Icon Information

FAQ

Häufig gestellte Fragen zu seculution Application Whitelisting

Allgemeine Fragen

seculution schützt bereits in der Grundkonfiguration vor mehr potenziellen Gefahren, als alle Virenscanner es jemals könnten. Die patentierte Whitelisting-Technologie macht es möglich, auch noch völlig unbekannte Schadsoftware an der Ausführung zu hindern. Wir haben das Prinzip hier für Sie verdeutlicht.
Darüber hinaus ist seculution mit allen gängigen Antivirus-Lösungen kompatibel, wenn Sie diese weiterhin einsetzen möchten. Allerdings ergibt sich durch den Einsatz eines Virenscanners parallel zu seculution kein Sicherheitsvorteil, da ein Virenscanner keine Schadcode-Ausführung verhindert, die nicht schon durch seculution verhindert wird.

seculution kann Netzwerke aller Größen ohne Unter- oder Obergrenze absichern. Sie brauchen lediglich einen Administrator mit sicherheitstechnischer Kompetenz. Erfahren Sie mehr in unserem Whitepaper und der Produktbroschüre.

Das Whitelisting von Applikationen/Software, oder auch Application Control genannt, fußt auf dem Konzept, lediglich Software, die auf einer Whitelist von bekannten Anwendungen geführt wird, zur Ausführung zuzulassen. Es kann in einem Netzwerk, dessen Endpoints durch eine Application-Whitelist-/Application-Control-Lösung gesichert sind, also nichts mehr ausgeführt werden, was nicht explizit erlaubt ist.

Das Konzept kehrt den Ansatz, der mit Virenscannern heutzutage fast zu 100% zum Schutz eines Netzwerks verfolgt wird, komplett um und bietet daher ein unvergleichlich höheres Schutzniveau, da klassische Antivirensoftware immer darauf angewiesen ist, den Schadcode zu kennen, den sie blockieren soll. Siehe auch seculution Antivirus.

Noch einfacher ausgedrückt, jeder agiert an seiner Haustür exakt nach dem selben Funktionsprinzip. Sie lassen nur diejenigen Personen in Ihr Haus, die Sie kennen und als vertrauenswürdig einstufen, die also auf Ihrer eigenen Whitelist stehen. Alle anderen kommen nicht durch die Tür.

Während der seculution Agent eine Netzwerkverbindung zur seculution Server Appliance hat, werden Anfragen immer zur Appliance gesendet. Dies ermöglicht eine Null-Sekunden-Reaktionszeit bei Änderungen. Ist der Agent offline, greift er auf eine lokal gespeicherte und verschlüsselte Datenbank zurück.

Gute Frage. Verstehen wir auch nicht. Kannten Sie uns denn schon, bevor Sie diese Website heute entdeckt haben?

Ein Hash ist eine Prüfsumme, mit der die Integrität von Daten überprüft werden kann. Da die Prüfsumme, ähnlich einer Quersumme aus einer großen Zahl, sich ändert, sobald nur ein Bit im Quellcode der Datei, aus der der Hash erzeugt wurde, verändert wird, kann man anhand von Hashes Software fälschungssicher identifizieren. Auf dieser Eigenschaft basiert die Funktion von seculutions Agent Software, die bei jedem Programmstart den Hash des Programms erzeugt und eindeutig auf der Whitelist gegenprüft.

Nein. Die Abfrage eines Hashes, der vom seculution Agent aus der jeweiligen Software erzeugt wird, dauert lediglich 30 Millisekunden. Das entspricht etwa der Zeit, die ein Ping benötigt. Auf Grund dieses Verhaltens und des sehr kleinen Datenpakets, welches gegen den Server geprüft wird, arbeitet seculution extrem ressourcenschonend. Vergleicht man diesen Wert beispielsweise mit einer heuristischen Live-Überprüfung durch einen Virenscanner, ist seculution etwa um den Faktor 10.000 schneller als die Antiviren-Lösung. Ja, wir wissen, dass das ein Äpfel-Birnen-Vergleich ist. Aber der Vergleich macht deutlich, von welchen Dimensionen wir reden.

Der seculution Server enthält die von Ihnen gepflegte Whitelist und die zugehörigen Regeln der enthaltenen Objekte. Sie installieren ihn als Virtuelle Maschine in Ihrem Netzwerk und haben jederzeit volle Kontrolle über Ihre Daten. Es werden keine Nutzungsdaten ins Internet übertragen. Ihre Daten bleiben Ihre Daten. Garantiert.

Kurze Antwort: Die in den Hash-Algorithmen MD5 und SHA1 gefundenen Schwachstellen haben keinen Einfluss auf die Sicherheit von seculution, da es nach wie vor nicht möglich ist, eine Schadsoftware zu erzeugen, die einen bestimmen, vorgegeben Hash trägt. Das heißt, es ist nicht möglich, eine Datei zu erzeugen, die denselben Hash hat, wie eine bereits in der Whitelist von seculution enthaltene Software.

Ausführliche Antwort: In den Medien werden SHA1 und MD5 als „gebrochen“ dargestellt, da es möglich ist, Kollisionen zu erzeugen. Eine „Kollision“ bedeutet in Bezug auf Hashes, dass man zwei unterschiedliche Eingabedaten (Datei1 und Datei2) erzeugen kann, die nach Anwendung des Hash-Algorithmus' im selben Hash resultieren, wobei kein Einfluss auf den resultierenden Hash genommen werden kann.
Um einen Angriff auf die durch seculution gebotene Sicherheit durchzuführen, müsste ein Angreifer eine Datei erzeugen, deren Hash bereits in der Whitelist von seculution enthalten ist („Pre-Image-Angriff“). Beim Kollisionsangriff geht es also darum, zwei unterschiedliche Dateien zu erzeugen, die denselben nicht vorher bestimmbaren Hash haben; beim Pre-Image-Angriff geht es darum, eine Datei zu erzeugen, die einen spezifischen, vorher vorgegebenen Hash hat. Dies sind zwei kryptografisch vollständig unterschiedliche Aufgabenstellungen. Erfolgreiche Pre-Image-Angriffe sind auch bei SHA1 und MD5 nicht bekannt.

