Home    SecuLution Dokumentation Zurück Vor
Willkommen
SecuLution Technik und Terminologie
Schnellstart
Testinstallation in 30 Minuten
Vorgehen im Alltag
Vollinstallation und Integration in 5 Stunden
Installation der Komponenten
Installation der Appliance
AdminWizard Installation
Agent Installation
Syslog Server Installation
Erstkonfiguration
Grundeinstellungen vornehmen
Agent Konfiguration
Aufgaben automatisieren
Verwaltung der Positivliste
Erste Erstellung einer Positivliste
Musterrechner importieren
Lernmodus
Ausrollen der Agents prüfen
Audit / Prüfung der gelernten Hashes
Zur Positivliste hinzufügen
Drag'n'drop
Individueller Lernmodus
Aus Verzeichnis importieren
Ständiger Lernbenutzer / PLU
Log Alarme
Positivliste bereinigen
Manuell ungenutzte Hashes entfernen
Hashes nach einem Muster entfernen
Klassifizierungen aufräumen
Managed Whitelist
Managed Whitelist
Aktionen
Aktionen
Regel auf Objekte beziehen
Offline Modus
Offline Modus
Geräte
USB Geräte Management
USB Geräte Verschlüsselung
Ausrollen der Agents (RCM)
Ausrollen der Agents (RemoteClientManagement)
ArpWatch
ArpWatch
Logs
Logs
FAQ
setup.ini

Verifizierung der Vertrauenswürdigkeit von hinzugefügter Software.


Managed Whitelist (Online Datenbank)

Die Firma SecuLution bietet eine Managed Whitelist (zentrale Online-Datenbank von Hashes) mit Informationen über die Vertrauenswürdigkeit von Hashes. SecuLution errechnet hierzu zu jedem Hash einen individuellen Trustlevel. Jegliche Hashes, die Software repräsentieren, können online über die Nutzung der Managed Whitelist abgeglichen und aktualisiert werden. Hierdurch kann die sicherheitstechnische Überprüfung der im Netzwerk verwendeten Software auf einen Mausklick reduziert werden.

Der Service "Managed Whitelist" bietet eine unlimitierte Anzahl von Datenbankabfragen. Eine kostenlose Variante steht allen Kunden für bis zu 5 Datenbankabfragen pro Tag zur Verfügung.


einschaetzung


Trustlevel

Zu jedem Hash kann ein Trustlevel (Einstufung der Vertrauenswürdigkeit eines Hashes) von 0 (= eindeutig unerwünscht) bis 10 (= eindeutig vertrauenswürdig) festgelegt werden. Trustlevel werden beim Import von Hashes aus Quellen, die als vertrauenswürdig bekannt sind, automatisch angelegt.

Hashes, die über einen Kommandozeilenimport "-wsus" automatisch hinzugefügt wurden, erhalten dabei z.B. den Trustlevel 7.

Hashwerte, die aus einem Drag&Drop Import, einem automatischen Import von vertrauenswürdigen Hashes über das Menu „Extra/Aus Dateien Regeln generieren“ oder einem automatischen Import von vertrauenswürdigen Hashes per Kommandozeilen "-importdir"; "-importexpandfile"; "-importexpand" oder "-importifchanged" stammen, erhalten den Trustlevel 6.   

Der Datenbank unbekannte Hashes erhalten den Trustlevel 3, diese müssen bei der Auditierung des Regelsatzes betrachtet und die Vertrauenswürdigkeit der Software manuell ermittelt werden (Verfolgung der Quelle).

Hashes mit dem Trustlevel 0 sind zu bereits eindeutig bekannter Schadsoftware zuzuordnen und sollten zügig aus der Datenbank entfernt werden.



Wie wird der Trustlevel in der Managed Whitelist ermittelt?

