Lesezeit
2 Minuten
Seite 2 - Malware-Bewertung per Checkliste
Präzisierung durch Punktesystem
Um nun aus einer Einschätzung beziehungsweise Beurteilung einen Maßstab für das Risiko zu gewinnen, bedarf es eines Punktesystems, anhand dessen sich die Gefährlichkeit einer Schadsoftware ermitteln lässt. Bei der Festlegung ist Fingerspitzengefühl erforderlich. Denn wenn das Punktesystem zu grob ausfällt, rutschen gefährliche Computerviren und Trojaner durch das Raster. Wird hingegen zu streng geurteilt, bleibt jeder Vorfall mit einer kritischen Einstufung im Raster hängen.
Am besten fahren Administratoren hier, wenn sie über eine Kalenderwoche hinweg die aufgetretenen Vorfälle mit der Checkliste bewerten und anhand der erzielten Risikosummen das Bewertungsschema abstimmen. Idealerweise sollte es nach dem Tuning so aussehen, dass Standard-Vorfälle mit bekannten, wiederkehrenden Computerviren auch so eingestuft werden. Lediglich Schadsoftware, die höhere Risiken darstellt, sollte dann ein High Risk-Label erhalten und bei den Malware-Experten zur Detail-Analyse landen.
Besonders wichtig ist es dabei, stets das Feedback von den Experten abzufragen und so das Bewertungsschema immer weiter zu optimieren. Also neue Bewertungskriterien hinzuzufügen, überflüssige zu entfernen und das Punktesystem generell anzupassen. Eine Musterlösung mit weiteren Überprüfungsregeln finden Sie als funktionsfähiges Online-Beispiel [1] auf der Security-Webseite secuteach.
Über ein automatisiertes Online-Formular geht die Malware-Bewertung mittels Checkliste besonders einfach von der Hand
Stetige Optimierungsmaßnahmen
Nichts ist von Anfang an perfekt, es gibt immer Möglichkeiten, eine Lösung weiter zu verbessern. Neben der Feinabstimmung sind es vor allem technische Aspekte, die eine Nutzung effektiver gestalten und den Mehrwert der Checkliste erhöhen:
Arbeitsablauf bei Virenbefall
Nach einer automatisierten und manuellen Bearbeitung des Regelwerkes ergibt sich dann ein Punktewert, der die Kritikalität des Malware-Vorfalls bewertet. Dieser Punktewert kann dann zu unterschiedlichen Bearbeitungsschritten führen, wie beispielsweise:
Fazit
Das Wissen eines Malware-Experten, sein Einfühlungsvermögen und seine Arbeitsweise lassen sich nicht durch eine Malware-Checkliste ersetzen. IT-Verantwortliche können aber mit einer Checkliste eine Vorab-Analyse durchführen und damit wertvolle Experten besser einsetzten und so nachhaltig den Schutz vor Computerviren, Trojanern und Bots umsetzen.
Ralph Dombach, Betreiber der Webseite secuteach.de/ln
[1] www.secuteach.de/einschaetzung-schadsoftware.html
Um nun aus einer Einschätzung beziehungsweise Beurteilung einen Maßstab für das Risiko zu gewinnen, bedarf es eines Punktesystems, anhand dessen sich die Gefährlichkeit einer Schadsoftware ermitteln lässt. Bei der Festlegung ist Fingerspitzengefühl erforderlich. Denn wenn das Punktesystem zu grob ausfällt, rutschen gefährliche Computerviren und Trojaner durch das Raster. Wird hingegen zu streng geurteilt, bleibt jeder Vorfall mit einer kritischen Einstufung im Raster hängen.
Am besten fahren Administratoren hier, wenn sie über eine Kalenderwoche hinweg die aufgetretenen Vorfälle mit der Checkliste bewerten und anhand der erzielten Risikosummen das Bewertungsschema abstimmen. Idealerweise sollte es nach dem Tuning so aussehen, dass Standard-Vorfälle mit bekannten, wiederkehrenden Computerviren auch so eingestuft werden. Lediglich Schadsoftware, die höhere Risiken darstellt, sollte dann ein High Risk-Label erhalten und bei den Malware-Experten zur Detail-Analyse landen.
