Verhaltensbasiertes Blocklisting

Was ist verhaltensbasiertes Blocklisting?

Verhaltensbasiertes Blocklisting (Blacklisting) kommt in unterschiedlichen Bereichen zum Einsatz: um Mail-Systeme vor Spam und Phishing zu schützen, Computer vor Malware und Angreifern abzuschirmen und Websites wie Foren vor Bots zu bewahren.

Content- und IP-basierte Filterung sind die beiden häufigsten Verfahren, um Spam zu blockieren. Deren Wirksamkeit wird jedoch zunehmend durch immer bessere Methoden der Spam-Versender beeinträchtigt. Spam, der diese Hürden meistert, kann unter Umständen durch verhaltensbasiertes Blocklisting abgefangen werden. Anstelle bekannte Spam-Versender über IP-Adressen zu blockieren, versucht das verhaltensbasierte Blocklisting bestimmte Muster zu erkennen. Massenaussendungen, oder von Bots, gekaperten Websites oder Foren versendete Mails können aufgrund ihrer erkennbaren, skriptgesteuerten Verhaltensweise blockiert werden. Heuristik-basierte Antiviren-Programme sind eine Form des verhaltensbasierten Blocklisting und so in der Lage neue Bedrohungen und vor allem auch neue Varianten bestehender Viren zu erkennen.

Verhaltensbasiertes Blocklisting kann insbesondere auf Systemen sinnvoll sein, die besonders viele Funktionen bietet und ständigen Veränderungen unterliegen. In solch variablen Umgebungen kann es sehr aufwendig sein, eine Allowlist (Whitelist) ständig aktuell zu halten. Dennoch ist eine Allowlist, die erlaubte Netzwerk- und Software-Verhaltensweisen, E-Mail-Adressen und erlaubten Code enthält, meist kürzer als ihr Blocklist-Pendant. Eine entsprechende Blacklist kann unter Umständen besseren Schutz bieten, muss aber ebenfalls aktuell gehalten werden. Bei sich ständig ändernden Bedrohungen, IP-Adressen und Umgebungen kann dies auf lange Sicht aufwendiger sein.