«

»

Endpunktsicherheit durch Lumension Application Control

Allgemeine Situation und Gefahrenlage

Desktops und Netzwerke sind den verschiedensten Gefahren ausgesetzt: Schadsoftware wird per Mail ins Netzwerk geschleust, aggressive Skripte lauern eingebettet in Webseiten, offene, nicht administrierte USB-Ports laden regelrecht dazu ein, nichtautorisierte Datenträger und Geräte anzuschließen, um Dateien unberechtigt einzuspielen oder zu kopieren. Begrenzten Schutz bieten Virenscanner, Content Security-Lösungen, Regeln und Anweisungen für Mitarbeiter… Ihre Grenze finden diese Schutzmaßnahmen allerdings darin, dass ein Schadpotential identifiziert, ein Trojaner z.B. als solcher bekannt oder erkennbar sein muss, der Virenscanner immer up to date ist, Regeln und Anweisungen definitiv zuverlässig eingehalten werden.

Nur: Auch der engagierteste Hersteller von Antivirensoftware muss auf den Virus, den Wurm, den Trojaner warten, der Stunden nach der Freisetzung weltweit Rechner infiziert, um die neuesten Pattern anbieten zu können, die Schutz versprechen – wie zeitnah die Virenscanner dann ihre Aktualisierung auf Server und Client erfahren, also dem User tatsächlichen oder vermeintlichen Schutz gewähren, steht auf einem andern Blatt. Mitarbeiterverein-barungen und Dienstanweisungen allein geben nur Auskunft über das Vertrauensverhältnis zwischen Management und Angestellten, vermögen Risiken vielleicht zu beschränken, aber wirklichen, also verlässlichen Schutz bieten sie leider auch nicht.

Dreh- und Angelpunkt ist also letztlich eine einfache Frage: Kümmere ich mich als Administrator um eine sich ständig ändernde Gefährdungslage und liefere ich mich der guten oder weniger guten Arbeit der Hersteller von Antivirensoftware aus und fürchte trotzdem den Schadensfall oder richte ich mein Interesse auf die Applikationen, die im Unternehmen gebraucht und genutzt werden? Die Antwort von Lumension Security (vormals SecureWave) auf diese Herausforderung ist das Konzept einer whitelist-basierenden Applikations- und Gerätekontrolle.

Schluss mit Schwarzen Listen!

Um Anwendungen zuverlässig zu klassifizieren, also ausführbare Dateien eindeutig und manipulationsgeschützt von unerwünschten Applikationen unterscheiden zu können, nutzt Lumension Application Control Prüfsummen, genauer Hash-Codes nach dem Secure Hash Algorithmus 1 (SHA-1).  Der errechnete Hash-Code beruht auf dem gesamten Dateiinhalt  der zu autorisierenden Datei und wird in einer Datenbank abgelegt. Darüber hinaus werden mit dem Hash-Code für Verwaltungs- und Berichtszwecke weitere Informationen gespeichert, darunter der Speicherpfad und auch der Dateiname, von dem aus die Prüfsumme gebildet wurde.

Diese Datenbank ist das Herz von Lumension Application Control: Nur Anwendungen, deren Prüfsummen hier hinterlegt sind, haben überhaupt die Möglichkeit, zur Ausführung zu gelangen. Das Kalkül hinter diesem Verfahren ist ein bestechend einfaches: Nichts geschieht zufällig, nichts geschieht automatisch, nichts kann „einfach passieren“. Immer ist es notwendig, dass eine Person mit Administratorrechten die Bildung des Hash-Wertes veranlasst und damit einmalig die grundsätzliche Autorisierung einer Anwendung vollzieht und verantwortet. Diese „weiße“ Liste von Hashwerten wird bei jedem Start eines Clients geladen, dort werden dann Prüfsummen von den zu startenden Dateien gebildet, mit der vom Server geladenen Liste verglichen und ihrem Status entsprechend ausgeführt oder blockiert. Das Ganze geschieht ohne Einbußen an Performanz und vom Nutzer weitgehend unbemerkt – es sei denn, der Programmaufruf oder Installationsversuch war nicht zulässig. In diesem Fall erhält der Nutzer die Information, dass auf Grund mangelnder Rechte die Ausführung der Datei verweigert wurde, eine Meldung dieses Vorgangs an den Administrator kann damit verbunden werden.

Um Manipulationsversuche auszuschließen, enthält einerseits die zu ladende Liste der Hash-Werte eine kryptographische Signatur, andererseits ist der installierte Client ein Kerneltreiber und als solcher dem Nutzer nicht zugänglich, mithin sicher.
[important]

Seit vier Jahren kümmern sich die Kollegen von aikux.com um die Fileserver ihrer Kunden – von 9.00 – 18.00 Uhr, fünf Tage pro Woche. Die Beiträge dieses Blogs kommen aus der Praxis und sind gedacht für die Praxis, denn: Hier schreiben Techniker. Und sie sind gedacht als ein Angebot von uns an Sie: Greifen Sie also auf unsere Erfahrungen zurück und suchen Sie das Gespräch – Sie finden uns hier.

[/important]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*
= 5 + 5

Wordpress SEO Plugin by SEOPressor