Andrea Danti - Fotolia

Cyberangriffe mittels Sandboxing rechtzeitig erkennen und entschärfen

Sandboxing setzt man im Kampf gegen besondere Risiken oder verdächtige Objekte ein. Sandbox-Systeme verhindern im Vorfeld das Eindringen von Malware.

Die globale Vernetzung der Wirtschaft von den größten bis zu den kleinsten Unternehmen verlangt von der Unternehmens-IT heute Flexibilisierung, Individualisierung, Digitalisierung und Transformation. Herkömmliche Security-Technologien wie Antivirus- und Firewall-Lösungen zur Abwehr und Bekämpfung bereits bekannter digitaler Gefahren und mittlerweile täglich erfolgender Cyberangriffe gehören längst zur Pflichtausstattung der Unternehmens-IT. 

Sie müssen unbedingt zum Einsatz kommen, um Datensicherheit, Datenschutz, Know-how-Schutz und vor allem die Verfügbarkeit der digitalen Geschäftsprozesse zu gewährleisten. Dies ist schon aus Compliance-Gründen unumgänglich, wollen Unternehmens- und IT-Verantwortliche nicht finanzielle und rechtliche Konsequenzen für das Unternehmen und sich selbst riskieren.

Ist die Infrastruktur noch aktuell?

Selbst komplexe und intelligente Sicherheitslösungen benötigen aber zusätzliche Erweiterungen, um potenzielle, von den vorgenannten Systemen nicht erfassbare Bedrohungen identifizieren, isolieren und analysieren zu können – und das, ohne die Netzwerkleistung oder die Arbeit zu beeinträchtigen. Schließlich darf Security kein Engpass sein.

Christian Vogt,
Regional Director Germany,
Fortinet

Zur Unterstützung der herkömmlichen Security-Tools empfiehlt sich der Einsatz von Appliances – also Kombinationen aus Hardware mit speziell dafür entwickelter, nicht angreifbarer Software –, die Lösungen wie beispielsweise Next-Generation Firewall (NGFW) und Sandboxing im Kampf gegen besondere Risiken oder verdächtige Objekte mitbringen. 

Next-Generation Firewalls können die Eindringlinge mit ihren eigenen Waffen schlagen, indem sie diese auch bei Aktivitäten innerhalb des Netzwerks erwischen, beispielsweise beim „Nach-Hause-Telefonieren“ oder beim Versuch des „Ausschmuggelns“ von Daten.

Software beziehungsweise Datenfragmente, die sich bereits vorher verdächtig machen oder deren „Auswirkungen“ unbekannt sind, sollten unbedingt schon vor dem „Betreten“ des Netzwerks in einer isolierten Umgebung – der Sandbox – auf Herz und Nieren geprüft werden. Sie werden dort zur Ausführung gebracht, und es wird genauestens analysiert, was sie tun beziehungsweise versuchen zu tun. Vorteile dieser Herangehensweise:

  • Schädliche Aktivitäten werden nicht im Netzwerk, sondern in einer geschlossenen Umgebung ausgeführt und ihr Verhalten analysiert.
  • Das Netzwerk wird in seiner Leistung auch dann nicht beeinträchtigt, wenn eine große Anzahl solcher Prüfungen gleichzeitig erfolgen muss.
  • Die Analyse der festgestellten Aktivitäten innerhalb der Sandbox hilft bei der Weiterentwicklung von Identifizierungs- und Schutzmaßnahmen.

Verdächtige Daten in Echtzeit erkennen und analysieren

Appliances, die über Sandboxing-Funktionen verfügen, gehören zur nächsten Generation der Schutzmechanismen gegen neuartige Bedrohungen. Diese Systeme erkennen Angriffe in Echtzeit und leiten unbekannte, verdächtige Daten oder Dateien in eine Umgebung (Sandbox), in der diese in einer realen, aber gesicherten Umgebung zur Ausführung gebracht werden, um deren Verhalten genauestens zu analysieren. Ein Beispiel dafür ist ausführbarer Code in *.exe- oder *.pdf-Dateien.

