Schwarze, weiße und nun auch noch graue Listen
In einer Kolumne für das Sicherheitsportal Security Focus propagiert Brennan ein Sicherheitsmodell, in dem alle neu installierten Programme automatisch auf eine graue Liste gesetzt werden. Über Sicherheitsrichtlinien können Administratoren festlegen, wie mit diesen Programmen umgegangen werden soll.
Verbietet die Richtlinie die Ausführung unbekannter Programme, werden sie blockiert und bleiben zunächst auf der grauen Liste. Die Administratoren gewinnen so Zeit und können die Dateien bei Bedarf untersuchen und neu bewerten. Handelt es sich etwa um ein Update für ein legitimes Programm, kann es auf die weiße Liste verschoben werden. Stellt sich nach Aktualisierung der Antivirus-Software heraus, dass es sich um einen neuen Schädling handelt, landet er auf der schwarzen Liste.
Der von Brennan als "Greylisting" bezeichnete Ansatz soll Schutz vor neu auftauchenden Schädlingen bieten. Jede neue Programmdatei wird zunächst in Quarantäne gesteckt, bis sie untersucht und bewertet werden kann. Administratoren können auch festlegen, nach welcher Frist (zum Beispiel 30 Tage) das Programm automatisch aus der grauen Liste entfernt wird und was dann damit geschehen soll. So kann es etwa automatisch auf die schwarze Liste gesetzt werden, falls es sich nicht als legitime, erwünschte Anwendung erweist.
Wenig überraschend ist, dass Brennans Firma mit der Software "Bit9 Parity" eine Lösung im Angebot hat, die genau diesen Ansatz verfolgt. (PC-Welt/mec)