Cloud Sandboxing nimmt Malware unter die Lupe

Oftmals ist es dieser eine unüberlegte Klick auf den E-Mail-Anhang, der eine Infektion des Netzwerks mit Ransomware oder anderer Malware heraufbeschwört. Dabei kann man den Mitarbeitenden in den meisten Fällen keine böse Absicht unterstellen: Stress, Zeitdruck oder der Wille, etwas Gutes für den Kunden zu tun, führen letztlich zu Fehlern. Hinzu kommt, dass Hacker alles daransetzen, Malware zu tarnen und sie wie vertrauenswürdige Dateien aussehen zu lassen. Täglich kommen neue Angriffsmethoden und bisher unbekannte Bedrohungen hinzu. 

Bedrohungen lieber in die Cloud auslagern

Klassische Sicherheitslösungen stossen als Stand-alone-Produkte bei neuartigen Gefahren an ihre Grenzen. Denn sie können «nur» anhand diverser Kriterien eine potenzielle Bedrohung erkennen oder mit Heuristiken das Gefährdungsrisiko einschätzen. Vor diesem Hintergrund greifen immer mehr Organisationen auf die sogenannte Cloud-Sandbox-Analyse zurück. Denn die zu überprüfende Datei wird dabei tatsächlich in einer isolierten Testumgebung ausgeführt und man erkennt exakt, was sie letztlich tut. Somit kann man anhand der Untersuchung detaillierter entscheiden, ob es sich um einen gezielten Angriff, wie etwa einen Advanced Persistent Threat (APT), oder um eine ungefährliche Datei handelt.

Malware-Analyse mit System

Wie es der Name schon sagt, findet die Schadcode-Analyse in der Cloud statt. Sobald eine verdächtige Datei auf dem Endpoint oder dem Mailserver entdeckt wird, wird sie zur Analyse in ein Rechenzentrum weitergeleitet. In der dortigen-Sandbox-Umgebung erfolgen in der Regel folgende Schritte, um Malware zu erkennen:

• Ausführung in einer isolierten Umgebung: Die verdächtige Datei wird in einer vollständig isolierten Umgebung ausgeführt, in der es keinen Zugriff auf das Host-System oder andere Teile des Netzwerks gibt. Dadurch wird verhindert, dass sich die Malware verbreitet oder Schaden anrichtet.
• Überwachung der Aktivitäten: Die Cloud-Sandbox-Umgebung überwacht die Aktivitäten der Malware und zeichnet alle ausgeführten Prozesse, Dateizugriffe und Netzwerkverbindungen auf.
• Analyse des Verhaltens: Anhand der aufgezeichneten Aktivitäten kann das Verhalten von Malware analysiert werden. Dazu gehört beispielsweise das Erstellen neuer Dateien oder Prozesse, der Zugriff auf sensible Daten oder das Senden von Daten an ­externe Server.
• Erkennung von Signaturen: Die Malware kann auch anhand ­ihrer Signatur oder anderer bekannter Indikatoren erkannt werden. Dazu wird die Datei oder der Prozess mit einer Datenbank von bekannten Malware-Signaturen abgeglichen.
• Erkennung von Abweichungen: Schliesslich kann auch eine Abweichungsanalyse durchgeführt werden, um festzustellen, ob das Verhalten der Malware von der erwarteten Norm abweicht. Dadurch können auch neue oder bisher unbekannte Malware-­Varianten erkannt werden.

Lautet das Ergebnis «sauber», kann die Datei aus der Sandbox heraus in die Produktionsumgebung freigegeben beziehungsweise in das Netzwerk zurückgespielt werden. Oder, je nach Einstellung, auch sofort isoliert oder beseitigt werden. Der gesamte Vorgang dauert nur wenige Augenblicke. 

Cloud Sandboxing lohnt sich

Die Vorteile dieses Vorgehens liegen auf der Hand: Es steigert, wie beschrieben, das Sicherheitsniveau der eigenen Organisation deutlich. Malware wird noch zuverlässiger erkannt und kommt zu keiner Zeit mit dem eigenen Netzwerk in Berührung. Die Auslagerung der Analyse schont die Performance der eigenen Hardware, weil sie keinen aufwendigen Malware-Scan vornehmen muss. Die softwaremässige Einrichtung von Cloud Sandboxing ist schnell gemacht und erfordert keine zusätzlichen Ressourcen. 

Mehr Sicherheit plus Datenschutz: Immer mehr Anbieter besitzen eigene Rechenzentren in der EU und achten penibel darauf, welche Daten zur Analyse eingereicht werden. Somit ist die Einhaltung von DSGVO und revDSG garantiert.
 

