Der Job Ihrer Antivirus-Software ist es, Malware zu erkennen und zu entfernen. Aber wie schnell und wie genau passiert das wirklich? Wir zeigen Ihnen, wie Sie die Effizienz Ihres unternehmensweiten Virenschutzes stetig im Blick behalten können. [...]
Von Anfang an haben die Hersteller von Antivirensoftware über ihre Genauigkeit gelogen. Viele behaupten eine hundertprozentige Trefferquote bei der Erkennung fehlerhafter Programme zu besitzen, und trotzdem: Obwohl heute fast jeder Computer durch ein Antivirenprogramm geschützt wird, ist Malware immer noch ein Problem.
Senden Sie ein beliebiges Malware-Programm an VirusTotal von Google und lassen Sie es dort von 67 bis 70 Antivirus-Programmen überprüfen. Vielleicht ein Drittel aller Programme lag bei der frühen bzw. sofortigen Erkennung richtig. Die beliebtesten Antivirus-Engines brauchen oft Tage, um eine übermittelte Probe zu identifizieren. Die meisten Antivirus-Anbieter lassen VirusTotal die Genauigkeitsstatistiken der einzelnen Engines häufig nicht einmal einsehen.
Antivirus-Anbieter und unabhängige Interessenvertreter haben versucht, jeweils eine eigene Liste von ethischen Testverfahren zu entwickeln, um die Genauigkeit der Antivirus-Programme zu prüfen. Sogar diesen Ansätzen wurden in der Vergangenheit ungenaue Messungen vorgeworfen. Diejenigen, die ein 100-prozentiges Erkennungsergebnis erhalten, verkünden dies in ihrer Werbung, doch diejenigen, die das nicht tun, versuchen anschließend, Fehler in der Methodik eines bestimmten Tests aufzuzeigen. Aber keiner von ihnen ist immer zu 100 Prozent genau, ganz unabhängig davon, welcher Test durchgeführt wird.
Wie können wir die tatsächliche Genauigkeit eines Antivirus-Produkts ermitteln? Wir zeigen Ihnen einen möglichen Weg.
Die Bedeutung der Verweildauer von Malware
Alles, was zählt ist, wie hoch die Genauigkeit eines Antivirenprodukts in Ihrer Umgebung auf allen verwalteten Geräten zu bewerten ist. Denn wen kümmert es, wenn ein Test erklärt, dass ein Antivirus-Produkt zu 100 Prozent genau ist, wenn Ihre Umgebung trotzdem Malware-Programme erhält, die Ihr Programm nicht auf dem Schirm hat?
Genauigkeit ist nicht das einzige Problem. Auch die Verweilzeit der Malware ist wichtig.
Keines der Produkte sagt Ihnen, wie lange ein Malware-Programm aktiv ist, bevor es auf Ihren Geräten erkannt und entfernt wird. Die meisten Antivirusprogramme benötigen Tage, um ein neues Malware-Sample zu erkennen. Verschiedene Antivirenprogramme benötigen dagegen zum Erkennen eines Malware-Samples unterschiedlich viel Zeit; doch keines von ihnen ist bei der Erkennung jeder Art von Malware gleichermaßen außergewöhnlich.
Es ist nicht im Interesse der Antivirus-Anbieter, Ihnen mitzuteilen, wie lange es dauert, bis ihr Produkt ein Malware-Programm erkannt und entfernt hat. Sie sollten sich nicht mehr mit Antivirustests für Tausende von Malware-Beispielen beschäftigen, als für Ihre eigene Umgebung von Bedeutung. Sie möchten ganz einfach, dass Anti-Malware-Programme möglichst genau und möglichst schnell sind.
Es gibt eine Möglichkeit, Ihren Antivirus-Anbieter dazu zu bringen, dafür zu sorgen, dass Malware in Ihrer Umgebung noch genauer erkannt wird die Verweildauer von Malware verringert wird. Dazu müssen Sie jedes neu ausgeführte Programm und jeden Prozess erfassen, der sich auf Dateien oder Nicht-Dateien bezieht (z. B. Registry, Speicher oder PowerShell). Die meisten Computer verfügen bereits über ein Programm, das diesen Vorgang von Haus aus ermöglicht. Microsoft Windows war von Anfang an mit der Möglichkeit der Windows-Ereignisprotokollierung dazu in der Lage, aber die App-Control-Programme von Microsoft wie AppLocker sind sogar noch besser (und verursachen zumindest kein störendes Rauschen). Apple- und Linux-Distributionen unterscheiden sich in ihren Prozessverfolgungsfunktionen, die meisten können jedoch so konfiguriert werden, dass sie die erforderlichen Informationen erfassen. Sie können aber auch einfach eine kommerzielle oder Open Source-Anwendung von Drittanbietern herunterladen, die diesem Zweck dient.
