Application Whitelisting
Wieso Application-Whitelisting?
Antiviren-Produkte die auf dem Funktionsprinzip von Whitelisting aufbauen bieten weitaus mehr Schutz als Virenscanner. Klassische Antivirus-Software, welche nach dem Blacklist-Prinzip arbeitet, kann nur Programme blockieren, die bereits als schädlich bekannt sind.
Auch Lösungen mit aufwendigen, oft kostspieligen Erweiterungen wie „Deep Learning“-Malware-Erkennung, Anti-Ransomware- und Anti-Exploit-Technologie der nächsten Generation sind mit einer Whitelist überflüssig.
Um Ihr Netzwerk vor Viren, Trojanern und anderer Schadsoftware zu schützen, lohnt es sich darum, auf das Whitelisting zu setzen. Es wird genau definiert, was unbedingt zur Arbeit benötigt wird und erlaubt ist. Unbekannte Programme, und damit auch jegliche Schadsoftware, können nicht ausgeführt werden.
Whitelist
Die Whitelist definiert, was zum Arbeiten benötigt wird. Alle anderen, unbekannten Programme können nicht gestartet werden. Diese Programme schaffen es nicht auf die Whitelist und können deshalb nicht ausgeführt werden.
Sämtliche Schadsoftware wird so automatisch abgewehrt. Das Überwinden des Schutzes durch ständige Modifikationen der Schadprogramme ist nicht möglich. Die auf Hashes basierte Prüfmethode macht es unmöglich, eine Malware durch kryptographische Verfahren zu erzeugen, die den Hash einer als vertrauenswürdig definierten Software trägt.
Der häufig kritisierte Pflegeaufwand dieser Positivliste wird dank einer Datenbank in der Cloud minimiert, auf welcher über 99% der gebräuchlichsten Software von vertrauenswürdigen Herstellern erfasst ist. Die Systeme im Netzwerk des Kunden lernen automatisch, welche Software vertrauenswürdig ist, somit muss nur noch branchenspezifische Individualsoftware selbstständig der eigenen Whitelist hinzugefügt werden.
Blacklist
Virenscanner haben massiv an Wirksamkeit verloren, seit Schadprogramme gezielt angepasst werden um unentdeckt zu bleiben. Eine Blacklist kann nur blockieren, was bereits bekannt ist – egal ob es sich dabei um eine bestimmte Schadsoftware oder ein bestimmtes Verhalten handelt.
Ist die Schadsoftware bzw. ihr Verhalten jedoch unbekannt, kann sie ungehindert Schaden im Netzwerk verursachen.
Obwohl modernste Virenscanner aufwändige verhaltensbasierte Analysen durchführen und aktuellste Blacklists pflegen, werden täglich hunderte Netzwerke Opfer von Angriffen durch Schadsoftware, weil unbekannte Programme und gut getarnte Schädlinge nicht erkannt und ungehindert ausgeführt werden können.
Auch teure Erweiterungen wie Next Generation Machine-Learning oder Anti-Exploit-Technologie arbeiten nach dem gleichen Prinzip, nur bekannte Programme und bekanntes Verhalten können erkannt werden.