Websense rät zur Sandbox-Nutzung in der Cloud
So hebeln Hacker das Sandboxing aus
Die ständige Weiterentwicklung von Schadsoftware durch Cyberkriminelle hat den traditionellen Sicherheitsansatz der Unternehmen in den letzten Jahren an seine Grenzen gebracht, warnt Security-Spezialist Websense. Signaturbasierte Systeme wie Antivirensoftware oder Firewalls seien nicht länger in der Lage, den ausgefeilten Methoden moderner Bedrohungen standzuhalten. Dies hat zu einer immer weiteren Verbreitung von Sandboxing-Techniken geführt. Dabei werden verdächtige Dateien erst einmal in einem isolierten Bereich (""Sandkasten"") ausgeführt und untersucht, der keinerlei Verbindung zur restlichen Umgebung hat. Erweist sich die Datei dabei als Malware, kann sie so keinen Schaden anrichten. Doch die Cyberkriminellen, so Websense, haben darauf schnell reagiert und ihre Software mit der Fähigkeit ausgestattet, das Sandboxing auszuhebeln.
Zum Aushebeln der Sandbox genügte es zunächst, Schadcode einfach mit einer Zeitverzögerung auszustatten. Diese verhinderte, dass die Schadprogramme sofort ausgeführt werden, wodurch sie die Sandbox unerkannt passieren konnten. Die Antwort der Sicherheitsanbieter: Sie versetzten ihre Systeme in die Lage, zeitverzögernde Parameter in Programmcodes zu erkennen.
Doch der Konter ließ nicht lange auf sich warten. Die neueste Malware ist immer häufiger in der Lage, Sandbox-Instanzen aufzuspüren. In letzter Zeit häufen sich die Fälle, in denen die Angreifer Sandbox-Umgebungen erkennen und dann deren Ressourcen mit schadfreier Software auslasten – um parallel ungestört ihre Malware absetzen zu können. Das Erschreckendste dabei: Auf Web-Seiten wie Pastebin.com finden sich mittlerweile Mustercodes für diese Methodik. Cyberkriminelle müssen ihn nur noch per Copy and Paste zu ihren eigenen Schadcodes hinzuzufügen.
Was tun? Den vielversprechendsten Ansatz zur Abwehr dieser Gefahren liefere das Cloud-basierende Sandboxing, so der Sicherheitsexperte Websense. Zum einen sei es dynamisch skalierbar, sodass die Ressourcen – im Gegensatz zu entsprechenden Vor-Ort-Installationen – keine Grenze mehr darstellen. Zum anderen ermögliche es dem Sicherheitsanbieter, die Systeme konstant zu aktualisieren und dadurch mit den Autoren der Schadsoftware Schritt zu halten. Die hauseigene Security-Lösung Triton beispielsweise nutze dafür über 10.000 Analysen aus einem speziellen Sicherheitsnetzwerk, die ständig aktualisiert werden.
„“Die Verstärkung ihrer Sandboxing-Umgebung wird für Unternehmen angesichts der raffinierten Tricks von Cyberkriminellen immer wichtiger““, so Michael Rudrich, Regional Director Central Europe and Eastern Europe bei Websense in München. „“Die Cloud-Technik bietet hier mit ihren ureigenen Stärken – hohe Skalierbarkeit und die Möglichkeit zur Echtzeit-Aktualisierung – die besten Voraussetzungen.““
Stonesoft: NGFW lässt sich besser virtualisieren und integrieren
Cyberark: Verdächtiges Verhalten privilegierter Benutzer analysieren
Websense: Malware-Analyse lokal und in der Cloud
HP mit NGFW und Security-Infoplattform
Fortinet präsentiert Highend-Firewall mit 160 GBit/s Durchsatz
Lesen Sie mehr zum Thema
