Die Guten, die Bösen und die Unbekannten

Whitepaper
Die Guten, die Bösen und die
Unbekannten
Weniger Risiko durch nicht autorisierte Anwendungen,
wirksamere Endgeräteüberwachung und dauerhafter Erfolg
Whitepaper
Die Guten, die Bösen und die Unbekannten
Inhaltsverzeichnis
Kurzfassung
3
Einführung
3
Schwarze Listen für bösartige Elemente
3
Der ausgezeichnete Ruf von weißen Listen
Ein paar Risse im Podest
4
4
Unpraktikable Gesamtbetriebskosten 4
Zu arbeitsintensive Skalierung 4
Schwacher Schutz während der Ausführung 5
Whitelisting wirksam gemacht Flexibel, kostengünstig und sicher 5
5
Von statischem zu dynamischem Whitelisting 5
Automatisiertes Inventar 6
Umfassender Code-Schutz 6
Effizientes, für Unternehmen entwickeltes Update-Konzept 6
Leichteres Patching ohne Sicherheitskompromisse 7
Optimierte Endgerätesicherheit 8
Erste Schritte 8
Informationen zu McAfee, Inc. 9
Whitepaper
Die Guten, die Bösen und die Unbekannten
Kurzfassung
IT-Mitarbeiter haben heute immer weniger Zeit, Patches zu erstellen, infizierte oder beschädigte Systeme
wiederherzustellen und Sicherheitsstandards für zögerliche Anwender und Feldsysteme festzulegen.
Stattdessen verlangen sie nach praktischeren Methoden zur Steuerung und Sicherung der auf ihren Systemen
betriebenen Software.
McAfee® Application Control bietet Unternehmen eine wirksame Möglichkeit, nicht autorisierte Software
zu blockieren und autorisierte zu schützen. Statt einfacher Whitelists verwendet es ein dynamisches
Vertrauensmodell und begnügt sich mit dem begrenzten Platz von Geräten mit fester Aufgabe. Zur zusätzlichen
Sicherheit schützt es genehmigte Anwendungen vor Manipulationen während der Ausführung. Die McAfee®
ePolicy Orchestrator® (McAfee ePO™) Software-Integration macht es Ihnen einfach, Ihre Sicherheitsinvestition
auszubauen und McAfee Application Control zu Ihrer Infrastruktur hinzuzufügen. Mit einem einzigen Agenten
lässt sich die Endgerätesicherheit leicht bereitstellen, konfigurieren und verwalten. Die Konsolidierung des
Sicherheits-Managements bedeutet nicht nur weniger Probleme, sondern auch erhebliche IT-Kosteneinsparungen.
Da Unternehmen heute einer wahren Welle unbekannter Software aus dem Internet und einer stark
zunehmenden Patch-Dringlichkeit ausgesetzt sind, erweitert diese zentral verwaltete Lösung die
Sicherheitsstrategie Ihres Systems um eine zeitnahe Kontrolle, die an die Flexibilität, Skalierbarkeit und
operativen Bedürfnisse der Unternehmen angepasst ist.
Einführung
Welcher Software können Sie vertrauen? Es gibt viele Vorteile von Web 2.0-Technologien, die eine schnelle
Entwicklung der von Anwendern eingestellten Inhalte und Applets ermöglichen – sie bringen aber auch
Risiken mit sich: schwach gesicherte oder vorsätzlich bösartige Software in Form von JavaScript, ActiveX,
Videos, Filesharing-Software, Spam, Open Source und Google Docs. Woher wissen Sie, ob dieser unbekannte,
nicht überprüfte Code gut oder schlecht ist? Und ist es bis dahin sicherer, alles zu blockieren oder passieren zu
lassen? Haben Sie heute Glück? Um die potentiellen Risiken des Unbekannten zu begrenzen, möchten viele
Unternehmen die Konfigurationen von Laptops, Desktops und Servern sperren.
