F

Sandbox Security: Ein Allheilmittel für virtuelle Umgebungen?

Beim Sandboxing in virtuellen Umgebungen gibt es Grenzen in Bezug auf Malware und Security. Wir zeigen diese und unterstützende Maßnahmen auf.

Brad, ich weiß, dass Sie ein Befürworter bezüglich der Benutzung von Virtualisierung/Sandboxing sind, um Malware zu erkennen. Ich habe allerdings bei anderen Security-Experten und -Analysten gelesen, dass sie Sandboxing-Technologie mit gemischten Gefühlen sehen. Damit sei man nicht in der Lage, alle Plattformen und zielgerichteten Angriffe zu adressieren. Würden Sie diese Einschätzung zu Sandboxing teilen? Wie sehen Sie die Grenzen virtualisierter Umgebungen aus Perspektive der Security und inwiefern sollte man diese ergänzen?

Ich kann dieser Meinung nur voll und ganz zustimmen. Ich bin ein großer Fan der Auslagerung auf von Paketen, die ausführbare Dateien beinhalten, auf separate Geräte. Dort kann man diese Dateien in aller Ruhe laufen lassen und auf schädlichen Code testen. Allerdings sollte man nicht ausschließlich auf diese Herangehensweise vertrauen. Genau wie am Aktien-Markt sollte die Sicherheits-Strategie auch mannigfaltig sein, am besten via eines Security-Defense-in-Depth-Modells (mehrstufiges Sicherheitsmodell) für das Netzwerk.

Aus Sicht der Einschränkungen haben viele dieser Konzepte mit Applikations-Sandboxes für die Ausführung der Dateien zu tun, die sich auf demselben Rechner wie die Sandbox selbst befinden. Das unterscheidet sich etwas von meiner Auslagerungs-Taktik, die ich weiter oben erwähnt habe. In Sachen Applikations-Sandboxing gibt es einige tiefgründige Einschränkungen. Viele, wenn nicht sogar alle dieser Limitierungen haben direkt mit den Schwachstellen des darunterliegenden Betriebssystems zu tun.

Einige kürzlich aufgedeckte Kernel-Sidestep-Szenarien sind direkt auf Schwachstellen im Windows-Kernel zurück zu führen. Einer der berüchtigsten dieser Kernel-Exploits ist ein Stück Malware, das auch unter dem Namen Duqu bekannt ist. Kurz zusammengefasst, nutzt Duqu eine Eigenschaft in Microsoft Word aus. Sie basiert darauf, dass die Word-Anwendung einen Kernel-Aufruf tätigt und manipuliert die darunterliegende Engine für die Schriftarten. Selbstverständlich brauchen Sie umfangreiches Fachwissen, um einen Kernel-Exploit zu schreiben. Dennoch ist das eine Bedrohung, die man auf dem Radar haben muss.

Sprechen wir von ergänzenden Maßnahmen für Sandboxing, rate ich zu einer strikten ACL (Access Control List) in der Firewall. Am besten ist auch noch eine Art DPI-Mechanismus (Deep Packet Inspection) involviert. Auch wenn Sandboxing seine Grenzen hat, können Sie damit dennoch ausführbare Dateien auf gewisse Code-Aufrufe untersuchen. Sollten sich diese Aufrufe als böswillig herausstellen, hat sich der Aufwand mit der Sandbox bereits gelohnt. Mithilfe dieser Informationen können Sie begleitende Pakete beseitigen.

Artikel wurde zuletzt im Mai 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close