Sandbox-Lösungen sollten dabei mit bereits vorhandenen herkömmlichen Werkzeugen wie Firewall-Segmentierung, Virtual Private Network (VPN), starker Authentifizierung, Intrusion Prevention Systems (IPS), Antimalware, Webfilter und Data Loss Prevention (DLP) et cetera zusammenarbeiten beziehungsweise diese ergänzen. Neben reinen Hardware-Lösungen können hier auch preiswerte virtuelle Sandbox-Systeme zum Einsatz kommen, wenn Performance (gerade in mittelständischen Unternehmen) an dieser Stelle keine Rolle spielt.

Sandboxing: Abwehr auf zwei Ebenen

Für Sandboxing kommen zwei Technologien zum Einsatz.

Ebene 1: Code Emulation

Effiziente Code-Analysen beziehen sich immer auf mehrere Plattformen und deren Anwendungen beziehungsweise Browser-Versionen. Der automatisierte Prozess setzt dabei eher auf das Lesen und Analysieren von Anweisungen im Code, um diesen als bösartig, verdächtig oder harmlos einzustufen. Die kontrollierte Ausführung des Codes sollte natürlich optional erfolgen können.

Wesentliche Vorteile sind:

  • Unabhängigkeit vom Betriebssystem
  • Immunität gegen „Vermeidungsstrategien“ in Bezug auf Antivirus und virtuelle Maschinen (VM)
  • Geschwindigkeit im Prüf- und Ausführungsprozess innerhalb der Sandbox

Ebene 2: Vollständige Betriebssystem-Virtualisierung

Für die Ausführung von potenziell gefährlichem oder bösartigem Code wird eine vollständige und isolierte virtuelle Umgebung eingerichtet. Die Aktivitäten aller Stadien werden hinsichtlich verursachter Veränderungen in System, Speicher, Registry und Rechtevergabe, Exploit-Versuchen nachfolgender Downloads und Kommunikation mit externen Websites oder Servern aufgezeichnet und analysiert. Außerdem macht angesichts des umfassenden Virtualisierungstrends die Prüfung auf VM-Vermeidungstechnologien Sinn.

Wesentliche Vorteile sind:

  • Code-Aktivitäten werden in Echtzeit analysiert
  • Zugriff auf den vollständigen Aktivitätsumfang (Lifecycle) des Schadcodes in allen Stufen vom Download bis hin zum eigentlichen Zielprozess des Malware-Systems
  • Wissen über den Lifecycle für nachfolgende Ermittlungen und Verbesserung der Schutzmaßnahmen

Diese beiden Technologien ergänzen einander, unterstützen beziehungsweise entlasten die dahinter geschalteten herkömmlichen Sicherheitstechnologien und halten das Netzwerk für seine eigentliche Aufgabe frei – die Unterstützung der Geschäftsabläufe.

Wichtige Eigenschaften einer Sandbox-Lösung

Bei der Auswahl einer Sandbox-Lösung kommt es darauf an, dass sie den aktuellen Stand sowohl der Netzwerktechnik als auch der Schadsoftware-Entwicklung widerspiegelt. Es gibt beispielsweise Schädlinge, die sich „abschalten“, weil sie erkennen, dass sie sich in einer Sandbox befinden.

Wichtige Eigenschaften sind demnach:

  • genaue Nachbildung (Emulation) auch virtualisierter Netzwerkumgebungen
  • gezielte automatische Auswahl und Übergabe von „Sandbox-Kandidaten“, um nicht den Datenstrom im Netzwerk zu verlangsamen
  • Einteilung und Bewertung der „Prüflinge“ nach ihrem Verhalten und Schadpotenzial
  • optionale Bereitstellung der beim Sandboxing gewonnenen Erkenntnisse an den Hersteller, der aufgrund dieser Informationen seine Lösungen weiterentwickeln und das Ergebnis seinen Kunden als Update zur Verfügung stellen kann.