Die seculution-Cloud nutzt für die Einstufung der Vertrauenswürdigkeit eines Hashes sogenannte TrustLevel. Zu jedem Hash kann ein TrustLevel von 0 (= bekannte Schadsoftware) bis 10 (= Quellcode ist seculution bekannt) festgelegt werden. TrustLevel werden von der seculution-Cloud beim Import von Hashes aus Quellen, die als vertrauenswürdig bekannt sind, automatisch angelegt.

Ja! Denn an der entscheidenden Stelle - an der der Angreifer einen auf dem Server platzierten Remote-Code ausführt (RCE) - schiebt seculution Application Whitelisting den Riegel vor: Die Ausführung des Schadcodes wird verhindert, da der Hash dieser Software nicht auf der Whitelist steht.

Meltdown und Spectre sind die Namen für Sicherheitsprobleme, die fast jeden Computerchip betreffen, der in den letzten 20 Jahren hergestellt wurde. Die Schwachstellen sind so grundlegend und weit verbreitet, dass Sicherheitsforscher sie als katastrophal bezeichnen. 

Alle Varianten der Ausnutzung dieser Sicherheitslücke beinhalten, dass ein bösartiges Programm Zugriff auf Daten erhält, die es normalerweise nicht sehen darf. Aber es bedeutet eben auch, dass der Angreifer seine bösartige Software auf einem abgesicherten System zur Ausführung bringen muss. Whitelisting schützt also auch hier, denn die Ausnutzung dieser Sicherheitslücke ist immer zwingend damit verbunden, dass der Angreifer seine Schadsoftware auf dem angegriffenen System zur Ausführung bekommt. Und genau das wird durch seculution verhindert. Daher mag die zugrunde liegende Lücke zwar weiterhin existieren, durch das darüber gestülpte Sicherheitsnetz seculution kommt aber keine Software durch, die diese Lücke ausnutzen könnte. 

Interessant ist die Tatsache, dass Virenscanner im Gegensatz zu Whitelisting keinen verlässlichen Schutz bieten können. Denn im Gegensatz zu gewöhnlicher Malware ist die Ausnutzung von Meltdown und Spectre schwer von normalen, gutartigen Anwendungen zu unterscheiden. Ein Antivirusprogramm kann jedoch Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind. Erst dann können sinnvolle Muster und Definitionen dieser Angriffe bekannt gemacht werden. Bis das geschehen ist, werden bereits unzählige Computernetzwerke, die mit Virenscannern geschützt werden, infiziert worden sein.

Meltdown und Spectre nutzen kritische Schwachstellen in nahezu allen modernen Prozessoren aus. Diese Hardware-Schwachstellen ermöglichen es Programmen, Daten zu stehlen, die derzeit auf dem Computer verarbeitet werden. Während es Programmen normalerweise nicht erlaubt ist, Daten von anderen Programmen zu lesen, kann ein bösartiges Programm Meltdown und Spectre ausnutzen, um an Geheimnisse zu gelangen, die im Speicher anderer laufender Programme gespeichert sind. Dazu gehören Ihre Passwörter, die in einem Passwort-Manager oder Browser gespeichert sind, Ihre persönlichen Fotos, E-Mails, Sofortnachrichten und sogar geschäftskritische Dokumente. Meltdown und Spectre arbeiten auf PCs, mobilen Geräten und in der Cloud. Je nach Infrastruktur des Cloud-Providers ist es möglich, Daten von anderen Kunden zu stehlen.

Meltdown:
Meltdown durchbricht die grundlegendste Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Geheimnisse anderer Programme und des Betriebssystems zuzugreifen.

Wenn Ihr Computer über einen verwundbaren Prozessor verfügt und ein nicht gepatchtes Betriebssystem verwendet, ist es nicht sicher, mit sensiblen Informationen zu arbeiten, ohne dass die Informationen durchsickern. Dies gilt sowohl für Personal Computer als auch für die Cloud-Infrastruktur. Zum Glück gibt es Software-Patches gegen Meltdown.

Spectre:
Spectre durchbricht die Isolation zwischen verschiedenen Anwendungen. Es ermöglicht einem Angreifer, fehlerfreie Programme, die Best Practices befolgen, zu täuschen, damit sie ihre Geheimnisse preisgeben. Tatsächlich erhöhen die Sicherheitsüberprüfungen der genannten Best Practices die Angriffsfläche und können Anwendungen anfälliger für Spectre machen.

Spectre ist schwerer auszunutzen als Meltdown, aber es ist auch schwieriger abzuschwächen. Es ist jedoch möglich, bestimmte bekannte Exploits, die auf Spectre basieren, durch Software-Patches zu verhindern.

Stellen Sie Ihre eigene Frage: 

Sie konnten Ihre Frage nicht in unseren FAQ finden? Schreiben Sie uns einfach, was Sie wissen möchten, unser Support-Team wird Ihnen schnellstmöglich antworten.


* = Pflichtfeld
Die seculution GmbH verpflichtet sich, Ihre Daten vertraulich zu behandeln. Weitere Informationen zur Erfassung und Verwendung Ihrer persönlichen Daten durch seculution entnehmen Sie bitte unserer Datenschutzerklärung.

Whitepaper

Come to the light side

Lernen Sie die Macht der Whitelist für sich zu nutzen.

© Copyright 2020 seculution - All Rights Reserved