Weitere Informationen finden Sie hier: eset.ch

"Lieber die Malware in der Cloud als im eigenen Netzwerk" 

Die Beliebtheit von Cloud Sandboxing nimmt rasant zu: Immer mehr Organisationen erkennen dessen Mehrwert und die Vorteile. Was Unternehmen darüber wissen sollten, erklärt Rainer Schwegler, Manager Territory Schweiz bei Eset, im Interview. Interview: Tanja Mettauer
 

Warum muss man in der Cloud zusätzlich testen, wenn es doch den Endpoint-Schutz gibt?

Rainer Schwegler: Moderne Bedrohungen wie Ransomware und Zero-­Days sind so komplex, dass sie von Endpoint-Lösungen nicht in angemessener Zeit enttarnt werden können. Dafür reicht meistens die Rechenleistung nicht aus. Oder die Hardware ist dann so am Limit, dass Mitarbeitende kaum ihrer täglichen Arbeit wie gewohnt nachgehen können. Wir erkennen in unseren Virenlaboren täglich mehr als 71 000 Ransomware-Angriffe – pro Stunde! In derselben Zeit kommen mehr als 50 neue und brandgefährliche Zero-Days hinzu. Da kann man sich leicht vorstellen, wie immens die Systeme mit der Abwehr der Bedrohungen beansprucht sind.

Wie performant arbeiten die in der Cloud eingesetzten Rechner? 

Das variiert von Anbieter zu Anbieter. Beispielsweise besitzt das Rechenzentrum von Eset die Power eines Supercomputers, den man sich wie einen Verbund von 16 000 aktuellen i7-CPUs vorstellen kann. Damit sind wir für die Zukunft bestens aufgestellt. Zudem ist die Rechenleistung schnell erweiterbar, sollte dies notwendig sein. Mit dieser Power im Rücken können wir sowohl physikalische als auch virtuelle Sandboxes zur Verfügung stellen. Professionelle Malware ist in der Lage, virtuelle Testumgebungen zu erkennen und sich entsprechend «brav» zu verhalten. In der physikalischen Umgebung zeigt die potenzielle Bedrohung auf jeden Fall ihr wahres Gesicht. Je nach Grösse und Umfang der zu untersuchenden Datei liegt das Ergebnis in Sekunden, maximal fünf Minuten bereit.

Wovor genau kann Cloud Sandboxing schützen?

Die Analyse von ausführbaren Dateien in einer Cloud Sandbox bietet zusätzlichen Schutz vor einer Reihe an Bedrohungen wie Zero-Days, Advanced Persistent Threat, Phishing per Dateianhang, Ransomware oder sonstiger Schadsoftware. Dabei spielt es keine Rolle, ob sie per USB, als E-Mail-Anhang oder per Download verbreitet werden. Vor allem schützt die Überprüfung in der Cloud die eigene Produktivumgebung. Zum einen, weil Schadcode dort erkannt sowie bekämpft wird und danach keine Gefahr mehr darstellt. Zum anderen, weil das eigene Netzwerk mit der vermeintlichen Malware nicht in Berührung kommt.

Wie läuft so eine Analyse bei Eset ab?

Eset Liveguard Advanced ist eine cloudbasierte Lösung zur Abwehr von Bedrohungen, die alle eingereichten, verdächtigen Samples in einer isolierten Testumgebung im Eset Headquarter ausführt. Das Verhalten der suspekten Datei wird mithilfe von Threat Intelligence Feeds, verschiedenen internen Tools zur statischen und dynamischen Analyse, Machine Learning sowie Reputationsdaten bewertet. Die Analyse erfolgt auf vier unterschiedlichen Ebenen und stoppt sofort, wenn das Ergebnis sicher feststeht. Das spart Zeit und Ressourcen. 

Wie lassen sich Cloud Sandboxing und der Datenschutz in ­Einklang bringen? 

Bei europäischen Anbietern wie Eset gehen Cloud Sandboxing und der Datenschutz Hand in Hand. Die europäische Datenschutzgrundverordnung, EU-DSGVO, und auch das neue Schweizer Datenschutzgesetz, revDSG, werden exakt eingehalten: Es beginnt mit Rechenzentren in der Europäischen Union und endet mit der Verwendung des Mindestmasses an persönlichen Daten, damit eine Untersuchung ordnungsgemäss stattfinden kann. Standardmässig werden Informationen direkt nach der Analyse in der Cloud Sandbox gelöscht und die Ergebnisse als anonymisierte Hash-Werte mit der eigenen Organisation geteilt. Dabei bestimmen die Sandbox-Betreiber nicht alle Regeln allein. Der Sicherheitsverantwortliche der Organisation kann ergänzend klare Vorgaben setzen, welche Ausnahmen bezüglich Dateiformaten, Nutzergruppen oder einzelner User, etwa Betriebsrat, Vorstand oder Personalabteilung, gelten sollen.