Hinzu kommen Schwachstellen, die endlose Patch-Zyklen erfordern, oft gegen Schwachpunkte, die von diesen
spannenden Web 2.0-Technologien offengelegt werden. Schlimmer als ein Notfall-Sicherheitspatch ist nur
der Fall, dass keines verfügbar ist, wenn sie es brauchen. Diese Situation liegt vor, wenn Ihr Unternehmen
von einer Microsoft Windows 2000- oder Microsoft Windows NT-Anwendung abhängt und Microsoft keine
Sicherheitspatches veröffentlicht.
Schließlich gibt es Systeme mit festen Aufgaben: Kassenterminals (POS), Geldautomaten, medizinische Geräte,
Kiosks und Mobilgeräte. Diese Systeme haben keinen Raum für Sicherheits-Software, die für die relativ großzügigen
Ressourcen des Standard-Desktops oder Laptops vorgesehen ist und gewährleisten auch nicht die für zuverlässige
Signatur-Updates erforderlichen Verbindungen. Trotzdem müssen sie vor Malware und Hacker geschützt werden.
Jede Offline-Minute kostet ein Unternehmen Umsätze, Kundenvertrauen und Mitarbeiterproduktivität.
Aus all diesen Gründen erwarten immer mehr Unternehmen von der IT-Technik die Konzipierung und
Umsetzung wirksamer Anwendungs-Sicherheitskontrollen für Systeme von Kiosks bis hin zu vorhandenen
Microsoft Windows NT4-Systemen. Dies bedeutet, regelmäßig und mit Augenmaß die bekannten Pluspunkte
zu nutzen, die bekannten Minuspunkte auszuschließen und mit dem Neuen und Unbekannten umzugehen.
Die meisten IT-Organisationen erreichen dieses Ziel durch einen Technologie-Mix einschließlich schwarzer Listen,
Verhaltensanalyse und weißer Listen, der bestehende Lösungen mit gezieltem Schutz unterstützt.
Schwarze Listen für bösartige Elemente
Schwarze Listen sind ein traditionelles Sicherheitskonzept, um die bekannten Übeltäter fernzuhalten, das
mit Virenschutz und Intrusion Detection vertrauten Anwendern bekannt ist. Jede verdächtige Code-Probe
veranlasst die Freigabe einer als Signatur bezeichneten Schutzdatei, die das Sicherheitsprodukt anweist, dieses
Bild bei Auftreten zu blockieren oder auf eine schwarze Liste zu setzen.
Schwarze Listen sind zwar ein wirksames Konzept, aber für die gesamte Malware von heute nicht
leistungsfähig genug. Der Zeitraum zwischen der Freisetzung von bösartigem Code und der Veröffentlichung
einer getesteten Signatur dagegen ist zu groß. Dies liegt daran, dass Web- und E-Mail-Inhalte sich zu schnell
ändern und bösartige Inhalte in zu großen Mengen anliegen. Mitte 2009 haben die Sicherheitsforscher von
McAfee täglich mehr als 6.000 neue Malware-Proben entdeckt und für den weiteren Verlauf des Jahres 2009
eine Verdoppelung der jährlichen Malware-Volumen prognostiziert.
3
Whitepaper
Die Guten, die Bösen und die Unbekannten
3,0 Mio. (erwartet)
3.000.000
Über 1,5 Millionen Malware-Erkennungen
im Jahr 2008, gegenüber 272.000 im
Jahr 2007.
Anzahl der Bedrohungen
2.400.000
1.800.000
80 Prozent der Malware ist mit Packern
und Komprimierungstechnologien
verschleiert.
1,5 Mio.
375 Prozent Zuwachs bei Passwortdiebstählen
und 20 Prozent mehr Schwachstellen.
1.200.000
Quelle: McAfee® Labs™
600.000
271.197
78.381
0
2006
2007
2008
2009
Abbildung 1. Internetkriminelle verwenden Techniken mit einmaliger Nutzung und mehrere Zugangspunkte, um ihre
Erfolgschancen zu vergrößern.
Darum haben Firmen wie McAfee das Blacklisting durch Echtzeit-Analysetechniken verstärkt, die Verhalten,
Reputation und Threat Correlation miteinbeziehen, um unbekannte Risiken aufzudecken und zu reduzieren.
