SecuLution Application Whitelisting Presales FAQ

Selbstverständlich. Bei Citrix-Server-Farmen oder Desktop-Virtualisierung sogar besonders einfach, weil ein Import eines Golden-Image reicht und schon ist die Whitelist komplett. Dies dauert nicht länger als wenige Minuten.

[Zertifizierungen] Ist seculution Application Whitelisting zertifiziert?

Wir kommen beim Einsatz von seculution Application Whitelisting z.B. auf Medizintechnik-Geräten häufig mit dieser Fragestellung in Berührung. Leider funktionieren Zertifizierungen nur auf einem Code-Stand. Wir entwickeln unser Produkt aber stets weiter, was zur Folge hätte, dass jeder neue Versionsstand erst wieder eine komplett neue Zertifizierung durchlaufen müsste. Diese Zertifizierung dauerte dann länger, als die Laufzeit dieser Version, d.h., das nächste Update stünde schneller zur Verfügung, als die Zertifizierung der vorherigen Version abgeschlossen werden könnte. Für dynamisch weiterentwickelte Software sind Zertifizierungen daher keine Option. Angesichts der Tatsache, dass ein erfolgreicher Angriff auf ungeschützte Systeme ohnehin eine etwaige Garantie des Geräteherstellers bricht, entscheiden sich viele unserer Kunden daher lieber für den zuverlässigen Schutz durch seculution Application Whitelisting und nehmen den Garantieverlust in Kauf.

[Garantie] Was ist von der Garantie umfasst? Auch Supply-Chain-Attacken wie die von SolarWinds?

Wenn die positive Einschätzung zu dieser Software von unserer TrustLevel-Datenbank stammt, ist dies selbstverständlich von der Garantie umfasst. Details zur Garantie finden Sie hier.

[Lizenzierung] Wie werden die Lizenzen gezählt?

Zur Lizenzierung zählen wir die Anzahl der mit unserem Agenten gesicherten Geräte. Thin-Clients, die auf durch seculution gesicherte Citrix- oder TerminalServer verbinden, werden ebenfalls gezählt. Fat-Clients, die bereits eine lokale Lizenz einsetzen, werden bei Verbindung auf die Citrix- oder TerminalServer nicht erneut gezählt.

[Lizenzierung] Ab welcher Lizenzmenge kann seculution Application Whitelisting eingesetzt werden?

seculution Application Whitelisting kann technisch in jeder Netzgröße eingesetzt werden. Da das Produkt den Betrieb einer virtuellen Appliance für die Verwaltung der Whitelist für jeden Kunden notwendig macht, entstehen hier Fixkosten, die sich bei sehr kleiner Stückzahl schlecht umbrechen. Wenn die Lizenzzahl zu klein für einen direkten Vertrag mit der SecuLution GmbH ist, bieten Ihnen jedoch unsere Vertriebspartner ein Angebot in dem von Ihnen benötigten Umfang an. Kontaktieren Sie uns, wir vermitteln.

Der SolarWinds-Vorfall

Im Dezember 2020 wurde ein sogenannter Supply-Chain-Angriff bekannt, in dessen Zuge Angreifer Software des Herstellers SolarWinds dergestalt manipuliert hatten, dass die Schadsoftware des Angreifers mit Produkten von SolarWinds ausgeliefert wurde. Hat bzw. hätte seculution Application Whitelisting diese Angriffe verhindert?

Ja und nein. Faktisch ja, denn die SolarWinds Produkte waren nicht Bestandteil unserer TrustLevel-Datenbank und damit nicht von uns als vertrauenswürdig klassifiziert. seculution hätte die Ausführung blockiert.

In der Praxis kann man jedoch Zweifel daran haben, dass dies im weiteren Verlauf des Vorgehens eines Administrators Stand gehalten hätte. Der Angriff auf SolarWinds erfolgte im März 2020, bis Dezember 2020 blieb der Angriff komplett unentdeckt. Ein Admin hätte sich in diesem Zeitraum vermutlich die Software einfach selbst in seiner Whitelist eingetragen, da es keine Indikatoren gab, anhand derer ein Admin einen Zweifel an der Vertrauenswürdigkeit der Software hätte ableiten können. Die Software stammte aus einer Quelle, die grundsätzlich als vertrauenswürdig einzustufen war, kein Virenscanner hat die Software als schadhaft erkannt. Auch die TrustLevel-Datenbank von seculution hat sie daher als “neutral” eingestuft und eine Ausführung zwar verboten (nur als “gut” bekannte Software erhält in der TLDB einen positiven TrustLevel, “neutral” reicht nicht automatisch), aber eben auch nicht als “schadhaft” eingestuft, da auch dafür keine Indikatoren vorlagen.

Abgrenzung zu Virenscannern

These: Virenscanner sind gar nicht so schlecht.