Schreiben Sie bei jeder Ausführung eines neuen Programms oder eines Prozesses auf einem verwalteten Gerät die entsprechenden Details in ein zentrales Datenbank-Repository. Sie müssen mindestens die Geräteidentifizierungsinformationen, den Benutzer, das Datum, die Uhrzeit, den Prozess bzw. das Programm und die Prozessidentifizierungsinformationen erfassen. AppLocker und andere App-Control-Programme lassen sich beispielsweise so konfigurieren, dass nur neue Prozesse bzw. Programme bei der erstmaligen Ausführung gemeldet werden, nachdem Sie das Gerät in seinem Ausgangszustand „gesnapshotted“ haben. Dieser Vorgang reduziert Fremdgeräusche.
Sobald Sie über diese Informationen verfügen, vergleichen Sie jedes Mal, wenn Ihr Antivirus-Produkt eine Erkennung (und damit verbundene Entfernung) meldet, den neuen Datenpunkt mit dem Zeitpunkt, zu dem das Programm oder der Prozess zum ersten Mal auf dem jeweiligen Gerät ausgeführt wurde. Natürlich wollen Sie sehen, dass die meisten Erkennungen sofort bemerkt werden (d. H. 0 Sekunden Verweilzeit), schließlich versucht das als Malware erkannte Programm, den Benutzer und das jeweilige Gerät auszunutzen. Ist das der Fall, ist das ein gutes Zeichen – und birgt nur sehr wenig Risiko. Das sind defensive Kontrollen, die wie geplant funktionieren.
Interessanter ist dagegen, wie viel der vom Antivirus-Programm erkannten Malware keine Verweildauer von Null hatte und wie die Malware überhaupt in Ihre Umgebung gelangt ist (Social Engineering, Phishing, nicht gepatchte Software, falsche Konfiguration, Pufferüberlauf usw.). Jedes Malware-Programm, das mehr als ein paar Sekunden Verweilzeit hatte, ist ein erhöhtes Risiko für die Sicherheit Ihrer Umgebung. Mit zunehmender Verweildauer erhöht sich auch das Cybersicherheitsrisiko für Ihr gesamtes Unternehmen.
Erfassen der Malware-Verweildauer
Die Erfassung der Verweildauer von Malware ermöglicht es Ihnen, einige Dinge zu tun. Erstens können Sie auf Basis der ermittelten Verweildauer proaktive Entscheidungen treffen. Benachrichtigen Sie den Benutzer? Das Beste, was Sie tun können, ist wahrscheinlich, dem Benutzer mitzuteilen, dass ein Malware-Programm entdeckt und entfernt wurde. Mit einer bekannten Verweildauer können Sie dem Endbenutzer schließlich Folgendes mitteilen:
„Unser Antivirus-Programm hat das folgende Malware-Programm erkannt und entfernt, das die folgenden potenziell schädlichen Funktionen aufweist… Das Malware-Programm war X Minuten lang auf Ihrem Computer aktiv, bevor es erkannt und entfernt wurde. Bewerten Sie das Risiko für Ihre Aktivitäten und für das Unternehmen auf der Grundlage dieser Informationen. (Haben Sie in dieser Zeit gehäuft Ihre Anmeldeinformationen verwendet? Haben Sie auf vertrauliche Informationen zugegriffen? Haben Sie mit anderen Anmeldeinformationen auf andere Systeme zugegriffen? Haben Sie vertrauliche E-Mails an andere gesendet?) Bitte melden Sie weitere mögliche Risiken, damit das Unternehmen Ihnen bei der Fehlerbehebung behilflich sein kann.“
Sie können die Verweildauer von Malware als kritischen Schlüsselindikator für jedes einzelne Gerät, jeden Benutzer, jede Konfiguration, jede Abteilung und das gesamte Unternehmen verfolgen. Nehmen die einzelnen Indikatoren im Laufe der Zeit zu oder ab? Weist ein bestimmter Benutzer oder eine bestimmte Konfiguration eine längere Verweilzeit auf als andere? Lässt sich eine erhöhte Verweildauer im gesamten Unternehmen beobachten? Oder läuft die Verweildauer für bestimmte Malware-Familien oder Klassen anders und warum?