Darüber hinaus haben wir diese Techniken um Anwendungs-Whitelists erweitert, die guten Code aktiv
schützen helfen.1
Der ausgezeichnete Ruf von weißen Listen
Whitelisting beschränkt den Download oder die Ausführung von Inhalten auf vertrauenswürdige
Anwendungen. Innerhalb eines Systems können weiße Listen auf Anwendungsebene Ordnung durch einfache,
passive Definition von guten, autorisierten Anwendungen schaffen. Wenn die Kontrollen aktiv sind, kann sonst
nichts ausgeführt werden, so dass das Potential für Beschädigungen oder Beeinträchtigungen begrenzt wird.
Diese Technik reduziert die Variablen, über die ein Administrator nachdenken muss und ist besonders hilfreich
für geschäftskritische Server, Feld- und Legacy-Systeme. Diese Systeme verfügen möglicherweise über keine
freien Computerressourcen oder keinen Speicherplatz zur Ausführung von On-Access-Scans, haben eventuell
keine garantierte Konnektivität für laufende DAT-Updates oder verfügen einfach über robuste Konfigurationen,
die Sie nicht ändern oder durch Sicherheits-Software verlangsamen möchten.
Ein paar Risse im Podest
Bei allen Stärken sind einige Whitelisting-Implementierungen jedoch auch gewissen Einschränkungen unterworfen.
Unpraktikable Gesamtbetriebskosten
Betriebsabläufe bereiten die meisten Kopfschmerzen. Die Absicherung eines einzigen sehr spezifischen
Systems scheint möglich zu sein. Leider gibt es in der Realität keine einzelne weiße Liste, die die Bedürfnisse
und Konfigurationen aller Benutzer, Anwendungen, Geräte und Server abdeckt. Jemand muss die genehmigte
Regeldatenbank für jede der zahlreichen für ein Unternehmen typischen Konfigurationen definieren und
aktuell halten.
Zu arbeitsintensive Skalierung
Für jede Systemkonfiguration müssen Unternehmen auch mehrere Quellen laufender legitimer Änderungen
ermöglichen. Dabei kann es sich um Patch-Downloads von einem Dateiserver handeln, Anforderungen für
neue Anwendungen von Benutzerseite oder Aktualisierungen von zugelassenen Geschäftspartnern. Jede neue
Anwendung oder scheinbar berechtigte Ausnahme erfordert einen Genehmigungsprozess und eine manuelle
Änderung an der Datenbank der autorisierten Software. Wird eine dieser Anforderungen vom Administrator
abgelehnt oder fälschlicherweise durch Whitelisting-Software blockiert, verbreitet oder startet der Benutzer eine
kostspielige HelpDesk-Anfrage oder legt eine Fertigungslinie still.
1. Siehe Hier lernen, dort schützen für weitere Informationen zu McAfee Global Threat Intelligence.
4
Whitepaper
Die Guten, die Bösen und die Unbekannten
Bei immer mehr genehmigten weißen Listen kann die Gesamtressourcenbelastung irgendwann untragbar
werden. Diese fehlende Skalierbarkeit ist vielleicht der Hauptgrund, warum das bereits seit Jahren bekannte
Konzept des Whitelisting noch keine breite Anwendung in Unternehmen gefunden hat.
Schwacher Schutz während der Ausführung
Bisher haben wir über betriebliche Anforderungen gesprochen. Es sind jedoch auch Sicherheitsfragen zu
berücksichtigen. So kann zum Beispiel ein Whitelisting-Konzept, Microsoft Windows-Gruppenrichtlinien, die
Ausführung von Anwendungen begrenzen, aber es greift nicht mehr ein, sobald die Anwendung genehmigt ist.
Test auf Sicherheit: Der Browser generell
Diese Freiheit wird zu einem Sicherheitsproblem, wenn eine genehmigte Internet Explorer-Sitzung eine
Webseite besucht, die Malware in Form eines infizierten JPEG-Bilds oder ActiveX-Steuerelements enthält.
Dieser böswillige Code kann während der Ausführung des Browsers den Systemspeicher manipulieren,
was Pufferüberlauf, Berechtigungseskalation oder die Installation von nicht autorisiertem Code wie einem
Keylogger zur Folge haben kann. Solche Sicherheitsangriffe auf Browser stellen ein Risiko für das System
und seine Daten, Verfügbarkeit sowie zugänglichen Ressourcen dar, was geregelte Kundendaten, geschützte
Produktinformationen und kritische Anwendungen gefährdet.