Tatsächlich ist die Wirkung von Virenscannern gegen bereits bekannte Schadsoftware unumstritten. Ebenso unumstritten ist aber auch die Wirkungslosigkeit von Virenscannern gegen neue, noch unbekannte Schadsoftware. Die oft von Marketing-Abteilungen behauptete Wirksamkeit von Virenscannern (“jetzt mit Technik XY”) gegen noch unbekannte Schadsoftware ist tausendfach widerlegt. Prominentes Beispiel ist der SolarWinds-Fall: Der Angriff startete März 2020 und blieb bis Ende Dezember 2020 von ausnahmslos allen Virenscannern unentdeckt, unabhängig davon, mit welchen Techniken der jeweilige Virenscanner arbeitete. Erst, nachdem der Angriff aufgedeckt wurde, haben die Virenscanner ihre Signaturen aktualisiert und dann wurde die Schadsoftware auch entdeckt. Der Fakt, dass jeden Tag mehr als 1.000 Computer erfolgreich von Schadsoftware befallen werden, obwohl sie einen aktuellen Virenscanner im Einsatz haben, widerlegt die Behauptung der angeblichen Wirksamkeit von Virenscannern gegen noch unbekannte Schadsoftware.

These: Virenscanner führen eine verhaltensbasierte Analyse durch.

Auch die verhaltensbasierte Analyse bringt keine Besserung, da diese ebenfalls auf Pattern basiert. Angreifer testen und ändern ihre Schadsoftware so lange gegen die Virenscanner, bis diese nicht mehr anschlagen. Erst dann wird die Schadsoftware auf die Opfer losgelassen. Es spielt also keine Rolle, ob die Signatur-Aktualisierungen von Virenscannern heute auch Verhaltens-Pattern aktualisieren. Tatsache ist, dass alle Virenscanner-Produkte, ob mit oder ohne Techniken wie verhaltensbasierter Analyse, stetige Updates benötigen, um die neuesten Angriffe zu kennen. Im Zweifel erfolgt diese Aktualisierung zu spät.

These: seculution kann nur ein Baustein sein.

Das sehen wir auch so. Aber es ist gerade die Zuverlässigkeit der einzelnen Bausteine des gesamten Sicherheitskonzeptes, die den Unterschied ausmacht. Und hier liegt der riesige Vorteil von Application Whitelisting gegenüber Virenscanner-Produkten: seculution Application Whitelisting ist zuverlässig.

Stimmt es, dass man beim Einsatz von seculution Application Whitelisting nie wieder ein Virenschutz-Programm benötigt?

Das stimmt. Natürlich müssen Sie als Neukunde zunächst Vertrauen zur Wirksamkeit von seculution Application Whitelisting aufbauen. Es spricht also nichts dagegen, dass Sie Ihren Virenscanner weiter benutzen, bis sich Ihr Vertrauen zu seculution Application Whitelisting so weit gefestigt hat, dass Sie den Virenscanner deinstallieren können.

Die TrustLevel-Datenbank

Was passiert mit Software, die nicht in der TrustLevel-Datenbank aufgeführt ist?

Die Daten in der TLDB stammen aus verschiedenen Quellen. Teile sind manuell durch Personal der SecuLution GmbH gepflegte Einträge, ein Großteil stammt von unseren Crawlern, die automatisiert Software aus den Quellen vertrauenswürdiger Hersteller beziehen und analysieren. Darüber hinaus werden Verfahren verwendet, die man heute unter dem Begriff “big data” zusammenfasst. Zu letzterem gehört auch eine Analyse der Erkenntnisse von VirusTotal. Findet das in der TLDB verwendete Analyseverfahren weder genug Indizien für eine “gute” Software (= seculution weiß, dass die Software gut ist), noch für eine “schadhafte” Software (z.B. VirusTotal erkennt die Software als schadhaft), liefert die TLDB einen “neutralen” Wert zurück.

Was sollte ein Admin tun, wenn die fragliche Software von der TrustLevel-Datenbank einen neutralen TrustLevel erhält?

Zunächst ist wichtig zu betonen, dass die Ergebnisse der TLDB bereits die Informationen von Quellen wie VirusTotal mit einbeziehen. Sollte also eine Software als “schadhaft” bekannt sein, wird dies in seculution Application Whitelisting entsprechend gemeldet. Bei Software, für die wir keinen positiven, sondern nur einen neutralen TrustLevel aussprechen, empfehlen wir dem Admin sicherzustellen, ob er der Quelle vertraut, aus der er die Software bezogen hat. Dies ist kein ungewöhnliches Vorgehen, fast jedes Unternehmen verwendet branchenspezifische Spezial-Software, für die die seculution TLDB naturgemäß keinen guten TrustLevel zurückliefern kann. Aber der zuständige Admin kennt die von ihm eingesetzte Spezial-Software und kann Software, deren Vertrauenswürdigkeit er für sich positiv beschieden hat, selbst seiner eigenen Whitelist hinzufügen. Am Ende bleibt jeder Admin Herr über seine Whitelist und seculution schreibt nicht vor, wem der Admin sein Vertrauen aussprechen darf und wem nicht.

Gibt es eine Schnittstelle für Third-Party-Produkte?

Die seculution TrustLevel-Datenbank bietet keine API für Third-Party-Produkte an.

