Sandboxing-Lösungen zur Analyse von Malware
Wie man Angriffe am besten abwehrt: Fünf Tipps für dynamisches "Sandboxing"
Es hat sich herausgestellt, dass Sandboxing Unternehmen vor genau diesen Angriffen schützen kann, weil es dabei unterstützt, unbekannte Malware zu identifizieren
Von Robert Arandjelovic, Sandboxing-Experte bei Blue Coat
(16.06.14) - Programmierer von Schadsoftware, so genannter Malware, sind clever und ausdauernd. Jeden Tag bleiben mehr als 200.000 neue Malware-Dateien unentdeckt. Leider sind Angriffe mit neuer Malware häufig erfolgreich: 90 Prozent aller Unternehmen haben innerhalb der letzten 24 Monate einen derartigen Sicherheitsverstoß gemeldet. Es gibt heute durch gezielte Angriffe mehr Datenschutzverletzungen als jemals zuvor, einige davon bleiben jahrelang unentdeckt – oftmals deshalb, weil sie unbekannte Sicherheitslücken in traditionellen, signaturbasierten Sicherheitsinfrastrukturen ausnutzen.
Es hat sich herausgestellt, dass Sandboxing Unternehmen vor genau diesen Angriffen schützen kann, weil es dabei unterstützt, unbekannte Malware zu identifizieren. Unglücklicherweise hat sich Malware in den letzten paar Jahren so weiterentwickelt, dass sie inzwischen in der Lage ist, sich abzuschalten sobald sie in eine "Sandbox"-Umgebung kommt. Deshalb ist es unbedingt notwendig, dynamisches "Sandboxing" zu ermöglichen – speziell die Nachbildung einer realen Umgebung. Zudem haben ältere Sandboxing-Lösungen Probleme, gerade die gefährlichsten Bedrohungen zu erkennen und anzuzeigen. Außerdem können sie meistens nicht mit anderen fortschrittlichen Sicherheitstechnologien interagieren, um so einen tiefgehenden und intelligenten Schutz aufzubauen.
Worauf sollte man also achten wenn man die Technologie des dynamischen "Sandboxing" nutzen möchte? Hier die fünf wichtigsten Auswahlkriterien:
>> Unterschiedliche Methoden der Erkennung: Das System sollte in der Lage sein, sowohl über Emulation als auch Virtualisierung unbekannte Bedrohungen aufzuspüren und geeignete Gegenmaßnahmen einzuleiten.
>> Flexible und realistische virtuelle Umgebungen schaffen: Sandboxing-Lösungen zur Analyse von Malware müssen die Produktivumgebung sehr realitätsnah darstellen und Schadsoftware auffinden, die spezifische Konfigurationen ausnützt.
>> Verhaltensbasierte Klassifizierung und maßgeschneiderte Risikobewertung: Eine Sandboxing-Lösung soll Schadsoftware nicht nur erkennen, sondern auch den Hintergrund der Bedrohung aufklären. Dazu ist es notwendig, verhaltensbasierte Muster zu verwenden anstatt code-basierter Signaturen, um Vorfälle auf ihr Schadenspotenzial hin zu bewerten.
>> Selektive Analyse statt Überprüfung aller Daten: Blind alle Daten zu scannen, die in ein Firmennetzwerk gelangen, bringt oft einen erheblichen Performanceverlust mit sich. Um dies zu vermeiden, sollten das Anti-Malware-Tool und das Analysetool des Netzwerks, das nach verdächtigen und bisher nicht identifizierten Verhaltensweisen sucht, unbekannte Informationen zu einer Bedrohung gezielt an die Sandbox weiterleiten. Diese sollte dann in der Lage sein, Bedrohungen zu beurteilen und zu priorisieren damit das Security-Team die Art der Bedrohung schnell verstehen und beseitigen kann.
>> Erkenntnisse global zugänglich machen: Alle Erkenntnisse einer Sandboxing-Lösung sollten einem weltweiten Netzwerk verfügbar gemacht werden, um künftigen Angriffen vorbeugen zu können. Damit lässt sich beispielsweise eine Quelle polymorpher Attacken unschädlich machen, der Weiterentwicklung bekannter Schadsoftware.
(Blue Coat Systems: ra)
Blue Coat Systems: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.