Zusätzlich können autorisierte Benutzer Anwendungen ausführen, die in für sie zugängliche Verzeichnisse
abgelegt sind, auch wenn diese Anwendungen für ihre speziellen Rechner nicht genehmigt sind. Bei dieser
Sicherheitslücke besteht die Möglichkeit eines gezielten Angriffs oder dass vertrauliche Daten kopiert und
eingefügt, per E-Mail versandt oder auf eine sonstige Weise aus Ihrem Unternehmen entwendet werden.
Vollständigkeit des Schutzkonzepts
Traditionelle Whitelisting-Anwendungen decken nur ausführbare Dateien (EXEs) und Dynamic Link Libraries
(DLL) ab, doch wie sieht es mit Java, ActiveX-Steuerelementen, Skripten und speziellem Code wie Treibern und
Kernel-Komponenten aus? Zahlreiche Anwendungen werden in Java-Komponenten ausgeführt, daher können
Sie nicht einfach Java zulassen und sich dann in Sicherheit wiegen. Skripte - Stapeldateien, JavaScript, PERL und
VB-Skripte - sind besonders problematisch, da sie eine so leistungsfähige Anwendung wie eine traditionelle
Ausführungsdatei ohne entsprechende Programmierfähigkeiten bereitstellen können. Wenn Sie keine Kontrolle
über diese Arten von Code haben, sind Sie nicht vor gängigen Problemen wie Rootkits und Keyloggern
geschützt. Weiße Listen sind nur dann zuverlässig, wenn alle Code-Elemente Berücksichtigung finden.
Whitelisting wirksam gemacht
Betriebliche und Sicherheitsfragen sind gleich wichtig, die Erfahrung zeigt, dass beides eine Lösung zu
ungenutzter Software verkommen lassen kann. Im Rahmen der Erweiterung der Sicherheits- und ComplianceProdukte von McAfee für Systeme sind wir zu der Überzeugung gekommen, dass Whitelisting seine Vorteile
hat – und wir haben eine Möglichkeit gefunden, dieses Konzept praktikabel zu machen.
Flexibel, kostengünstig und sicher
Unser Ansatz ist der überlegene. Über das Standardmodell weißer Listen hinaus, nur bestimmte Anwendungen
ausführen zu lassen, verwaltet McAfee Application Control weiße Listen dynamisch, um sie praxisgerechter
zu gestalten. Im Interesse einer größeren Sicherheit werden zugelassene Anwendungen vor Beschädigungen
geschützt, und nur der autorisierten Anwendung wird gestattet, Änderungen vorzunehmen, so dass die
Integrität des Servers gewahrt bleibt.
Von statischem zu dynamischem Whitelisting
Der vielleicht größte Unterschied zwischen unserem Whitelisting-Modell und traditionellen Ansätzen ist der
Vertrauensparameter. Durch Vertrauen können wir den Betriebsaufwand viel besser in den Griff bekommen.
Wie bereits dargelegt, wird ein Administrator, der statische Listen unterhält, bald zum Engpass im betrieblichen
Ablauf. Unser dynamisches Whitelisting-Konzept lässt Administratoren die Steuerung überblicken, ohne dass
ihnen die damit verbundenen Effizienzmängel über den Kopf wachsen.
5
Whitepaper
Die Guten, die Bösen und die Unbekannten
Automatisiertes Inventar
Die ersten betrieblichen Einsparungen werden bei der Einrichtung erzielt. McAfee Application Control entdeckt
automatisch die gesamte auf einem System ausgeführte Software und richtet ein Basislinien-Systeminventar
ein. Der Administrator kann dort beginnen oder diese Anwendungen überprüfen und die Kontrolle durch
Optimierung der Liste zugelassener Anwendungen verfeinern. Mit diesem Ansatz fällt es leicht, mehrere
Konfigurationen für verschiedene betriebliche Anforderungen zu unterstützen: Kassenterminals, Back-OfficeServer und mehrere Desktop-Abbilder für verschiedene Benutzerprofile.
