Sandbox-Technologie hält Cyberkriminelle ab
Schutz vor neuen Bedrohungen durch Sandbox-Verhaltensanalyse
Die Bedrohungslage durch Verschlüsselungstrojaner und andere Schadsoftware wächst. Wir leben in einer Zeit, in der Nachrichten über immer neue Angriffswellen und -muster beinah alltäglich geworden sind. Gleichzeitig verbreitet die immer raffiniertere Vorgehensweise von Cyberkriminellen Angst und Schrecken in Unternehmen. Denn trotz zahlreicher Präventivmaßnahmen gelangen immer wieder Schädlinge in die IT-Netze von Unternehmen und legen ganze Infrastrukturen lahm. Es ist die Zeit für hochkarätige Gegenmaßnahmen – es ist Zeit für Sandbox. Lesen Sie heute, was es damit auf sich hat.
Antivirenprogramme erkennen nicht alle Schädlinge
Klassische, signaturbasierte Antivirenlösungen identifizieren nicht immer jeden Schädling, sondern nur diejenigen, die sie kennen – oder besser: erkennen. Aber Cyberkriminelle schlafen nicht – sie entwickeln schnell immer neue Malware und verbessern Angriffsmuster, um ihre Schadsoftware an die Gegenmaßnahmen der Anbieter von Sicherheitslösungen anzupassen. Zwar gibt es keine konkreten Zahlen, aber nach Schätzung des Bundesamts für Informationssicherheit entstehen 400 000 neue Viren pro Tag. Kennt ein Virenprogramm ein Angriffsmuster nicht, erkennt es folglich einen Schädling nicht – und es reichen kleinste Veränderungen, damit ein Virus vom Antivirenprogramm übersehen wird. Zwar sind die Hersteller von Antivirenprogrammen schnell mit dem Updaten ihrer Lösungen, jedoch kann vom Entdecken eines neuen Schädlings bis zur Auslieferung einer aktualisierten Signaturdatenbank an die Antivirenlösung wertvolle Zeit verloren gehen.
E-Mails als Verbreitungswege
Es bleibt dabei: Wie das Bundesamt für Sicherheit in der Informationstechnik in seinem „Report zur Lage der IT-Sicherheit in Deutschland 2016“ bestätigt, gehören E-Mail-Anhänge sowie Drive-by Downloads durch den Besuch von Webseiten zu den häufigsten Infektionswegen eines Systems mit Schadprogrammen. Weiterhin spielen auch Links auf Schadprogramme, deren Quelle manipulierte Werbebanner auf an sich vertrauenswürdigen Webseiten sind, eine gewichtige Rolle.
Bedrohungen lauern im Verborgenen
Malware wird von ihren Schöpfern so konzipiert, dass sie möglichst lange unentdeckt bleibt und möglichst viel Schaden anrichten kann. Sie soll unbemerkt Daten stehlen oder sich in der IT-Umgebung ausbreiten, um dann in maximalem Ausmaß zuzuschlagen. Zwei Angriffsmuster sind in diesem Zusammenhang zu nennen, die es in sich haben:
Advanced Persistent Threat (APT)
APT-Attacken (Advanced Persistent Threat) sind komplexe, zielgerichtete und aufwändig vorbereitete Cyberangriffe. Die Angreifer nehmen einen hohen Aufwand auf sich (Advanced), um auf das IT-System ihrer Opfer erfolgreich zuzugreifen und dabei möglichst lange (Persistent) unentdeckt Daten auszuspähen oder Schaden anzurichten. Um dauerhaft unentdeckt zu bleiben, müssen Angreifer permanent Codes umschreiben und raffinierte Ausweichtechniken einsetzen, um nicht doch vom Intrusion Detection System eines Netzwerks entdeckt zu werden. Aus diesem Grund sind APT-Attacken nur schwer zu identifizieren. Da sie in der Regel mit Datendiebstahl einhergehen, sind ihre Folgen erst anhand von Datenabflüssen aus dem Firmen-Netzwerk zu erkennen – und dann ist es schon zu spät.
Advanced Evasion Technique (AET)
AET-Attacken sind Cyberattacken, bei denen verschiedene, bekannte Angriffstaktiken so kombiniert werden, dass ein völlig neues Angriffsmuster entsteht, welches unbekannt ist und deshalb unentdeckt vom Antivirenprogramm auf IT-Infrastrukturen zugreifen kann. AET-Attacken dienen in erster Linie dazu, dem Angreifer unbemerkt Zugriff auf Netzwerke zu verschaffen. Selten richten AET-Attacken also direkten Schaden an.
Neue Erkennungstechnologien: Sandbox
Neue Erkennungstechnologien werden deshalb immer wichtiger. Dazu zählen verhaltensbasierte Sicherheitsverfahren, die schädlichen Datenverkehr erkennen und dadurch Rückschlüsse auf Schadsoftware, die sich bereits auf den Endgeräten eingenistet hat, ziehen können. An dieser Stelle kommt die Sandbox-Technologie zum Einsatz: Sie unterstützt ein Antivirenprogramm darin, die IT-Infrastruktur vor Cyberangriffen zu schützen, indem sie schädliche Software bereits vor dem Eindringen in das Netzwerk erkennt und diese blockiert. Deshalb haben auch wir von GBS die Sandbox-Technologie nun in unser Antivirenmodul iQ.Suite Watchdog integriert.