Besonders wichtig ist es dabei, stets das Feedback von den Experten abzufragen und so das Bewertungsschema immer weiter zu optimieren. Also neue Bewertungskriterien hinzuzufügen, überflüssige zu entfernen und das Punktesystem generell anzupassen. Eine Musterlösung mit weiteren Überprüfungsregeln finden Sie als funktionsfähiges Online-Beispiel [1] auf der Security-Webseite secuteach.
Über ein automatisiertes Online-Formular geht die Malware-Bewertung mittels Checkliste besonders einfach von der Hand
Stetige Optimierungsmaßnahmen
Nichts ist von Anfang an perfekt, es gibt immer Möglichkeiten, eine Lösung weiter zu verbessern. Neben der Feinabstimmung sind es vor allem technische Aspekte, die eine Nutzung effektiver gestalten und den Mehrwert der Checkliste erhöhen:
- Elektronische Formulare: Eine Checkliste, ausgedruckt auf Papier, kann nur der erste Schritt sein. Vorteile bring es, die Checkliste in ein Formular umzuwandeln, bei dem der Bearbeiter seine relevanten Daten per Maus und Tastatur eingibt.
- Automatisierung: Meldungen über identifizierte / blockierte Malware liegen meist elektronisch vor. Ideal ist es daher, die verfügbaren Daten automatisiert in die Bearbeitungsformulare zu übernehmen und so Ressourcen einzusparen und Fehleingaben zu minimieren.
- Zusammenspiel mit AV-Herstellern: AV-Hersteller bieten Malware-Charakteristika auch über Datenbanken an beziehungsweise über ein Web-Frontend. Mit etwas eigener Programmierleistung können die relevanten Herstellerdaten anhand des Virusnamen automatisch in das Bearbeitungsformular übernommen werden und so weiter zu einer Automatisierung beitragen.
- Eigene Referenzdaten: Ebenso wie die großen Security-Unternehmen Datenbanken anbieten, kann eine eigene Datenbank die Malware-Bewertung unterstützen. Hier lassen sich beispielsweise Risikogruppen definieren, die Einfluss auf das Punktsystem nehmen und so unternehmenstypischen Eigenschaften Rechnung tragen. Zudem ist es möglich, einen Override-Mechanismus zu implementieren, der zum Beispiel durch einen Punktewert von über 500 indirekt dafür sorgt, das ein Vorfall entsprechen hoch gewichtet wird und zur weiteren Bearbeitung bei einem Malware-Experten landet.
Arbeitsablauf bei Virenbefall
Nach einer automatisierten und manuellen Bearbeitung des Regelwerkes ergibt sich dann ein Punktewert, der die Kritikalität des Malware-Vorfalls bewertet. Dieser Punktewert kann dann zu unterschiedlichen Bearbeitungsschritten führen, wie beispielsweise:
- Geringes Risiko: Keine weitere Aktion; der Vorfall wird nur statistisch ausgewertet.
- Mittleres Risiko: On-Demand-Virenscan für den gesamten PC, bei dem alle Dateien auf eine mögliche Vireninfektion überprüft werden. Bei Befall Einleitung weiterer Maßnahmen (Restore der befallen Dateien von einem Backup, Virencheck der Backup-Sets et cetera).
- Hohes Risiko: On-Demand-Virenscan für den gesamten PC zur statistischen Auswertung. Danach Neu-Installation des Systems inklusive Einleitung weiterer Maßnahmen (Virencheck der Backup-Sets, Kontrolle des Profils; On-Demand-Virenscan nach der Installation et cetera).
- Sehr hohes Risiko: Übergabe des Vorfalls an einen Malware-Experten zur weiteren Bearbeitung. Damit einhergehend Bereitstellung eines Ersatz-PCs für den Anwender mit spezifischen Auflagen (Keine Internet-Nutzung, Kein Datenaustausche via E-Mail, FTP) bis zur Freigabe durch den Malware-Experten.
Fazit
Das Wissen eines Malware-Experten, sein Einfühlungsvermögen und seine Arbeitsweise lassen sich nicht durch eine Malware-Checkliste ersetzen. IT-Verantwortliche können aber mit einer Checkliste eine Vorab-Analyse durchführen und damit wertvolle Experten besser einsetzten und so nachhaltig den Schutz vor Computerviren, Trojanern und Bots umsetzen.
<<Vorherige Seite Seite 2 von 2
Ralph Dombach, Betreiber der Webseite secuteach.de/ln
[1] www.secuteach.de/einschaetzung-schadsoftware.html