Umfassender Code-Schutz
Einmal aktiv, sperrt McAfee Application Control die Systemkonfiguration auf einer detaillierten Ebene, so
dass keine nicht autorisierte Anwendung oder Malware ausgeführt werden kann - ob Binärcodes, KernelKomponenten, DLLs, ActiveX, Skripte oder Java-Komponenten.
Effizientes, für Unternehmen entwickeltes Update-Konzept
Die zweite Klasse von Einsparungen entspringt einem Vertrauensmodell, das die laufende Wartung minimiert.
Der autorisierte Administrator definiert vertrauenswürdige Aktualisierungsquellen - einschließlich befugter
Benutzer, Herausgeber von Anwendungen und Dateiserver - und richtet kombinierende sowie anpassende
Beziehungen zwischen diesen ein. Durch Autorisierung eines vertrauenswürdigen Dateiservers könnte
zum Beispiel ein kontrolliertes System ohne einen zusätzlichen Genehmigungsschritt Anwendungs-Patches
von einem zentralisierten System herunterladen. Alternativ könnte ein vertrauenswürdiger Benutzer eine
vertrauenswürdige Klasse von Anwendungen von einem vertrauenswürdigen Herausgeber herunterladen,
installieren oder ausführen. Oder eine autorisierte Tivoli-Anwendung könnte die Anwendungen im System
aktualisieren. Der Administrator stellt keinen Engpass im Betriebsablauf mehr dar.
1. Autorisiertes Benutzer-Update
2. Autorisierte Administratoren
Unternehmenskonsole
3. Autorisierte Agenten von Drittanbietern, z. B. Tivoli, SMS
Sichere
Signal-Updates
Abbildung 2. Indem nur Änderungen von autorisierten Quellen akzeptiert werden, unterstützt McAfee Application
Control flexible Richtlinien ohne die Belastung einer manuellen Listenverwaltung.
Von diesem Punkt an regelt das im lokalen System gespeicherte Vertrauensmodell jegliche Änderungen.
Es ermöglicht dem Administrator, sich auf andere Aufgaben als der Optimierung von Whitelist-Konfigurationen
zu konzentrieren.
Flexible, vertrauenswürdige Konfigurationen
Unser Modell beruht nicht auf blindem Vertrauen. Eine Prüfsummenfunktion kann sicherstellen, dass der
installierte Code der gleiche ist, der sich auch auf dem Server befunden hat. Signierte Zertifikate validieren
Änderungen von der Herausgeberseite. Für zusätzliches Vertrauen sorgt eine Checkliste mit "zugelassenen
Konfigurationen" an einem separaten Speicherort, so dass das sich ändernde System eine eigene
Gegenprüfung anhand einer Masterliste durchführen kann. Es könnte beispielsweise Inhalte aus einem
autorisierten Backup-Verzeichnis blockieren, wenn eine Prüfsumme fehlschlägt.
6
Whitepaper
Die Guten, die Bösen und die Unbekannten
Abbildabweichung
McAfee Application Control kann auch Systeme entdecken, die vom gewünschten Standard abweichen. Zeigt
z. B. ein E-Mail-Server an einem Remote-Standort ein Fehlverhalten, kann das Abbild auf diesem System mit der
Masterliste verglichen werden, um Änderungen jeglicher Art aufzufinden, und der Administrator wäre dann in
der Lage, einen geeigneten Prozess zur Aktualisierung dieses Rechners zu initiieren. Dieses Merkmal hält Benutzer
mit physischem oder Remote-Zugriff davon ab, Sicherheitskontrollen zu übergehen. Bei Bedarf hilft zentrales
Reporting den IT-Technikern bei der Dokumentation des Status von verteilten Systemen, etwa bei Audits.
Speicherschutz während der Ausführung
Diese dynamische Kontrolle der Konfiguration gewährleistet die Integrität der Anwendung, während Sie
auf der Festplatte gespeichert ist. Wir haben auch für zusätzliche Sicherheit in Form eines sogenannten
Speicherschutzes gesorgt, um das System und seine Anwendungen im Betrieb zu schützen. Wir überwachen
Schreibvorgänge in den Speicher und blockieren jeglichen nicht autorisierten Schreibversuch in den Speicher.