Die Managed Whitelist wird durch die Firma SecuLution betrieben. Durch Partnerschaften mit verschiedenen Unternehmen, wurde ein Verbund aus Datenquellen geschaffen, die zur Einschätzung des Trustlevels eines Hashes herangezogen werden. Der Trustlevel basiert u.A. auf folgenden Informationen:

  • Ist der Hash als vertrauenswürdig bekannt (z.B. Teile des Betriebssystems)?

  • Ist der Hash signiert?

  • Stammt die Signatur von einem vertrauenswürdigen Herausgeber?

  • Stammt der Hash aus einem Bundle mit anderer Software, der vertraut wird?

  • Ist der Hash weit verbreitet, d.h. wird er von vielen anderen Nutzern verwendet?

  • Wurde der Hash von Virenscannern als Schadsoftware eingestuft?

  • Wurde der Hash von Benutzern als vertrauenswürdig eingestuft?

  • Wurde der Hash von SecuLution auditiert und als vertrauenswürdig eingestuft?

Je mehr der vorgenannten Kriterien positiv gewertet werden können, desto größer ist der Trustlevel. Je höher der Trustlevel ist, je wahrscheinlicher ist es, dass es sich um eine erwünschte und benötigte Software handelt. Wir empfehlen folgende Vorgehensweise:

Trustlevel 0:

  • meist handelt es sich hierbei um bekannte Schadsoftware, verifizieren Sie dies manuell
  • ändern Sie die "Erlauben" Regel in "Verweigern"
  • stellen Sie fest (Logs), auf welchen Computern diese Hashe verwendet werden sollen (Deny Eintrag in den Logs), diese Computer sollten neu aufgesetzt werden
  • löschen Sie den Hash anschließend


Trustlevel 1:

  • meist handelt es sich hierbei um unerwünschte Software (Adware, Werbung), verifizieren Sie dies manuell
  • ändern Sie die "Erlauben" Regel in "Verweigern - Datei von Festplatte löschen"
  • löschen Sie den Hash anschließend


Trustlevel 2:

  • meist handelt es sich hierbei um Software, die nicht eindeutig als erwünscht eingestuft werden kann (z.B. Keygen, Cracker), verifizieren Sie dies manuell
  • ändern Sie die "Erlauben" Regel in "Verweigern - Datei von Festplatte löschen"
  • löschen Sie den Hash anschließend


Trustlevel 3:

  • meist handelt es sich hierbei um unbekannte Software, die der SecuLution Managed Whitelist nicht bekannt ist, z.B. selbst programmierte Software. Verifizieren Sie dies manuell
  • entsprechend der Prüfung vergeben Sie einen höheren Trustlevel oder löschen Sie den Hash
  • Wir empfehlen den Trustlevel 3 gänzlich zu leeren, entweder durch manuelle Vergabe eines höheren Trustlevels oder durch löschen des Hashes.


Trustlevel 4-10:

  • es liegen Indikatoren vor, die auf eine erwünschte und vertrauenswürdige Software hindeuten, je höher der Wert, je stärker sind die Indikatoren



Trustlevel eines einzelnen Hashes aktualisieren

Durch Auswählen eines Hashes in der Baumansicht befindet sich rechts neben dem Hash ein Button mit einem "i". Ein Klick darauf ermittelt weitere Information zu diesem Hash über die online Managed Whitelist.

trustlevelrefreshone




Durch Klick auf "Regel hinzufügen" wird der Trustlevel in eine Regel überführt.




Trustlevel mehrerer Hashes aktualisieren


SecuLution ermöglicht auch das Aktualisieren der Trustlevel sämtlicher Hashes der Positivliste mit einem Mausklick:
Wählen Sie Menü "Ansicht / Regeln / nach Trustlevel" (oder drücken Sie die Tasten STRG-8 oder den 8. Radio Button über der Regeln Baumansicht):

sortierung

regelansicht

Klicken Sie mit der rechten Maustaste auf "unbekannt" und wählen Sie "Trustlevel online prüfen":

einträge

Die Hashe werden an die Managed Whitelist übertragen und die Trustlevel aller Einträge ermittelt:
fenster