Deutsche Konzerne brauchen Echtzeit-Sicherheit

Trend Micro beschäftigt Hunderte Experten in seinen Labors. Diese überprüfen Tag und Nacht alle Bewegungen der Web-Welt auf Gefahren hin. Der Senior Security Specialist Rainer Link erklärt im Gespräch mit silcon.de, wie Security-Lösungen in Zukunft aussehen müssen, um den Kriminellen einen Schritt voraus zu sein.

silicon.de: Die Malware-Szene wird immer phantasievoller. Wie reagiert ein Unternehmen wie Trend Micro darauf?

Link Unser Schwerpunkt ist das Smart Protection Network. Es ist eine Weiterentwicklung der Web Threat Protection und unsere Antwort auf die Herausforderungen und Gefahren der Zukunft.

silicon.de: Wie sieht das konkret aus?

Link: Wir haben uns strategisch positioniert: Der neue Dienst ist reputationsbasiert. Das heißt, dass er bei einer potentiell verdächtigen Vorgehensweise greift und den "Ruf", die Reputation, prüft und notfalls eingreift. Dies passiert etwa, wenn eine Anwendung etwas unaufgefordert herunterladen will, oder wenn der Nutzer in seinen Browser eine URL eingibt. Bevor diese starten kann, wird geprüft, welche Reputation diese Site beziehungsweise URL hat. Ist sie als gefährlich bekannt, so wird jeder Download unterbunden. Das allein ist nicht neu, allerdings unterscheidet sich unser Ansatz von ähnlichen Vorhaben dadurch, dass unsere Reputationen nicht auf Domains basieren, sondern komplett auf URL. Wir haben die Beobachtung gemacht, dass es nichts nützt, wenn man eine Domain prüft und sich darauf verlässt. Beispielsweise kann diese Domain von einer SQL-Injection manipuliert worden sein und vollkommen unsinnige Daten liefern, oder sie leitet durch iFrames die Nutzer auf bösartige Sites um, wo sie sich bösartigen Code einfangen. Das ist die eine Seite des Smart Protection Network.

silicon.de: Ist das alles?

Link: Nein. Die andere Seite sind unsere E-Mail-Reputationsdienste. Ursprünglich hat Trend Micro sie zur Abwehr von Spams entwickelt, bei der Blacklists, basierend auf IP-Adressen, zum Einsatz kommen. Es geht uns aber auch um die Erkennung von Botnets und Dial-up-Diensten, reputationsbasiert und in Echtzeit. All diese Funktionen können den Gefahren der nächsten Jahre umfassend und in Echtzeit begegnen. Das ist unsere Antwort auf die Herausforderungen der Zeit. Herkömmliche Ansätze stoßen an ihre Grenzen, Updates allein helfen nicht und greifen zu kurz. Wir brauchen andere Antworten, die längerfristig angelegt sind. File Reputationsdienste sind der dritte Aspekt. Also eine Whitelist die alle sehr weit verbreiteten Anwendungen wie Office in allen Versionen und mit allen Patches und Updates abdeckt, um Fehlalarme zu vermeiden. Es macht keinen Sinn diese einer Behaviour-Analyse zu unterziehen. Kein Blocken berechtigter Anwendungen mehr. Und eine Blacklist, um schadhaften Code zuverlässig zu erkennen und zu blockieren.

silicon.de: Was genau hat der Kunde davon?

Link: Die Aktualität der Security Suite ist immer gegeben. Es muss nicht mehr auf langwierige Update-Zyklen gewartet werden. Sobald eine Information in unserer Datenbank steht, ist die Information dazu sofort für alle verfügbar. Sie muss nicht erst über alle Rechner verteilt werden. Das Smart Protection Network ist unsere Antwort, unser strategisches Vorgehen. Wir wissen, dass wir mit der üblichen Verfahrensweise auf die neuen Gefahren nicht reagieren können. Nicht schnell und nicht gründlich genug. Die andere Seite schläft schließlich nicht, wir müssen die Nase vorn behalten.

silicon.de: Wird dabei die bewährte Trend-Micro-Welt über Bord geworfen?

Link: Mitnichten. Wir werden unsere herkömmlichen Produktgruppen und Services fortsetzen. Aber auch bei der verhaltensbasierten Technik sind wir fortgeschritten. Mit 'RUbotted', einer Client-basierten Lösung, die sich mit dem Trend-Micro-Server abstimmt, können Kunden feststellen, ob Bots auf dem Rechner sind. Dieses Konzept - minimaler Client-Basisschutz und die Intelligenz auf unserem Server – greift vor allem in Enterprise-Umgebungen. Geschäftsreisende werden so auch geschützt, wenn sie außerhalb jeder Kontrolle durch das Firmennetz surfen müssen. Dabei wird als drittes Element zwischen Client und uns ein ScanServer geschaltet, der die Kontrolle steuert.