Mit dieser Funktion wird sichergestellt, dass kein Code vom beschreibbaren Teil des Arbeitsspeichers
ausgeführt werden kann, was eine häufige Taktik von Exploits ist.
Sicherheitsproblem gelöst: Der Browser unter Kontrolle
Um noch einmal auf das Internet Explorer-Beispiel zurückzukommen, so würden wir mit Malware anders
umgehen. Bei der Einrichtung würden Sie Ihre vertrauenswürdige Konfiguration so definieren, dass sie zulässige
Internet Explorer-Versionen und zulässige Plugins wie DLL oder ActiveX-Steuerung umfasst sowie Definitionen,
welche Arten von Inhalten der Browser laden kann. Sie können dem Browser von der vertrauenswürdigen
Konfiguration aus ausführen, aber nicht ändern lassen. Ein Versuch von Malware, den Browser im Betrieb zu
manipulieren, würde fehlschlagen, so dass der Browser als Mittel für Angriffe nicht mehr in Frage kommt.
Längere Lebensdauer von Legacy-Systemen
Einer der größten Vorteile von McAfee Application Control besteht darin, dass Sie den Lebenszyklus wichtiger
Systeme verlängern können: Anstatt ältere Produkte und Geräte außer Betrieb zu nehmen, können Sie deren
Konfigurationen sperren und einige weitere Jahre mit Gewinn nutzen.
Whitelisting blockiert Änderungen, die sich auf die Systemverfügbarkeit oder Datenintegrität auswirken
können. Durch Einfrieren zugelassener Konfigurationen können Sie auch die mit einem Patching dieser
Systeme verbundenen Probleme und den entsprechenden Aufwand vermeiden. Tritt eine neue Schwachstelle
hervor, kann diese von Kriminellen auf Ihren Rechnern und Geräten nicht ausgenutzt werden. Die Anwendung
und das Betriebssystem können nicht manipuliert werden, solange sie im Speicher ausgeführt werden oder
sich auf der Festplatte befinden. Dieser Sicherheitsvorteil wird umso wertvoller, je weniger Ihre alten Systeme
von den Anbietern unterstützt werden.
Schutz von kritischen Systemen, Feldeinheiten und Geräten mit fester Aufgabe
Unser transparentes Modell ist hinreichend kompakt für kleine Geräte mit fester Funktion und benötigt
weniger als 10 MB RAM sowie minimale CPU-Leistung. Es ist außerdem einfach - Listenverwaltung oder
Updates sind nicht erforderlich - so dass wir ein breites Spektrum von Arbeitsumgebungen unterstützen
können. Dazu gehören SCADA-Systeme (Supervisory Control and Data Acquisition), medizinische Geräte,
Kassenterminals, Kiosks, Geldautomaten und manches mehr. Das Modell funktioniert in komplexen Netzwerkund Firewall-Konfigurationen und ist somit geeignet für spezielle Einstellungen wie für die Produktion sowie
kritische Infrastruktur.
Zentrale Verwaltung: ja, nein, vielleicht
Im Unterschied zu Systemen, die Bedrohungs- und Listen-Updates für einen präzisen Betrieb benötigen,
funktioniert McAfee Application Control genauso gut im Standalone-Modus ohne Netzwerkzugriff. Durch
diese Flexibilität ist das System ideal geeignet zum Sichern von Feldsystemen und Mobilgeräten. Andererseits
bieten zentrale Verwaltung und zentrales Reporting enorme Vorteile für größere, verteilte und regulierte
Organisationen, so dass McAfee Application Control Ihnen bei Bedarf beide Optionen an die Hand gibt.
Leichteres Patching ohne Sicherheitskompromisse
Transparente Integration mit Software-Verteilungsprozessen wie IBM Tivoli, Microsoft SMS, CA Unicenter
oder BMC Blade Logic bedeutet, dass wir mit bestehenden Änderungsprozessen für Server und Endgeräte
mit oder ohne Netzwerkverbindung arbeiten können. Ihre Software-Verteilungsanwendungen werden zu
autorisierten Herausgebern in Ihrem Vertrauensmodell. Wenn Patches also genehmigt und in Ihr SoftwareVerteilungssystem geladen werden, werden diese Patches automatisch auf die entsprechenden Endgeräte
verteilt. Zusätzliche Bemühungen sind nicht erforderlich.
