Was ist eine Signatur?
Im Allgemeinen bezieht sich eine Signatur auf eine „handschriftliche oder digitale Unterschrift“. Im Kontext der Programmierung bezieht sich eine Signatur auf die Informationen, die zur Identifizierung einer Methode verwendet werden, wie etwa Name, Parametertypen, Nummer, Reihenfolge und Rückgabetyp (die Definitionen können je nach Programmiersprache unterschiedlich sein). Im Kontext der Computersicherheit bezieht sich eine Signatur jedoch auf die charakteristischen Muster bösartiger Aktivitäten, wie etwa Schadsoftware oder unberechtigter Zugriff. Dateien, die diese Muster aggregieren, werden als Signaturdateien bezeichnet, und die Funktionalität, die Signaturen zum Erkennen und Blockieren von Angriffen verwendet, wird als Signaturfunktion bezeichnet.
Die Verwendung von Signaturen zur Abwehr von Angriffen folgt typischerweise einem Blacklist-Ansatz, bei dem eine Liste bekannter Bedrohungen geführt wird, um gefährliche Aktivitäten zu blockieren. Dies bietet den Vorteil, dass auf bekannte Angriffe zuverlässig und schnell reagiert werden kann. Dieser Ansatz hat jedoch die Einschränkung, dass er unbekannte Angriffe oder neue Bedrohungen, die noch nicht in der Blacklist enthalten sind, nicht bekämpfen kann.
Um diese Einschränkung zu beheben, wird empfohlen, den Blacklist-Ansatz mit einem Whitelist-Ansatz zu kombinieren. Beim Whitelisting sind nur ausdrücklich erlaubte Aktivitäten zulässig. Indem Aktivitäten auf der Whitelist zugelassen, Muster auf der Blacklist blockiert und alles andere als Grauzone behandelt wird, die einer Überprüfung bedarf, lässt sich eine umfassendere Verteidigungsstrategie erreichen.
BIG-IP von F5 nutzt sowohl Blacklist-artige Signaturen für Angriffsmuster als auch Whitelists für legitimen Datenverkehr und ermöglicht so die wirksame Erkennung und Verhinderung von Angriffen.