R. Bücker - EDV-Beratung Datentechnik GmbH

Conficker, Stuxnet und andere haben es gezeigt, in der Regel erfolgt jede Reaktion zu spät - mit Aveticon nicht mehr!

Als EDV-Beratungsunternehmen und Spezialist für IT-Sicherheitslösungen haben wir mit unterschiedlichsten Unternehmen über Virenschutz-Strategien und Netzwerkzugangskontrolle sowie viele weitere Themen gesprochen. Dass die bisherigen Maßnahmen zwar bereits sehr umfassend sind, jedoch in manchen Situationen nicht oder nur spät greifen, hat sich dabei in vielen unserer Gespräche und Analysen gezeigt.

Natürlich kann man sagen, wenn regelmäßig gepatcht wird, der Scanner aktuell ist und zusätzliche Technologien wie Desktop Firewall, Host Intrusion Prevention oder Application Control eingesetzt werden, ist ausreichender Schutz vorhanden. In der Regel ist der Aufwand, all diese Systeme zu managen und aktuell zu halten jedoch so groß, dass nicht alles eingesetzt oder die Pflege vernachlässigt wird. Neue oder modifizierte Schädlinge können dadurch vom VirenScanner nicht immer gehändelt werden.

Naheliegend war dann natürlich, eine Lösung zu schaffen, die automatisch reagiert, wenn der VirenScanner einer Bedrohung einmal nicht mehr Herr werden kann. Aufgrund unserer Erfahrung war der logische Schluss, eine Kombination der bestehenden Lösungen anzustreben, die vorhandene Informationen nutzt und eine automatische und effektive Maßnahme trifft. Wenn der Virenscanner auf einem Endgerät meldet, dass das System verseucht ist, möchte man das betreffende System möglichst schnell finden und isolieren, um händisch eingreifen zu können.

Genau das erreichen wir durch den Einsatz und die Kombination mit der NAC-Lösung macmon. Eine Netzwerkzugangskontrolle, die in der Lage ist, Systeme physikalisch vom Netzwerk zu trennen oder in ein separates V-LAN zu verweisen, indem der genutzte Switchport abgeschaltet oder umkonfiguriert wird.

Voraussetzung für den Einsatz von Aveticon sind zudem ein kombinierbares AntiVirus System und SNMP-fähige Switche. Aufgrund der unterschiedlichen Systeme sind auch unterschiedliche Ereignisse sichtbar. So bietet die Kombination mit McAfee z.B. zusätzlich die Möglichkeit auf "Angriffe" zu reagieren. Versucht ein System (egal ob ein eigenes oder ein fremdes) eine MalWare auf eines Ihrer Systeme zu kopieren, so wird dies als Angriff protokolliert. Durch diese Information kann Aveticon reagieren und das "angreifende" Endgerät endsprechend behandeln.

Grundsätzliche Situationen:

• Objekt konnte nicht gesäubert und nicht gelöscht werden
• Eine MalWare wurde innerhalb einer bestimmten Zeitspanne eine definierte Menge mal entfernt
• Eine bestimmte MalWare (definierbar) wurde entdeckt

„Wenn der Virenschutz alleine nicht mehr klar kommt, können wir das gefährliche System isolieren und säubern, bevor es andere infiziert – und das schneller als es vorher jemals möglich gewesen wäre!"

Die wichtigsten Vorteile des Systems liegen auf der Hand:

• Schnellstmögliche Isolation von Infektionsquellen
• Umgehende Benachrichtigung über die Maßnahme
• Genaue Beschreibung des Endgerätes (Name, Ort, etc.) durch das stets aktuelle Bestandsmanagement von macmon
• Entspannte Säuberung und wieder Inbetriebnahme des betroffenen Systems, durch die automatische Eliminierung der Bedrohung

Aveticon selbst hat nahezu keine technischen Anforderungen. Es wird auf einem Windows Betriebssystem installiert und kann auf einem eigenen System, dem SQL-Server oder dem AntiVirus Server mit laufen.