Wenn Sie im Laufe der Zeit einen Anstieg der Verweildauer feststellen, wenden Sie sich an Ihren Antivirus-Anbieter und beziehen Sie ihn mit ein. Geben Sie ihnen die aufgezeichneten Daten und sehen Sie, ob sie die Verweildauer von Malware in Ihrem System verringern können. Sie können auch andere Antivirus-Produkte ausprobieren und prüfen, ob diese für Ihre Umgebung noch genauer sind. Es gibt natürlich noch andere Dinge, über die man sich Gedanken machen muss, wie zum Beispiel die allgemeine Leistung eines Antivirus-Produkts oder falsche positive Treffer. Aber wenn Sie noch nicht genau wissen, wie gut ein Antivirus-Produkt in Ihrer Umgebung funktioniert, ist der Rest dann wirklich wichtig?
Das Ganze ist keine Raketenwissenschaft. Es ist etwas, das Sie ohne weitere Kosten in Ihrer Umgebung tun können, um die Sicherheit Ihres Unternehmens zu gewährleisten. Und es setzt voraus, dass Sie erstmalige Ausführungen neuer Prozesse und Programme erfassen und an eine zentralisierte Datenbank melden, um sie mit einer bereits vorhandenen Datenbank zu vergleichen, die Sie für Ihre Antivirenerkennungen verwenden. Führen Sie ein paar Abfragen durch und fertig! Sie bekommen einen nützlichen neuen kritischen Datenpunkt im Kampf gegen Cyber-Sicherheitsbedrohungen – und der Verweilzeit geht es an den Kragen.
Wie ist Malware in Ihre Umgebung gelangt?
Sie möchten natürlich auch wissen, wie ein Malware-Programm in Ihr System gelangt ist. War es eine nicht gepatchte Software, Social Engineering oder eine Fehlkonfiguration?
Mit etwas mehr Arbeitsaufwand lässt sich das sicherlich herausfinden. Die meiste Malware stammt von bekannten Web-Exploit-Kits. Diese Kits verwenden normalerweise eine Handvoll bekannter Exploits für nicht gepatchte Software. Verschaffen Sie sich einen Überblick über die am häufigsten erkannten Malware-Programme. Informieren Sie sich ein wenig und finden Sie heraus, welche Angriffsstrategien bestimmte Malware-Programme normalerweise für das Eindringen in eine Umgebung wie die Ihre einsetzen. Legen Sie diese Exploits in einer anderen Datenbank an. Wenn diese Malware von Ihrer Antivirus-Software entdeckt wird, ermitteln Sie, welche nicht gepatchten Programme zu diesem Zeitpunkt auf den Computern verfügbar waren, auf denen die Malware gefunden wurde. Wenn alle beteiligten Softwareprogramme gepatcht wurden, wurde die Malware wahrscheinlich über Social Engineering ins System geholt. Wenn Sie Lücken in Ihrer Defensive erkennen, die potenzielle Malware zulassen, arbeiten Sie daran, diese zu schließen.
Sie sollten auch daran interessiert sein, was die Malware in Ihrer Umgebung angerichtet haben könnte und wie groß das Risiko für Ihr Unternehmen ist. Mit einer ähnlichen Verhaltensüberwachungssoftware können Sie erfassen, was das Malware-Programm verändert hat. Sie können so auch vorab feststellen, für welche Benutzer und Geräte ein erhöhtes Risiko für die Umgebung besteht – beispielsweise ein Benutzer, der über Administratorberechtigungen verfügt, ein Administrator, der ein Programm verwendet und auf wichtige vertrauliche Daten zugreift oder eine Führungskraft auf C-Ebene.
Antivirus-Programme weisen meistens darauf hin, dass „etwas entdeckt wurde“. Die wichtigste Information ist jedoch, wie hoch die Genauigkeit bei der Erkennung von Malware ist, die in Ihrer Umgebung heruntergeladen und ausgeführt wird, – und die Verweildauer der Malware, die ist mindestens ebenso wichtig. Wenn Sie einige Endpunktanpassungen vornehmen, über eine oder sogar drei Datenbanken verfügen und regelmäßig Abfragen durchführen, können Sie mit der Zeit sehr leicht erkennen, wie groß der Nutzen des von Ihnen gewählten Virenschutzprogramms für Ihr Unternehmen wirklich ist.
*Roger A. Grimes schreibt für CSO.com, ist seit 2005 Security-Kolumnist und verfügt über mehr als 40 Tech-Zertifizierungen. Mittlerweile hat er zehn Bücher über Computer-Sicherheit verfasst.
Be the first to comment