Technische Fragen

[Funktionsweise] Wie genau funktioniert seculution Application Whitelisting?

Auf jedem Windows Client läuft der seculution Agent, der die Ausführung von Code überwacht. Der Agent verbindet sich mit der im Netz des Kunden stehenden Appliance, die auch die Whitelist der erlaubten Hashes hält. Diese Appliance wendet sich beim Versuch, eine Software zu starten, die auf der lokalen Whitelist des Kunden noch nicht bekannt ist, an die TrustLevel-Datenbank (TLDB), um von dort den TrustLevel der fraglichen Software zu erfragen. Ist der TrustLevel positiv, wird die Software automatisch gelernt und der Datenbank hinzugefügt. Die TLDB steht in der Cloud und wird von Mitarbeitern der SecuLution GmbH gepflegt.

[Hashes] Wovon werden die Hashes erstellt? Was genau wird geprüft?

Jeder auszuführender Code (also z.B. .exe, .dll, .sys usw.) benötigt RAM Speicher, der vom Kernel verwaltet wird. Bei der Reservierung dieses Speichers greift der seculution Agent ein und identifiziert den Code, erstellt den Hash von diesem Code und prüft ihn gegen die Whitelist.

[Hashes] Ist das Hash-Verfahren sicher? Kann der Hash gefälscht werden?

Die verwendeten Verfahren zur Identifizierung von Software basieren auf kryptografisch nach dem Stand der Technik als sicher geltenden Hashes. Es ist daher nicht möglich, eine Schadsoftware zu erstellen, die den gleichen Hash hat wie eine bereits auf der Whitelist vorhandene Software (sogenannter “Pre-Image-Angriff”).

[Scripte] Schützt seculution Application Whitelisting auch vor Schadsoftware in Scripten wie Word- oder Excel-Makros?

VBS (z.B. Word-Makro) Schadsoftware bringt eine PayLoad mit, die von seculution erkannt und geblockt wird. Die PowerShell ist jedoch eine Windows-Komponente, die an sich vertrauenswürdig ist, aber aufgrund ihrer Mächtigkeit grundsätzlich für schadhafte Zwecke missbraucht werden kann. Wir empfehlen daher, innerhalb von seculution die Ausführung von PowerShell auf Benutzergruppen zu beschränken, für die dies auch wirklich unverzichtbar ist.

[Performance] Wie viel Zeit benötigt der Abgleich eines Hashes?

Die Verzögerung beträgt bei bekannten Hashes < 30 Millisekunden, sowie einmalig bei einer Abfrage eines noch unbekannten Hashes an die TrustLevel-Datenbank < 2 Sekunden. Sie ist damit technisch messbar, aber vom Benutzer subjektiv nicht spürbar.

[Produktsicherheit] Wird auch Software geprüft, die bereits auf dem Rechner ist? Kann die Prüfung umgangen werden?

Auch bereits installierter Code wird vor jeder Ausführung jedes Mal neu geprüft. Damit werden auch Veränderungen von Software auf der HD erkannt und zuverlässig blockiert. Die Stelle der Prüfung ist der Moment, in dem der Kernel RAM für die Ausführung von Code alloziert. Eine Ausführung von Code ist grundsätzlich nicht möglich, ohne dass RAM dazu zugewiesen wird.

[Produktsicherheit] Ist die Kommunikation der seculution-Komponenten untereinander verschlüsselt?

Jegliche Kommunikation der seculution-Komponenten untereinander ist selbstverständlich verschlüsselt und über Zertifikate authentifiziert.

[Produktsicherheit] Sind die seculution-Komponenten gegen Manipulation geschützt?

Wir haben zuverlässige Maßnahmen getroffen, die eine Kompromittierung unserer TrustLevel-Datenbank verhindern. Darunter fällt etwa ein ständiger bidirektionaler Abgleich mit den Master-Datenbanken in unserer Fachabteilung. Ein Angriff müsste also auf alle unsere internen und externen Server zeitgleich erfolgreich sein, was in höchstem Maße unwahrscheinlich ist.

[Produktsicherheit] Wird die korrekte Ausführung des Agents überwacht?

Auf jedem Client läuft ein seculution Agent. Dieser wird mehrfach überwacht: Ein lokaler Watchdog prüft die korrekte Ausführung und die Management-Konsole protokolliert, wenn sich Agents unerwartet nicht mehr melden.

Förderung

seculution Application Whitelisting ist als IT-Sicherheits-Maßnahme förderfähig - wer kann von der Förderung profitieren?

Es gibt verschiedene Förderprogramme für unterschiedliche Zielgruppen. Wir helfen Ihnen, die für Sie passende Maßnahme zu finden. Kontaktieren Sie uns.

Sonstige Fragen

Bietet seculution Application Whitelisting die Möglichkeit des Freischaltens von Hashes mittels Vier-Augen-Prinzip?

Dies ist möglich, aber nicht erzwungen.

Kann mit seculution auch die Drucker-Infrastruktur geschützt werden?

seculution Application Whitelisting läuft nur auf Windows-Systemen und kann nicht auf Druckern installiert werden.