Whitelisting ist besser als Suche mit Antivirus-Software
Eine Studie des Antivirusherstellers McAfee und des Pacific Northwest National Laboratory Instituts hat ergeben, dass die Entdeckung von Viren nicht so effektiv ist, wie das sog. Whitelisting. Dabei wird in einer weißen Liste die Software vermerkt, die zur Ausführung kommen darf. Wird eine Software gestartet, die nicht in der Liste enthalten ist, wird die Ausführung unterbunden.
Dies steht im Einklang mit den Ergebnissen des australischen Forschungsteams: Auszeichnung für einfache und effektive IT-Sicherheitsmaßnahmen. Das Team hatte Sicherheitsvorfälle untersucht und eine kleine Menge von wirksamen Maßnahmen gegen Schädlinge herauskristallisiert.
Neue Würmer und Viren kommen oft mit sog. Zero-Day-Exploits zum Einsatz. Gegen diese Schadsoftware hilft Antiviren-Software nur bedingt, da diese auf eine Mustersuche in Schadsoftware ausgelegt ist. Wird ein Muster, das für einen Virus charakteristisch ist, entdeckt, schlägt der Virenscanner Alarm. Die sog. verhaltensbasierten Scanner analysieren zusätzlich auch das Verhalten, was die Software macht. Dies ist ein zusätzlicher Schutz und wird von vielen Antivirenscanner-Herstellern schon umgesetzt.
So gelang es dem Spionageschädling Flame etwa zwei bis fünf Jahre lang, von Antiviren-Software unbehelligt zu arbeiten.
Whitelisting ist für Unternehmen eine attraktive Methode, bei Endanwendern muss dieser jedoch eine gehörige Portion Wissen und Geduld für die Einrichtung mitbringen. Für die letzte Gruppe ist dies nur in Ausnahmefällen geeignet.
Siehe auch: Flame-Wurm stammt von Stuxnet ab, Flame-Malware verübt Suizid, Stuxnet wurde von Obama beauftragt
Artikel von infosecurity-magazine.com, 21.06.2012: Whitelisting is the solution for the national infrastructure