7
Whitepaper
Die Guten, die Bösen und die Unbekannten
Optimierte Endgerätesicherheit
Ein wichtiger Grund, McAfee Application Control zu wählen besteht darin, dass es Bestandteil eines
vollständigen integrierten System-Sicherheitskonzepts ist. Durch die integrierte Sicherheits-ManagementPlattform McAfee ePolicy Orchestrator können Unternehmen die Anzahl der zur Verwaltung der
Endgerätesicherheit mit mehreren Konsolen erforderlichen IT-Manager um 44 Prozent reduzieren.2 Und die ITAbteilung profitiert von der Implementierung, Verwaltung, Berichterstellung und Aktualisierung von Agenten
und Richtlinien von einer einzigen Management-Plattform aus.
McAfee Application Control ergänzt andere System-Sicherheitstaktiken durch Verstärkung von Blacklisting und
verhaltensbasiertem Schutz. Es macht sich auch die Erfahrung von McAfee mit Unternehmensinfrastruktur
und Unternehmensprozessen zunutze, um Verwaltungskomplexität und Betriebskosten zu senken. Durch die
Zusammenarbeit mit anderen McAfee-Tools eröffnet sich Ihnen eine wichtige effiziente Kontrollebene, mit der
Sie eine perfekt abgestimmte Sicherheitsumgebung erzielen:
Den Guten vertrauen:
McAfee Application Control sorgt dafür, dass nur vertrauenswürdige Anwendungen auf Servern und
Endgeräten ausgeführt werden und ist einfach, aber gleichzeitig leistungsfähig genug, um Fixed Function-, Thin
Client-, virtuelle und ältere Systeme zu schützen, die nicht mehr durch Sicherheits-Patches unterstützt werden.
• McAfee Change Control ermöglicht Transparenz und Nachweisbarkeit durch detaillierte Dokumentation
von Systemänderungen mit dem entsprechenden Kontext und unterstützt den Nachweis der Compliance
mit einem Audit-Protokoll, um Ihnen bei der Einhaltung von gesetzlichen Bestimmungen und internen
Vorschriften zu helfen.
•
Die Bösen blockieren:
McAfee Host Intrusion Prevention (Host IPS) schirmt Ihre vertrauenswürdigen Anwendungen durch
Schutz der gesamten Runtime-Umgebung vor bekannten Schwachstellen und spezifischen Angriffen
auf den Host ab. Dazu gehören spezielle Schutzsysteme gegen gängige Server- und Datenbankangriffe
wie Verzeichniswechsel, DDoS und SQL Injection und ein Pufferüberlaufschutz durch Überwachung der
Anwendungen und Schutz von kritischen Adressbereichen.
• Viren- und Spamschutz- sowie Anti-Spyware-Lösungen von McAfee (an Endgerät, Server oder Gateway)
erfassen, bereinigen und beseitigen bekannte Malware, bevor sie einen Installationsversuch unternehmen
kann, so dass dieser Code von Ihren Anwendungen ferngehalten wird.
•
Die Unbekannten kontrollieren:
Da es Unmengen an neuen Inhalten und neuen böswilligen Codes gibt, ordnet McAfee Labs
Bedrohungsdaten von Millionen von Sensoren allen wichtigen Bedrohungsvektoren zu. McAfee Global
Threat Intelligence nutzt Verhaltens-, Reputations- und Anfälligkeitsdaten sowie die Erfahrung von
McAfee, um das Risiko von neuem, unbekannten Code einzuschätzen. Die McAfee® Artemis™-Technologie
und McAfee® TrustedSource™ liefern diese Vorgaben dann in Echtzeit an die Host-, Network Intrusion-,
Internet- und E-Mail-Sicherheits- sowie Malware-Schutzsysteme von McAfee, so dass ein aktiver und
ununterbrochener Schutz vor neuen Bedrohungen gewährleistet ist.
