Whitelist-Technik: Schadsoftware präventiv isolieren

Containment-Technik von Comodo setzt auf Malware-Isolierung

21. August 2014, 9:42 Uhr | LANline/jos

Der IT-Security-Anbieter Comodo setzt nach eigenen Angaben beim Virenschutz auf Prävention und Isolierung. Nur bekannte Elemente erhalten Zugriff aufs Netzwerk, unbekannte werden über die eigens entwickelte Containment-Technik in eine gesicherte virtuelle Umgebung verschoben. Dort laufen sie isoliert ab, und es findet eine Überprüfung statt. Damit entstehe ein Malware-Schutzschild für die gesamte IT-Infrastruktur, so Comodo. Die Containment-Technik ist in alle Security-Lösungen des Entwicklers, darunter der Comodo Endpoint Security Manager (CESM), integriert.

Mit seiner Herangehensweise will Comodo dem Markt einen Schritt voraus sein. Denn herkömmliche Antivirenlösungen basieren auf dem Erkennungsprinzip („Detection“), bei dem sie Elemente gegen eine „Blacklist“ prüfen. Sie enthält alle bekannten infizierten Dateien und Bedrohungen. Auf Grundlage dieses „Default Allow“-Standards (standardmäßig erlaubter Zugriff) wird festgestellt, welche Programme oder Dateien sicher ausgeführt oder für den Systemzugriff zugelassen werden können. Das Problem laut Comodo: Alle Bedrohungen müssen bekannt sein, damit der Schutz zuverlässig gewährleistet ist. Zero-Day-Angriffe, die erstmalig auftreten, sind gegebenenfalls noch nicht registriert und werden damit im schlimmsten Fall ausgeführt. Eine Blacklist zu 100 Prozent aktuell zu halten sei bei der heutigen Masse und schnellen Vermehrung von Schadsoftware nicht möglich.

Aus diesem Grund hat Comodo nach eigenen Angaben seine Next-Level-Security-Lösungen auf dem Prinzip der „Default Deny Protection“ aufgesetzt. Statt Blacklist-Gegenprüfung erfolgt eine standardmäßige Abwehr aller unbekannten Dateien und Anwendungen, unter der Annahme, dass sie möglicherweise Bedrohungen darstellen. Ausschließlich bekannte, als sicher eingestufte Elemente werden ausgeführt. Nicht vertrauenswürdige Dateien verschiebt die Containment-Technik in eine virtuelle Betriebsumgebung und führt sie dort, abgeschirmt vom restlichen System, aus. Sollte es sich tatsächlich um Viren oder andere bösartige Software handeln, können sie keinen Schaden im Netzwerk anrichten oder sich weiterverbreiten. Darüber hinaus werden verdächtige Dateien automatisch in die Valkyrie Malware Labs von Comodo hochgeladen, einer Cloud-basierenden Verhaltensanalyse zur Überprüfung der Vertrauenswürdigkeit. Alle Prozesse finden laut Comodo ohne Unterbrechung für den Endnutzer statt.

„Nur unser ‚Default Deny‘-Ansatz gewährleistet sichere IT-Umgebungen und bringt Endpoint Security auf einen neuen Level“, kommentiert Karl Hoffmeyer, Senior Channel Sales Manager DACH bei Comodo. „Denn betrachten wir den Sachverhalt übertragen in die Realität: Niemand würde Fremde einfach so in sein Haus bitten, wie konventionelle Antivirenlösungen unbekannten Dateien den Netzwerkzugang erlauben.“

Mehr zum Thema:

Antivirenlösung mit verbesserter Scan-Engine

Logrhythm: Mit Honeypots Angriffe echtzeitnah erkennen

Kostenlose Hilfe gegen Cryptolocker-Ransomware

„Operation Emmental“: Wie Angreifer Sicherheitsmechanismen für Online-Banking aushebeln

Umfrage zeigt unachtsames Verhalten von PC-, Tablet- und Smartphone-Nutzern

F-Secure entdeckt neue Malware-Kombination


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Ulteo

Matchmaker+