Was ist eine Sandbox?
Eine Sandbox ist eine sichere Umgebung, die vollständig von der IT-Infrastruktur eines Unternehmens isoliert ist. In dieser sicheren Umgebung werden verschiedenste Computersysteme mit unterschiedlichen Betriebssystemen bereitgestellt, um eine reale IT-Umgebung zu simulieren. Unbekannte und verdächtige Programme und Dateien werden in dieser sicheren Umgebung zur Ausführung gebracht, um ihr Verhalten und die Auswirkungen auf das Computersystem zu beobachten. Anhand dieser Beobachtungen kann festgestellt werden, ob sich die Datei schädlich auf das System auswirkt oder nicht. Diese Bewertung bildet nun die Grundlage der Entscheidung, ob das Programm oder die Datei auf dem Endgerät zugelassen oder geblockt werden soll.
Sandbox in der Cloud? Natürlich!
Man kann eine Sandbox auch als eigene Lösung im Unternehmen betreiben. Die Verlagerung von Sandbox-Technologien in die Cloud hat jedoch immense Vorteile: Sicherheitsanbietern steht mehr Rechenleistung zur Verfügung und Ressourcen von mehreren Kunden können gemeinsam genutzt werden. Außerdem sind Unternehmen nicht mehr auf internes Fachwissen angewiesen, da ihre Anbieter oder Partner die Analysearbeit für sie an einem zentralen Ort erledigen können.
Sandbox-Verhaltensanalyse in Watchdog
- Wird eine Datei als verdächtig eingestuft, zum Beispiel wenn sie ausführbare Inhalte enthält, wird sie von der Sicherheitslösung automatisch an die Sandbox gesendet. Dort wird der Hashwert dieser Datei ermittelt und mit denen bereits bekannter Malware verglichen.
- Wenn die Datei schon einmal analysiert wurde und bekannt ist, übermittelt die Sandbox die Analysedaten an die Sicherheitslösung. Liegt eine Bedrohung vor, platziert iQ.Suite Watchdog die Datei samt E-Mail in der Quarantäne. Liegt keine Bedrohung vor, wird die Datei regulär zugestellt.
- Ist der Hashwert unbekannt, wird eine anonymisierte Kopie der verdächtigen Datei an die Sandbox gesendet. Dort wird sie in einer sicheren Cloud-Umgebung zur Ausführung gebracht und ihr Verhalten überwacht und analysiert. Werden die Analysedaten als Bedrohung eingestuft, wird die Datei abgelehnt und blockiert. Wird die Datei als sicher eingestuft, erfolgt ihre Zustellung.
- Anhand der von Sandbox ermittelten Informationen erstellt iQ.Suite Watchdog abschließend zu jedem Bedrohungsereignis einen forensischen Report, der tiefere Einblicke und Kontextinformationen liefert.
Ihr Weg zur passenden Lösung
Es gibt sicherlich viele Sandbox-Angebote auf den Markt. Entscheiden Sie sich für eine Lösung, die sich einfach testen und bereitstellen lässt. Cloudbasierte Lösungen haben hier die Nase vorn, denn sie sind schnell installiert und können sofort genutzt werden. Eine Sandbox sollte grundsätzlich gut zur bestehenden Infrastruktur passen. Ideal ist es, wenn die Sandbox-Lösung sich in die bestehenden Sicherheitsprodukte einfach integrieren lässt, um sie zu erweitern.
Auf einige wichtige Merkmale Ihrer Sandbox sollten Sie außerdem achten:
- So sollte eine Sandbox-Lösung auch Bedrohungen erkennen können, die speziell zum Umgehen von Sandboxes entwickelt wurden.
- Eine gute Sandbox-Lösung sollte verdächtige Dateien unterschiedlichster Art analysieren können. Dazu gehören mindestens Microsoft-Office-Dokumente, PDFs und ausführbare Dateien.
- Eine Sandbox muss außerdem verschiedene Betriebssysteme und Anwendungen unterstützen, damit auch Malware entdeckt wird, die zur Ausführung in einer ganz bestimmten Umgebung entwickelt wurde. Denn bedenken Sie: Malware verhält sich auf einer Windows Plattform anders als auf einer MacOS, Linux oder Android Plattform!
- Dateien sollten mithilfe von Anti-Malware- und Reputationsdiensten gefiltert werden. Das reduziert die Zahl der fälschlich als schadhaft kategorisierter und an die Sandbox gesendeter Dateien. Mit detaillierten, vorfallbasierten Reports erhalten Sie zudem wertvolle Kontextinformationen über die Malware selbst oder den gezielten Angriff auf Ihre IT. Nutzt eine Sandbox außerdem eine so genannte „Kollektive Intelligenz“, können Bedrohungsanalysedaten von allen Kunden korreliert werden und allen Nutzern zugute kommen.
Der Beitrag Sandbox-Technologie in die Cloud! erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.