lolloj - Fotolia

F

Wie Sandboxing und Container gegen Malware eingesetzt werden

Sandboxing und Container eignen sich hervorragend für die Abwehr von Schadsoftware. In Kombination lassen sich so zusätzliche Schutzebenen einziehen.

Vorab ein paar allgemeine, wichtige Punkte, bevor es konkret zu den Unterschieden zwischen Sandboxing und Software-Containern wird. Letztere werden manchmal auch als „jails”, also als eine Art Gefängnisse für Programme bezeichnet. Beide Ansätze haben unterschiedliche Vorteile. Am besten wäre es eigentlich, sie gemeinsam einzusetzen. Aber nur wenige Organisationen können dies leisten und haben das nötige Know-how, um sowohl Sandboxing als auch Software-Container nebeneinander zu nutzen.

Sandboxen waren vor einigen Jahren ein großer Erfolg, nachdem klar geworden war, dass Malware immer wieder an klassischen Antivirenlösungen vorbeikommt und sich trotzdem in Netzwerken einnisten kann. Das Problem mit Antiviren-Software ist, dass auf allen Maschinen signaturbasierte Agenten installiert werden müssen, die nur dann einen weitgehenden Schutz vor Schädlingen bieten, wenn sie immer auf dem aktuellsten Stand gehalten werden können. Weil Antivirenlösungen niemals alle Viren erwischen können, selbst wenn sie mit den neuesten Updates versehen und auf allen Workstations installiert worden sind, kam es zur Entwicklung von Sandboxing-Technologien.

Unterschiedliche Ansätze

Sandboxing basiert auf dem Einsatz von virtuellen Maschinen (VMs), um den ein- und ausgehenden Datenverkehr in einem Netzwerk zu überwachen. Die VMs werden dabei wie eine Engstelle eingesetzt, durch die auch jeglicher Schadcode hindurch muss. Die Idee hinter Sandboxing ist, jede unbekannte Datei in einer VM auszuführen, um herauszufinden, ob sie gefahrlos im Unternehmen installiert werden kann. Da es jedoch mehrere Möglichkeiten gibt, diese Methode auszutricksen, handelt es sich hierbei ebenfalls um keine hundertprozentig sichere Lösung. Sandboxing ist also nur eine zusätzliche Ebene zum Schutz vor Malware.

Anders bei einem Software-Container. Hier wird alles, was sich darin befindet, als gefährlich eingestuft. Dabei wird gar nicht versucht, herauszufinden, ob die Datei möglicherweise Schadcode enthält. Der Container verhindert ganz einfach, dass die Datei sich ausbreiten kann. Container nutzen auch keine Signaturen. Es geht nur darum, eventuelle Ausbruchsversuche der Datei zu blockieren.

Viele Software-Container werden um eine Anwendung herum gebaut und sorgen dafür, dass Attacken sich nicht auf andere Teile des Betriebssystems ausweiten können. Man kann deswegen davon sprechen, dass Container die Fähigkeiten von Sandboxing auf die einzelnen Maschinen in einem Netzwerk verteilt. Darüber hinaus gibt es Container-basierte Konfigurationsmöglichkeiten für Betriebssysteme wie zum Beispiel die so genannten „chroot jails” für Linux. Die Technik oder die Idee dahinter ist praktisch dieselbe: Alles, was sich in diesen Containern befindet, ist nicht vertrauenswürdig und wird dementsprechend behandelt.

Sandboxing und Container kombinieren

Für welche der beiden Technologien, Sandboxing oder Software-Container, sich ein Unternehmen letztlich entscheidet, ist keine leichte Entscheidung. Im Idealfall werden beide zusammen eingesetzt. Für Sandboxing werden Systeme am Perimeter benötigt, die alle unbekannten Dateien überprüfen, während sie das Gerät passieren. Dazu muss auf den Clients kein Agent installiert werden. Software-Container laufen dagegen meist auf den Workstations selbst. Sie hängen also davon ab, wie das jeweilige Gerät oder die Applikation konfiguriert ist.

Unternehmen sollten sich deswegen die Frage stellen, welcher Bereich momentan am stärksten gefährdet ist und welche der beiden Möglichkeit in ihrer Umgebung den größeren Zugewinn an Schutz bietet.

Die Entscheidung zwischen Containern und Sandboxen hängt also maßgeblich davon ab, wie die jeweilige eigene Architektur aufgebaut ist.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Container-Images und Container-Inhalte sicher einsetzen

Regeln für den sicheren Einsatz von Containern

Cyberangriffe mittels Sandboxing rechtzeitig erkennen und entschärfen

Aktuellen Malware-Bedrohungen richtig begegnen

Artikel wurde zuletzt im Februar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über NAC- und Endpunktsicherheits-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close