tom's networking guide
 
Anzeige

Reputationsfilter

Reputationssysteme schützen vor neuen Software-Bedrohungen

Guter Ruf als Eintrittskarte

Prüfen nach 50 Kriterien

Herkömmliche Malware-Filter bieten angesichts neuer intelligenter Bedrohungen oft keinen ausreichenden Schutz mehr, denn sie überprüfen lediglich den Inhalt von E-Mails oder Webseiten auf Schadcode und gleichen ihn mit bekannten Mustern ab. Diese Methode ist bei den aktuellen Attacken mittlerweile aber weder schnell, noch genau genug. Auch simple Blacklists funktionieren angesichts der häufig wechselnden Angriffsschemata immer seltener.

Wirksamer sind dagegen Methoden, die sowohl den Inhalt als auch die Zusammensetzung eines Threats, dessen Herkunft und Absender analysieren. Eine Schlüsselrolle in diesem Ansatz spielt die von IronPort entwickelte Technologie der Webreputation. Ihr Ziel ist es, die Seriosität einer Webadresse mittels statistischer Messungen genau zu bewerten. Diese Einschätzungen sind in vielen Fällen bereits verfügbar, wenn der Angriff irgendwo auf der Welt gerade erst beginnt ? und noch bevor er das eigene Unternehmen erreicht.

Die S-Series von IronPort lässt sich als regel-basierter Reputationsfilter einsetzen. (Bild: IronPort)

Typischerweise kommt Malware von wenig vertrauenswürdigen Webservern mit auffälligen Verkehrsströmen oder ungewöhnlichem Netzwerkverhalten. Der Reputationsfilter hinterfragt deshalb beispielsweise, wie lange und in welchem Land eine Domäne registriert ist, ob der Webserver eine dynamische IP-Adresse nutzt und vieles mehr. Mit Hilfe eines Scores von +10 bis ?10 bestimmt er, wie mit den Web-Adressen zu verfahren ist. URLs mit einer eindeutig positiven Reputation werden nicht weiter gescannt, Seiten mit schwach positivem Profil überprüft ein Anti-Malware-System. Weblinks mit schwach negativer Reputation werden von unterschiedlichen Systemen analysiert während eindeutig schlechte Bewertungen sofort geblockt werden.

Die Prüfparameter müssen dabei gegeneinander abgewogen werden, da sie sonst zu einer erhöhten False-Positive-Rate führen und die Zahl der fälschlicherweise geblockten Adressen steigt. Denn beispielsweise kann ein so genannter "Traffic Spike" einerseits mit einer zunehmenden Viren-Aktivität zusammenhängen, aber auch mit der Veröffentlichung von Breaking News auf den Webseiten der BBC. Reputationsfilter berücksichtigen diese Tatsache und analysieren bis zu 50 Parameter gleichzeitig. Damit sind sie ? anders als einfache Inhaltsanalysen, Signatur- oder URL-Scans ?ungenauen Einzelinformationen gegenüber unempfindlich.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Nachruf Systems 2008
Ein Abgesang auf die kleine CeBIT-Schwester für München und Österreich, die plötzlich keiner mehr will, obwohl man sie bräuchte. [mehr]
CeBIT Vorbericht
Die CeBIT 2008 strotzt nur so vor Neuheiten. Worauf es ankommt, wen zu besuchen warum sich lohnt, was wer wo zeigt, haben wir für unsere Leser hier zusammengestellt. [mehr]
Test Belkin F5D8233 WLAN-Router
Der WLAN-Router Belkin F5D8233, ein Draft-N-Gerät, überraschte die Tester mit sehr zwiespältigen Ergebnissen. [mehr]
Test Zyxel PLA-470 mit NGB-318S
Mit Netzwerk-Komponenten wie WLAN, Internet-Router und Ethernet-Switch vereinfachen die Homeplug-AV-Modem PLA-470 und NBG-318S von Zyxel die Vernetzung einer Wohnung ganz erheblich ? die PLC-Performance stimmt. [mehr]
First-Look ? Open-E NAS 2.0 und SoHo
Die NAS-Flash-Module von Open-E steckt man in einen IDE-Port auf dem Motherboard. Die Konfiguration erfolgt per Web-Browser. Im Netzwerk stehen dann neue Verzeichnisse mit viel Speicherplatz für alle zur Verfügung. [mehr]
Anzeige