• McAfee Application Control gibt Ihnen eine Methode an die Hand, den ungünstigsten Fall anzunehmen und
alle unbekannten Codes zu blockieren, bis Sie sich zu ihrer Genehmigung entschließen.
•
Erste Schritte
Ob eine neue Software gut (sicher) oder bösartig (zerstörerisch) ist, können Sie zunächst einmal nur raten.
Wenn Sie das Unbekannte als gut behandeln, solange bis es sich als bösartig herausstellt, riskieren Sie
Systemausfälle oder Datenverluste sowie zusätzliche Kosten durch Patching und Service Desk-Anrufe. Gehen
Sie bis zum bewiesenen Gegenteil davon aus, dass es sich um Malware handelt, enthalten Sie Anwendern
möglicherweise nützliche Tools und Inhalte vor.
McAfee Application Control bietet eine neue, zeitnahe und praktische Systemschutzebene durch Blockierung
nicht autorisierter Anwendungen. Dabei werden einige Vorteile des Whitelisting genutzt, aber die mit
dieser Technologie einhergehenden betrieblichen und Sicherheitseinschränkungen vermieden, die bisher
Unternehmen davon abgehalten haben, von diesen Vorteilen zu profitieren.
2. Insight Express, 2007
8
Whitepaper
Die Guten, die Bösen und die Unbekannten
Unsere Lösung ermöglicht Unternehmen eine aktive Kontrolle. Sie gewinnen Flexibilität und Effizienz, indem
benötigte Anwendungen zugelassen und Ihre Systeme gleichzeitig vor risikobehafteten Änderungen an den
Anwendungen selbst geschützt werden. Innovationen wie dynamisches vertrauensbasiertes Whitelisting,
Speicherschutz, Standalone-Betrieb und sehr geringe Hardware-Ansprüche ermöglichen McAfee Application
Control die Sicherung einer sehr breiten Palette von Systemen, von kleinen tragbaren bildgebenden Geräten
bis hin zu großen Datenzentren.
Endlich eine Lösung, die flexibel, kostengünstig und sicher genug für jedes IT-Team ist, das keine Lust mehr hat,
Patches zu erstellen, infizierte oder beschädigte Systeme wiederherzustellen sowie Legacy-Systeme und Geräte mit
festen Aufgaben zu verwalten: McAfee Application Control.
Informationen zu McAfee, Inc.
McAfee, Inc., mit Hauptsitz in Santa Clara, Kalifornien, ist der weltweit größte auf IT-Sicherheit
spezialisierte Anbieter der Welt. Das Unternehmen hat sich der Bewältigung der anspruchsvollsten
Sicherheitsherausforderungen der Welt verschrieben. Seinen Kunden liefert McAfee präventive, bewährte
Lösungen und Dienstleistungen, die Systeme und Netzwerke auf der ganzen Welt schützen und den
Benutzern ermöglichen, gefahrlos Verbindung mit dem Internet herzustellen, sicherer zu surfen und zu
shoppen. Unterstützt von einer preisgekrönten Forschungsabteilung, entwickelt McAfee innovative Produkte,
die Privatnutzern, Firmen und Behörden helfen, ihre Daten zu schützen, einschlägige Gesetze einzuhalten,
Störungen zu verhindern, Schwachstellen zu ermitteln und die Sicherheit ihrer Systeme laufend zu überwachen
und zu verbessern. Weitere Informationen über McAfee finden Sie unter http://www.mcafee.com/de.
McAfee GmbH
Ohmstr. 1
85716 Unterschleißheim
Deutschland
+49 (0)89 37 07-0
www.mcafee.com/de
McAfee und/oder andere genannte McAfee-Produkte in diesem Dokument sind eingetragene Marken oder Marken von McAfee, Inc. und/oder
der Tochterunternehmen in den USA und/oder anderen Ländern. Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfeeProdukte. Alle anderen nicht zu McAfee gehörenden Produkte sowie eingetragene und/oder nicht eingetragene Marken in diesem Dokument
werden nur als Referenz genannt und sind alleiniges Eigentum der jeweiligen Besitzer. © 2011 McAfee, Inc. Alle Rechte vorbehalten.
7164wp_app-control-unknown_1209_fnl_ETMG

Download Report