Das Jahr 2016 hat Security-Experten ganz schön auf Trab gehalten: Erpressungsversuche mit Ransomware haben in Effizienz und Raffinesse, Menge und Vielfalt stark zugenommen. Gross angelegte DDoS-Attacken liessen wichtige Sites für Stunden unerreichbar. Es ist offensichtlich, dass Cyberkriminelle immer intelligenter werden und neue Varianten von Mal- oder Ransomware im Minutentakt veröffentlichen. Wie aber schützt man sich vor solchen Angriffen – vor allem, wenn es sich um eine noch unbekannte Bedrohung handelt?
Bekannte Malware wird typischerweise von signaturbasiertem Schutz wie Antivirus- (AV) und Intrusion-Prevention-Systemen (IPS) erkannt und blockiert. Doch Cyberkriminelle wissen, dass die meisten Organisationen – auch kleine und mittlere Unternehmen – solche Technologien implementiert haben, darum legen sie ihren Fokus auf unbekannte Malware. Hacker schaffen neue Angriffsmethoden, um Schutzmassnahmen leichter zu umgehen.
Eine grosse Gefahr stellt die sogenannte Zero-Day-Malware dar, die bis dato unbekannte Schwachstellen ausnutzt oder auf neue Variationen von bekannter Malware setzt, die vorher noch nicht gesehen wurden. Cyberkriminelle nutzen auch weiterhin Bots, um die Verbreitung von Malware zu erweitern und zu beschleunigen.
Traditionelle Sandboxen reichen nicht mehr
Zur Perimeter-Abwehr setzten viele Kunden bereits auf Sandboxing-Lösungen. Hierbei können in einer isolierten, kontrollierten, virtuellen Netzwerkumgebung, getrennt vom eigentlichen Netzwerk, verdächtige Dateien ausgeführt, beobachtet, analysiert und frühzeitig identifiziert werden, ohne das richtige Netzwerk in Gefahr zu bringen. Ein Benutzer wird simuliert, Dateien werden auf verschiedene Weise aktiviert, und die Aktivitäten werden genau überwacht. So können Auffälligkeiten und ungewöhnliche Muster frühzeitig und ohne Gefährdung entdeckt werden.
Die eigentliche Herausforderung besteht heute darin, dass traditionelles Sandboxing auch den Cyberkriminellen bekannt ist und sie sich darin übertreffen, Malware zu entwickeln, welche diese Technologien umgehen kann. Tatsächlich gibt es Malware, die feststellt, dass sie sich in einer Sandbox befindet und den Schadcode nicht ausführt, sondern wartet, bis sie ausserhalb der Sandbox, auf einem tatsächlichen Endpunkt ist.
Ein weiterer Ansatz, den Hacker gerne verwenden, sind Sleep-Timer, die sie in die Malware einbauen. Diese ermöglichen, dass sich der Schadcode nach Minuten aktiviert – oder sogar erst nach Tagen oder Monaten –, auf jeden Fall lange nach der Inspektion, bei der eine Datei als sicher markiert wurde. Diese Ausweichmanöver und Umgehungen belegen, dass aktuelle Technologien nicht mehr genügen. Sicherheitslösungen müssen sich ständig weiterentwickeln und sie müssen den Cyberkriminellen eine Nasenlänge voraus sein.
Erweiterte (advanced) Sandboxen nehmen sich dieser Problematik an. Sie nutzen die Möglichkeiten des traditionellen Sandboxings, haben aber zusätzlich die Fähigkeit, Malware zu stoppen, bevor sie heruntergeladen wird. Dazu werden Aktivitäten schon auf dem Prozessor-Level während der Exploit-Phase beobachtet. In dieser Zeitspanne versucht der Angreifer, rechtswidrige Ausführungsrechte aus dem Betriebssystem zu erhalten. Traditionelle Sandboxen, kombiniert mit Sandboxing auf der CPU-Ebene (dem Hauptprozessor eines Computers), ergeben solche advanced Sandboxen mit einer der höchstmöglichen und äusserst schnellen Erkennungsrate für Malware.
Endpunktgeräte nicht vergessen
In einer zunehmend vernetzten Welt müssen auch KMU ihren Mitarbeitern Flexibilität bieten. Über eine Vielzahl an Geräten sollen sie Zugriff auf Unternehmensdaten haben, ob vom Büronetzwerk, einem externen Standort oder von unterwegs. In vielen Organisationen werden diese Geräte jedoch nur unzureichend, mit traditionellen, signaturbasierten Anti-Virus-Agenten geschützt. Diese erkennen lediglich bekannte Bedrohungen, sofern sie immer auf dem aktuellen Stand gehalten werden.
Um moderne Angriffe in E-Mails, auf Wechseldatenträgern sowie webbasierte Bedrohungen erkennen und abwenden zu können, muss der Schutz direkt am Endpunkt ansetzen. Eine eingriffsfreie Implementierung, die auf einem externen Sandboxing-Modell beruht, hat minimale Auswirkungen auf die lokale Leistung, sorgt aber für volle Kompatibilität mit bereits installierten Anwendungen. Mitarbeiter können mit einer sicheren Version gängiger Dokumentenformate frei von Schadprogrammen arbeiten, während gleichzeitig eine gründliche Analyse der Datei erfolgt. Die Sicherheitslösung muss verdächtige Kommunikationsaktivitäten erkennen, die von infizierten Geräten erzeugt werden. Sie muss Versuche blockieren, sensible Daten des Unternehmens zu exfiltrieren, und stellt infizierte Endpunkte unter Quarantäne, um eine Verbreitung der Infektion zu verhindern.
Eine erweiterte Sandboxing-Lösung, mit Schutz auch am Endpunkt, erlaubt, im Sicherheitsansatz proaktiv zu sein. Wer ständig auf Probleme reagieren muss, nachdem sie auftreten, anstatt sie zu verhindern, setzt sich unnötigen Risiken aus und verschwendet Zeit, Energie und Geld.
Checkliste
Wer eine Sandboxing-Lösung evaluiert, sollte folgende Punkte beachten und prüfen, ob die Technologie diese Fähigkeiten besitzt:
- Die Sandbox muss die Fähigkeit haben, Angriffe zu erkennen und zu blockieren – und zwar schon beim ersten Angriffsversuch.
- Evasion Resistance (Widerstand gegenüber Ausweichmassnahmen und -mechanismen) ist sehr wichtig. Eine Sandboxing-Lösung muss Malware erkennen, bevor sie ihre volle Wirkung entfalten kann.
- Eine ebenso schnelle wie auch genaue Entdeckung, aber auch eine rasche Auslieferung der Dateien an dem Empfänger ist essenziell, damit die Produktivität eines Unternehmens in keiner Weise behindert wird.
- Die Sandbox muss die Fähigkeit haben, gängige Dateitypen, die immer wieder verwendet werden, zu unterstützen. Das sind beispielsweise PDF-Dateien, Word-Dokumente, Excel-Sheets oder Zip-Dateien. Zudem muss sie fähig sein, Web-Objekte wie Flash oder Java zu unterstützen.
Weitere Informationen:
www.checkpoint.com
