Viele Unternehmen sind sich der Schwachstellen in ihren IT-Anwendungen nicht bewusst. Wenn es jedoch an kritischer Transparenz an den Endpunkten mangelt, haben Cyberkriminelle leichtes Spiel.
Am Ende bleibt häufig nur, Malware-Infektionen zu bereinigen und die Mitarbeiter im Nachhinein über Patches aufzuklären. Was wäre aber, wenn Firmen ihre Mitarbeiter anweisen könnten, die richtigen Anwendungen zu patchen, bevor eine der Schwachstellen einem Angriff zum Opfer fällt?
Um das Risiko von Cyberangriffen zu reduzieren und sie im Ernstfall abzuwehren, müssen Unternehmen zuerst kritische Schwachstellen in ihrer IT-Landschaft erkennen. Hierfür eigenen sich Sandbox-Lösungen besonders gut: In isolierten Systemumgebungen können so Anwendungen getestet, auf Schwachstellen untersucht und die Auswirkungen von Malware geprüft werden.
Moderne Plattformen wie SonicWalls Capture Advanced Threat Protection (ATP) nutzen hierbei Virtualisierungstechniken, um verdächtiges Code-Verhalten zu analysieren. Die Lösung scannt den Datenverkehr, extrahiert verdächtigen Code zur Analyse und deckt einen breiten Bereich von Dateigrößen und -typen ab.
Im Speicher versteckte Bedrohungen aufdecken
Netzwerk-Sandbox-Engines führen Dateien aus, protokollieren die resultierende Aktivität und suchen daraufhin nach bösartigem Verhalten. Die Bewertung dieser Aktivitäten und Verhaltensweisen sind in der Praxis anfällig für Fehleinschätzungen. Althergebrachte Sandbox-Systeme zogen häufig Verzögerungen im Arbeitsablauf, eine unbefriedigende Endnutzererfahrung und unzählige IT-Tickets nach sich.
Damit bösartiges Verhalten verborgen bleiben kann, setzen Malware-Autoren ortschrittliche Techniken ein, darunter benutzerdefinierte Verschlüsselungen und Verschleierungstaktiken, die gegenüber der Sandbox gutartiges Verhalten vortäuschen. Diese Techniken verbergen oft ausgefeilte Waffen, die nur bei der dynamischen Ausführung der Malware sichtbar werden. In den meisten Fällen ist es unmöglich, diese Vorgänge in Echtzeit mit statischen Erkennungstechniken zu analysieren. Eine aktuelle Multi-Engine-Sandbox verfügt über die Fähigkeit, Dateien am Gateway zu blockieren, bis ein Urteil über sie gefällt wurde. Das Multi-Engine-Design ist darauf ausgelegt, ausweichende Malware zu erkennen und zu stoppen. Unbekannte Dateien können so in isolierten parallelen Umgebungen verarbeitet werden, um zu sehen, was verdächtiger Code zu tun beabsichtigt – von der Anwendung über das Betriebssystem bis hin zur Software, die sich auf der Hardware befindet
Aktuelle Cybersecurity-Technologie erkennt und blockiert Malware, die kein bösartiges Verhalten zeigt und ihr schadhaftes Potential durch Verschlüsselung versteckt. Um gepackten und komprimierten Malware-Code zu entdecken wird dieser in einer sicheren Sandbox-Umgebung entpackt. Die Sandbox-Engine macht ersichtlich, welche Code-Sequenzen sich in den gepackten Dateien verbergen und vergleicht sie mit vertrauenswürdigen Code-Sequenzen. Die Identifizierung von bösartigem Code im Speicher ist dabei präziser als der gängige Ansatz, das Systemverhalten von Malware dem Verhalten von sauberen Programmen gegenüberzustellen.
Echtzeitanalyse von Malware
Um die eigenen Systeme effektiv abzusichern, muss bösartiger Code im Speicher in Echtzeit während der Ausführung erkannt werden. SonicWalls Capture Advanced Threat Protection bietet hierfür die Technologie Real-Time Deep Memory (RTDMI). RTDMI-Engine erkennt und blockiert proaktiv Zero-Day-Bedrohungen und unbekannte Malware durch Inspektionen direkt im Speicher. Die Echtzeit-Architektur der Technologie macht diese präzise, minimiert Fehlalarme und identifiziert und entschärft anspruchsvolle Angriffe.
Dabei ist es besonders wichtig, dass die Sicherheitslösung die Analyse eines breiten Spektrums von Dateitypen und -größen unterstützt. Einschließlich ausführbarer Programme, PDFs, MS-Office-Dokumenten, Archiven, JAR- und APK-Dateien. Auch unterschiedliche Betriebssysteme, einschließlich Windows und Android, müssen unterstütz werden. Administratoren müssen die Option haben, den Schutz individuell anzupassen: So sollten sie Dateien auswählen beziehungsweise ausschließen und diese zur Analyse an einen Cloud-Dienst senden können. Um zu verhindern, dass potenziell bösartige Dateien in das Netzwerk gelangen, werden dabei die Dateien, die zur Analyse an den CloudDienst gesendet werden, am Gateway zurückgehalten, bis sie final bewertet werden konnten.
Wenn eine Datei als schädlich identifiziert wird stellen zeitgemäße Cybersecurity-Plattformen eine Signatur für Firewalls zur Verfügung, um Folgeangriffe zu verhindern. Darüber hinaus wird die Malware in der Regel an den Security-Anbieter zur weiteren Analyse und Aufnahme in eine Datenbank weitergeleitet.
Reports und Alerts übersichtlich anzeigen
Eine gute Sicherheitsplattform sollte auch umfassende Übersichtsfunktionen bieten: Zum Beispiel ein Dashboard, das Bedrohungsanalysen und Berichte präsentiert und Analyseergebnisse zusammenfasst – inklusive Quelle, Ziel und weiteren Details zur Malware. Auch Firewall-Protokollwarnungen und Benachrichtigungen über verdächtige Dateien sollten einfach abzurufen sein.
Bei SonicWalls Capture Advanced Threat Protection geben beispielsweise übersichtliche Balkendiagramme Aufschluss darüber, an welchen Tagen Malware entdeckt wurde. Administratoren haben die Möglichkeit, auf einzelne Tagesergebnisse zu klicken und Filter anzuwenden, um schnell bösartige Dateien und relevante Ergebnisse zu sehen.
Fazit
Mit einer modernen Cloud-basierten Multi-Engine-Lösung für Cybersecurity stoppen Unternehmen Angriffe auf ihr Netzwerk und verbessern die Erkennungsraten bei der Analyse von Dateien deutlich. Bedrohungen und unbekannte Malware werden proaktiv aufgedeckt, analysiert und beseitigt.
Silvan Noll, SE Manager Central Europe, SonicWall, www.sonicwall.com