrastruktur direkt anzugreifen, sondern über Mitarbeiter Zugang zu Systemen im Unternehmen zu erlangen. [mehr]

Tipps & Tools

Citrix: Basis-vDisk erstellen [3.02.2019]

In Citrix-Umgebung kann es vorkommen, dass eine vDisk importiert werden muss, bei der Änderungen in verschiedenen Versionen gespeichert sind, aber die zugehörige XML Datei nicht (mehr) verfügbar ist. Glücklicherweise gibt es eine Methode, um eine neu zusammengeführte Basis-vDisk außerhalb von PVS zu erstellen, bevor Sie sie in eine Farm importieren, und die dafür keine XML- oder PVP-Dateien benötigt. [mehr]

Vorschau Februar 2019: Cloudmanagement [21.01.2019]

Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern muss. Dafür wiederum wollen Cloudlandschaften passgenau in die Unternehmens-IT eingebunden werden, vor allem wenn es um die Sicherheit geht. In der Februar-Ausgabe widmet sich IT-Administrator dem Cloudmanagement und zeigt unter anderem, wie Sie Azure-Logs auswerten und Red Hat CloudForms mit Ansible verwalten. In unserem großen Vergleichstest treten daneben vier deutsche Hosting-Anbieter gegeneinander an. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen