Die Festung auf dem Rechner

Buyer’s Guide: Host-Intrusion-Prevention – Diese Systeme wollen die Firewall, Antivirus-, Anti-Malware- und Network-Intrusion-Prevention-Funktionen ablösen. Ist das realistisch? Ein Blick auf den Stand der Technik zeigt zumindest, dass sie mehr können als die Antivirus-Gemeinde.

Die Produktkategorie Host-Intrusion-Prevention-System (HIPS) wirkt zwar relativ jung, vertraut aber zum großen Teil auf bereits bewährte Technik: Von der Antivirenseite bringt sie die Abwehrmechanismen genauso ein wie die Malware-Scan-Techniken entsprechender Engines. Aus dem Netzbereich leiht sich das HIPS die Monitoring-Techniken, mit denen es die Netzwerk-Interfaces beobachtet.

Hat ein Unternehmen alle diese Einzelprodukte bereits im Einsatz, darf es sich zu Recht fragen, wozu dann noch die zusätzliche HIPS-Ebene? Weil ein solches Desktop-Tool mehr ins Spiel bringt als die Summe der Einzelteile. Das derzeit vielleicht ausgereifteste Werkzeug auf dem Client kann zwar niemals zu 100 Prozent vor Zero-Day-Attacken schützen. Es wird aber Buffer-Overflow-Versuche genauso aufhalten wie eine große Zahl von Exploits. Zudem ist es in der Lage, mit seinen Sandbox-ähnlichen Verfahren Angriffe zu erkennen, die rein im Datensegment der Pakete angelegt sind. Ein Cracker wird es daher schwer haben, aktiven Code auf dem Rechner auszuführen und illegal auf Daten zuzugreifen.

Zudem kann ein HIPS-System typische Angriffsvektoren im Netz herauslesen, die gegen prominente Ziele im internen Netzwerk gerichtet sind. Das sind meist Maschinen, die auf Grund ihrer Aufgabe oder prominenten Stellung im Netz vom allgemeinen Schutzschild nicht in vollem Maß abgedeckt werden können. Ein HIPS bringt schließlich neuartige Abwehrmechanismen ins Spiel, mit denen Verantwortliche Schwachpunkte identifizieren und letztendlich ausbessern können.

Aber eines vorneweg: Die Technik entwickelt sich stetig weiter, so dass jeder Hersteller jeweils ein eigenes Stück Magie einbaut und pflegt. Heutige Angebote decken zudem bei weitem nicht alle Geräte ab. Einige Hersteller wollen beispielsweise auch PDAs und Smartphones unterstützen, sind aber nicht so weit.

Stand der Dinge
Der technische Reifegrad und die Funktionsdichte der Produkte sind recht unterschiedlich, da ihre Hersteller aus verschiedenen Bereichen kommen. Der gemeinsame Nenner ist das Abwehrniveau, das die Systeme auf dem Server oder Desktop erreichen wollen. Folgendes Beispiel soll dies verdeutlichen:

Eine frische Malware passiert die Firewall, indem ein User sie herunterlädt. Nun ist sie im Netz. Eigentlich sollte das Network-Intrusion-Prevention-System den Code daran hindern, sich weiter im LAN zu verbreiten. Aber die Malware ist klug. Sie tarnt sich als legaler Netzverkehr und streut ihren Code eher sanft und vorsichtig im Unternehmen. Sie installiert zudem einen Keylogger, der eine schöne Sammlung interner Passwörter erstellt. Und sie schickt diese Informationen über http nach draußen, so dass der interne Content-Filter dies als typische Webanfrage interpretiert. Denn der Transfer nutzt ein legales Protokoll. Natürlich hat die schlaue Malware auch Kreditkartendaten gefunden, die sie verfremdet ans selbe Ziel durchreicht. Die dafür nötige Virustechnik existiert schon längst. Die Gefahr steckt in jedem naiven Download.

Zukunftsaussichten
Die Antivirustechnik ist prinzipiell auf dem Stand von vor 10 bis 15 Jahren stehen geblieben. Natürlich haben die Hersteller die Signaturgeschwindigkeit erhöht und ihre Scan-Verfahren verbessert. An dem Fangprinzip hat sich aber nichts geändert. AV-Software scannt immer noch auf Befehl und läuft den Schädlingen hinterher. Einige Hersteller haben natürlich die Arbeitsweise ein Stück weit automatisch strukturiert, indem ihre Engine autonom eingreift, sobald Daten auf die Platte geschrieben oder per Mail empfangen beziehungsweise geschickt werden. Aber sie nutzen dazu immer noch die gleiche Technologie, die ein Stück weit das Verhalten des Codes berücksichtigt, größtenteils aber immer noch signaturlastig arbeitet.

HIPS-Produkte führen im Grunde zwar die gleichen Analyseschritte durch wie die AV-Software. Sie bringen aber die Fähigkeit mit ein, Applikationen im Betrieb zu kontrollieren und auf ihr ungewöhnliches Verhalten zu reagieren. Sie erkennen zudem Datenströme, die der Server oder Desktop gewöhnlich nicht erhält. Diese Pakete sind quasi außerhalb der IP-Norm und weisen zumindest darauf hin, dass hier eine Malware aktiv sein könnte.

Wo wird der Desktop-Security-Markt in fünf Jahren sein? AV-Programme, wie wir sie heute kennen, wird es in der Form nicht mehr geben. Anwender jeder Couleur suchen nach Schutz über weniger Software. Denn weniger heißt weniger Installation und Pflege. Falls ein HIPS ein Schutzniveau erreicht, das die AV-Software nur über zusätzlich hinzugefügte Abwehrverfahren lernen muss, dann ist die Entscheidung offensichtlich.

Schon allein die Filter für Buffer-Overflow-Attacken rechtfertigen den Upgrade von AV auf HIPS: Denn kein Programmierer ist in der Lage, jede mögliche Overflow-Bedingung im Vornherein ausschließen. Somit ist jeder Mechanismus, der Overflows dann abfängt, wenn sie auftreten, unter dem Strich effizienter als die aktuell übliche Prozedur, die erst dann greift, wenn die Maschine schon attackiert wurde.

Stolpersteine
Wer heute ein solches System kauft, tut dies nicht ohne Risiko. Denn wie jede frische Produktkategorie befindet sich HIPS noch im Reifestadium. Zu allererst sind sich die Hersteller selbst nicht einig, was solch ein Produkt beherrschen muss. Sind Buffer-Overflow-Checks obligatorisch? Falls das Tool die Ports nicht auf ungewöhnliches Verhalten hin untersucht, ist es dann noch ein HIPS oder nur eine hübsche Antivirus-Lösung? Einige Anbieter meinen, dass eine Lösung erst dann als Host-IPS angesehen werden darf, wenn es ein Netzwerkelement kontrolliert. Sei es der Port, ein Stream oder eine umfassende Verkehrsanalyse. Um noch mehr Verwirrung zu stiften, haben viele Hersteller ihre HIPS-Angebote auf Serversoftware spezialisiert. Kein Wunder, dass die Administratoren die Visionen der Hersteller nicht ganz nachvollziehen können.

Produkte, die sich auf bestimmte Applikationen spezialisieren, sind keine HIPS-Tools. Wer einen SQL-Server absichert, übernimmt eine ehrenhafte Aufgabe, schützt den Host aber nicht vor Intrusion-Versuchen.

Inzwischen haben einige Anbieter ihren applikationsspezifischen Teil mit echten HIPS-Funktionen verheiratet. Dies sollte aber nur als Differenzierungsmerkmal und keineswegs als allgemeingültige Bedingung für diese Produktkategorie gelten. Zu den Kernfeatures eines HIPS sollten daher gehören: Port- und Hauptspeicherschutz, Antivirus und File-/Registry-Analyse. Alle anderen Funktionen sind als netter Bonus zu verstehen.

Die schweigsamen Systeme
Viele Anwender befürchten, dass ein HIPS massiv die Leistung des Hosts beeinträchtigt. Es ist an den Herstellern, dieses Vorurteil zu entkräften, sei es durch Weiterentwicklungen ihrer Tools oder klare Dokumentationen der möglichen Folgen. Basierend auf den Erfahrungen aus den Real-World Labs sind die Performanceeinbußen messbar, aber keineswegs tragisch. Läuft die CPU eines Servers bereits mit 60 Prozent Auslastung, werden die nötigen 5 Prozent für das HIPS Wirkung zeigen. Ein Desktop mit 1 oder 2 Prozent CPU-Last wird das Tool dagegen problemlos verdauen.

Verantwortliche führen gerne auf, dass ein solches Werkzeug die User daran hindere, ihre Aufgaben zu erledigen. Ein solches Tool informiert sie vor allem nicht über Aktionen, die es im Hauptspeicher durchführt. Ein Anwender erfährt dann von Excel bloß, er dürfe die Datei nicht auf die Platte schreiben.

Die Anbieter müssen daher unbedingt die Bedienerfreundlichkeit ihrer Produkte erhöhen und Analysefehler beseitigen. Denn diese Probleme könnten in der Tat Ursache dafür sein, dass nur wenige in die Tools investieren. Vor allem ist die Situation dadurch verschärft, dass die Werkzeuge in einer ernst gemeinten Strategie auf jedem Desktop installiert sind.

Die größten Bedenken haben Firmen in Bezug auf die Prozesse. Sobald ein HIPS scharf geschaltet ist, wird es ein Stück Code oder einen Stream sofort stoppen, sofern es diese Daten als feindlich interpretiert. Leider teilt es dies dem Anwender entweder gar nicht oder nur in kryptischer Form mit. Einige Tools sagen zumindest, sie hätten einen Angriff gestoppt, und das war es. Die betroffenen Applikationen sollen diese Aufgabe übernehmen.

Dies ist ein K.o.-Kriterium und eine schwierige Aufgabe. Ein HIPS müsste im Hintergrund jede Applikation und ihre Funktionen korrekt identifizieren und darüber informieren, wenn es einen Prozess aufhält – und zwar aussagekräftig.

Wer sich in ein solches Projekt stürzen möchte, sollte daher unbedingt die Benachrichtigungsfunktionen der Lösung untersuchen. Dazu gehört, vom Hersteller eine Liste von Anwendungen einzufordern, die sein Tool tatsächlich im Detail versteht. Dann muss sich der Verantwortliche nur noch um alljene Applikationen sorgen, von denen er gar nicht weiß, dass sie in seinem Netz installiert sind. Und das sind bei den meisten sicher nicht wenige.
pm@networkcomputing.de