IT-Sicherheit
Sandboxes Wunderwaffen gegen Ransomware?
Fortsetzung des Artikels von Teil 1
Verschiedene Lösungsvarianten
Die richtige Lösung finden
Schließlich gibt es messbare „Pseudokriterien“ wie die Geschwindigkeit, mit der eine Sandbox überprüft. Es gibt Sandboxes, die das Herunterladen von Dateien, die sie untersuchen, blockieren. Der Download dauert dann durchschnittlich drei bis vier Mal so lange. Der Anwender sieht einen langsameren Download und bekommt die vollständige Datei erst nach der Überprüfung. Fällt jedoch in der abgeschotteten Umgebung ein ungewöhnliches Verhalten auf, wird die auslösende Datei nicht zugestellt. Der Nutzer bekommt eine Fehlermeldung.
Die andere Lösungsvariante stellt die Dateien sofort vollständig zu. Erkennt sie ungewöhnliches Verhalten, schlägt sie beim Anwender erst im Nachhinein Alarm. Der Nutzer muss sofort und richtig reagieren. Zu dem Zeitpunkt kann Ransomware den Rechner des Anwenders schon verschlüsselt haben und sich im Netz ausbreiten. So können Unternehmen bekanntermaßen finanzielle Schäden erleiden. Und auch für die IT entsteht durch einen solchen Sicherheitsvorfall ein erheblicher Mehraufwand.
Wohin mit der Sandbox?
Sandboxes unterscheiden sich auch darin, wo sie laufen. Es gibt Lösungen, die On-Premise installiert sind, und solche aus der Cloud. Sandboxing benötigt sehr viel Leistung – denn es laufen mehrere virtuelle Maschinen parallel, die auch überwacht werden müssen. Für viele kleine Unternehmen bedeutet das, dass sie nicht ausreichend Kapazitäten zur Verfügung haben. Eine Möglichkeit ist, sich vom Security-Gateway-Hersteller eine lokale Sandbox-Lösung zu kaufen. Diese besteht meistens aus einem High-End-Server mit großem Speicher und vielen CPU-Kernen, auf dem mehrere abgeschottete Sandbox-Instanzen parallel laufen. Diese Lösung kann für Unternehmen interessant sein, die Daten aus Compliance-Gründen nicht aus der Hand geben möchten.
Aus Kostengründen bietet es sich jedoch an, eine Sandbox-Lösung aus der Cloud zu wählen. Hersteller von Security Gateways bieten diese meist als Service an. Sie verfügen über einen leistungsfähigen Rechnerpark. Die zu untersuchenden Dateien werden dorthin übertragen und dann überprüft. Ein solcher Anbieter lastet seine Ressourcen effizient aus, weil er mehrere Kunden bedient. Agiert er zudem weltweit, deckt er unterschiedliche Zeitzonen ab, sodass seine Ressourcen lückenlos und effizient ausgelastet sind, was die Kosten für Anwenderunternehmen oft sinken lässt. Die Abrechnungsmodelle sind dabei unterschiedlich – etwa je nach Anzahl der Nutzer oder der durchgeführten Scans.
Unternehmen brauchen ein Security-Repertoire
So wirksam Sandboxes auch gegen die aktuelle Flut an Schadsoftware sein mögen – andere Sicherheitsmaßnahmen dürfen darüber nicht vernachlässigt werden, denn die Sandbox ersetzt diese nicht. Da eine zentrale Sandbox nur am Perimeter wirkt, scannt sie lediglich solche Dateien, die von außen ins Unternehmensnetzwerk gelangen. Bedrohungen können jedoch auch von innen kommen, beispielsweise durch USB-Sticks, die Mitarbeiter an ein Endgerät anschließen. Unternehmen sollten ihre Mitarbeiter für solche Risiken sensibilisieren. Wenn mobile Endgeräte wie Laptops das Unternehmensnetzwerk verlassen und Benutzer über ein Hotel-WLAN ins Internet gehen, dann läuft die Kommunikation oft nicht über die zentrale Sandbox des Unternehmens. Deshalb sollten vor allem Endpoint Security Clients eingesetzt werden, die Sandbox-Mechanismen als zusätzliche Abwehrmechanismen zu lokalen Firewalls und Antivirenscannern auf den Endgeräten integrieren, um einen möglichst umfassenden Schutz zu garantieren.
Ulf-Gerrit Weber ist Senior Security Consultant bei Axians IT Security
- Sandboxes Wunderwaffen gegen Ransomware?
- Verschiedene Lösungsvarianten
Lesen Sie mehr zum Thema
