Sandboxes sind nur unzureichend gegen Advanced Persistent Threats geschützt

Auch für den technischen Fortschritt gilt: es kommt darauf an, was man daraus macht. IT-Sicherheit hat mit den dunklen Seiten des Fortschritts zu tun, so bei den Advanced Persistent Threats (APT), die in der IT-Sicherheit mittlerweile eine zentrale Rolle spielen. Es handelt sich dabei um "fortgeschrittene anhaltende Bedrohungen", um Hacking-Prozesse, die, orchestriert von Kriminellen, verdeckt und kontinuierlich ablaufen, die auf eine bestimmte Einrichtungen abzielen. Diese Bedrohungen sind so konzipiert, dass sie sich polymorph und dynamisch weiterentwickeln können. Und sie sind darauf ausgerichtet, sensible Daten, beispielsweise Identitäts- oder Zugangsinformationen, auszuforschen oder zu kompromittieren. Diese Arten von Angriffen sind zwar weniger häufig als breit angelegte automatisierte Angriffe, dennoch stellen APTs heute eine erns-te Bedrohung dar, weil sie so schwer zu entdecken sind.

Die IT-Sicherheit setzt natürlich ebenfalls auf den technischen Fortschritt, sie verwendet sogenannte Advanced-Threat-Detection-Techniken, um APTs zu entdecken; dazu gehören vor allem virtuelle Sandboxen, die das Verhalten von verdächtigen Dateien in einem isolierten Systembereich analysieren und die auch bisher unbekannte Malware aufdecken können. Allerdings steht der Fortschritt niemals still, die Bedrohungen werden immer raffinierter, und viele Sandbox-Techniken haben einfach nicht Schritt gehalten.

1. Infiltration vor der Analyse

Es gibt Sandbox-Lösungen, die ihre Analyse noch gar nicht beendet haben, während eine potenziell gefährliche Datei bereits in das Netzwerk eingedrungen ist.

2. Begrenzte File-Analysen

Etliche Sandbox-Lösungen sind hinsichtlich der Größe und Art der Dateien oder der Umgebung beschränkt. Sie sind oft auch nicht in der Lage eine wirklich breite Palette von Standard-Business-Dateitypen, ausführbare Programme (PE), DLLs, PDFs, Office-Dokumente, Archiv-Files, oder JAR- und APK Dateien zu verarbeiten. Oft können sie nur auf Bedrohungen reagieren, die auf eine einzige Systemumgebung ausgerichtet sind.

Zu berücksichtigen ist dabei auch, dass die zunehmende Verbreitung mobiler Geräten die Angriffsfläche der Unternehmen vergrößert hat. Viele Technologien analysieren und erkennen nur Bedrohungen, die auf ältere Betriebssysteme und Anwendungen ausgerichtet sind. Dies macht Anwender, die moderne, mobile Umgebungen betreiben, anfällig.

3. Sandbox Engines in Silos

Längst gibt es auch Malware, die speziell dafür konzipiert wurde, das Vorhandensein einer virtuellen Sandbox zu erkennen und ihre Entdeckung in einer derartigen Umgebung zu verhindern. Das beschränkt die Wirksamkeit der ersten Generation von Sandbox-Technologien entschei-dend. So genannte Single-Engine-Sandbox-Lösungen bieten ein besonders einfaches Ziel für derartige Ausweichtechniken.

Eine effektivere Technik integriert stattdessen mehrere Sandbox Engines auf unterschiedlichen Ebenen. Vor allem ältere Lösungen sind aber nicht Schichten- sondern Silo-artig aufgebaut, es sind meist Standalone-Systeme oder Cloud-Services, die nebeneinander und nicht im Verbund arbeiten. Allerdings führt der parallele Betrieb mehrerer Sandbox-Technologien, auch wenn er funktioniert, dann zu höherer Komplexität, zu mehr Verwaltungsaufwand und zu höheren Kosten.

4. Verschlüsselte Bedrohungen

Datenverkehr über das sichere HTTPS-Protokoll wird im Web mehr und mehr zum Standard. Natürlich bedienen sich auch Cyber-Kriminelle solcher Technologien, um Malware vor Firewalls zu verstecken. So wird beispielsweise bösartiger Code verschlüsselt, um Intrusion Prevention Systeme (IPS) und Anti-Malware-Inspektionssysteme zu täuschen. Derartige Angriffe können sehr effektiv sein, weil die meisten Unternehmen dafür keine passende Infrastruktur implementiert haben. Insbesondere Legacy-Lösungen haben meist nicht die Möglichkeit, verschlüsselten Datenverkehr zu überprüfen, oder aber ihre Leistung ist so gering, dass sie bei einer gründlichen Inspektion unbrauchbar werden.

5. Unzureichende Sanierungsfähigkeit

Selbst fortschrittliche Technologien stellen oft nur das Vorhandensein und das Verhalten von Malware fest. Selbst wenn eine Sandbox-Technik eine Bedrohung an einem bestimmten Endpunkt identifiziert, gibt es meist keinen klaren Weg, um diese Bedrohung dann auch richtig zu beseitigen, weil es keine einfache Möglichkeit gibt, die Firewall-Signaturen über ein globales Netz zu aktualisieren.

Neue Techniken für die Sandbox

Auch wenn herkömmliche Sandboxes erhebliche Mängel aufweisen, so ist doch das Grundprinzip, verdächtige Software in einem isolierten Bereich des Systems zu testen, fundiert. Diese Mängel müssen durch neue Technologien beseitigt werden.

• Cloud-basierte Analyse von verdächtigen Dateien, um unbekannte Bedrohungen zu erkennen und zu blockieren, bis eine abschließende Beurteilung vorliegt;

• Analyse einer sehr breiten Palette von Dateitypen und Betriebssys-temen, unabhängig von Dateigröße oder Verschlüsselung;

• Automatisches Aktualisieren von Sicherungssignaturen;

• Integration mehrere Sandbox Engines gegen ausweichende Taktiken der Angreifer

• Implementierung von Systemen mit niedrigeren Kosten und geringer Komplexität.

Eine derartig modernisierte Sandbox-Technologie ist dann auch mit modernen Angriffstechniken problemlos gewachsen.