Hintergrund

Cyberkriminelle können herkömmliche Abwehrmethoden immer professioneller umgehen, indem sie ihre Schadsoftware laufend verändern und tarnen beziehungsweise technologisch weiterentwickeln. Insbesondere die Ausnutzung von sogenannten Zero-Day-Exploits spielt hier eine zunehmende Rolle. Es handelt sich dabei um noch nicht öffentlich bekannte Schwachstellen in Anwendungen und Protokollen, für die es seitens der Software-Hersteller noch kein Update gibt. Dadurch werden diese Anwendungen und Protokolle angreifbar und können somit manipuliert werden – was letztlich zu Systemausfällen oder Datendiebstahl führen kann.

Die Unternehmen versuchen mit Mühe, Schädlinge von ihren Netzwerken fern- und die Türen geschlossen zu halten. Andererseits werden durch umfassende Vernetzung, Mobilität, Digitalisierung und eine kontinuierlich steigende Anzahl von Software (Stichwort Apps) zusätzlich immer mehr „Einfallstore“ in die Unternehmensnetzwerke eingebaut. Hier tut sich ein eklatanter Widerspruch auf zwischen dem Anspruch an die Leistungsfähigkeit des Unternehmensnetzwerks und dessen Sicherheit. Unzureichende Schutzmaßnahmen in Verbindung mit veränderter, nicht erkannter Schadsoftware können zu enormen Sicherheitsrisiken mit Folgen sowohl indirekt durch den Imageverlust als auch direkt durch wirtschaftliche Schäden werden. Aber: Bereits einer dieser Faktoren kann ausreichen, ungebetene „Gäste“ ins Allerheiligste vordringen zu lassen.

Fazit

Sandboxing kann im Vorfeld verhindern, dass Schadsoftware in das Unternehmensnetzwerk eindringt. Voraussetzung ist natürlich, dass die Sandbox-Lösung mit den weiteren Sicherheitsmechanismen interagiert, um so viele Schädlinge wie möglich zu erkennen, unschädlich zu machen und zu analysieren. Sandboxing darf den Netzwerkbetrieb nicht durch unnötige Prozesse aufhalten.

Die Nutzenaspekte des „Sandboxing“ aus der Sicht des Unternehmens sind zahlreich. Zum einen wird die IT-Sicherheit als Faktor des wirtschaftlichen Erfolgs verbessert. Durch automatisierte Security-Prozesse wird das IT-Personal entlastet. Die Netzwerkleistung wird nicht beeinträchtigt und das Know-how- und der Datenschutz werden optimiert.

Cyberkriminalität beginnt oft mit entwendeten Zugangsdaten. Mit dem Internet verbundene Server sind und bleiben beliebte Angriffsziele. Das Mindeste, was Unternehmen für deren Verteidigung tun müssen, ist der Einsatz von Intrusion Prevention (IPS) und von Web Application Firewalls

Aber auch Aktivitäten innerhalb des Netzwerks müssen überwacht und protokolliert werden. Interne Gateways mit tiefergehender Inhaltskontrolle per IPS, Schadsoftware-Bekämpfung und Sandboxing sind dringend zu empfehlen. So bleiben auch Systeme mit großen Datenströmen sicher und agil, beispielsweise in virtuellen Umgebungen oder beim Einsatz von Big-Data-Analysen.

Über den Autor:
Christian Vogt ist Regional Director Germany bei Fortinet. In dieser Rolle verantwortet er das Gesamtgeschäft des Sicherheitsspezialisten in Deutschland. Christian Vogt verfügt über langjährige Erfahrung mit großen und strategischen Kunden im Markt für Sicherheits- und Netzwerktechnologie sowie in der Telekommunikationsbranche. Er studierte Betriebswirtschaft und hatte vor seinem Eintritt bei Fortinet 2006 unter anderem Positionen bei Cable & Wireless Deutschland, Inktomi und Oracle inne.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close