Cyber-Angriffe werden immer raffinierter. Sandbox-Methoden zur Analyse von Malware können damit in vielen Fällen nicht mehr Schritt halten.
Advanced Persistent Threats (APTs) bestehen aus einer Serie verdeckter und kontinuierlicher Hacking-Angriffe, die immer wieder eingesetzt werden. Häufig wird dabei ganz neue und noch nicht irgendwo erfasste Malware benützt wie zum Beispiel Zero-Day-Bedrohungen. APTs gehen mit verschiedenen Methoden vor, um Identitäts-, Zugriffs- und Kontrollinformationen zu beschädigen oder komplett zu stehlen.
Virtuelle Sandboxes sind ein beliebtes Mittel im Kampf gegen diese Bedrohungen. Mit diesen abgekapselten Testumgebungen für Software oder Code-Komponenten sollen verdächtige Dateien beobachtet und analysiert werden, um damit ihren eventuellen Bedrohungsstatus festzustellen. Um mit dem Fortschritt der Bedrohungsszenarien mitzukommen, müssen Anwender genau über den Leistungsstand der Sandboxen informiert sein. SonicWall hat fünf Kriterien zusammengestellt, mit denen Sandboxes überprüft werden können.
1. Infiltrierung vor der Analyse
Man sollte überprüfen, ob die Sandbox erst dann in Aktion tritt, wenn eine potentiell gefährliche Datei bereits in das Netzwerk eingedrungen ist. Dies könnte bereits zu spät sein, da die Malware womöglich schon ihre schädliche Wirkung begonnen hat.
2. Eingeschränkte Datenanalysen
Anwender müssen sich vergewissern, wie weit die Sandbox-Lösung ausgerichtet ist: Kann sie nur einzelne Dateien oder nur bestimmte Betriebssysteme kontrollieren? Laut SonicWall verschärft die zunehmende Verbreitung mobiler und vernetzter Geräte die Angriffsgefahr. Gerade bei IoT (Internet of Things) kommen häufig nicht gesicherte Verbindungen und Schnittstellen zum Einsatz.
3. Isolierte Sandbox-Lösungen
Für sich alleinstehende Sandboxen bieten keinen adäquaten Schutz, heißt es bei SonicWall: „Malware ist mittlerweile in der Lage, virtuelle Sandbox-Lösungen zu erkennen und zu umgehen. Daher sind Sandbox-Technologien der ersten Generation nicht mehr effektiv genug. Dies kann auch Auswirkungen auf die Analysen haben.“ (SonicWall, 5 Szenarien, in denen Ihre Firewall-Sandbox-Lösungen versagen können) Eine Lösung könnten mehrere Sandboxen sein, die aufeinander aufbauen.
4. Verschlüsselte Bedrohungen
Das sichere HTTPS-Protokoll wird schon seit längerem von Banken und anderen Institutionen, die Online-Bezahlungen abwickeln, eingesetzt. Die Informationen von Personen und vor allem von ihren Kreditkarten werden verschlüsselt über das Internet übertragen. Auch Webseiten wie Google, Facebook und Twitter setzen vermehrt dieses Protokoll ein. Eine neuere Tendenz besteht darin, dass sich Cyber-Kriminelle dieser Technologie bedienen: „Viele Hacker machen sich die Verschlüsselung zunutze, um Malware vor den Firewalls von Unternehmen zu verstecken. Mithilfe von Secure Sockets Layer(SSL)- und Transport Layer Security(TLS)-Verschlüsselung (SSL/TLS) oder HTTPS-Verkehr können versierte Angreifer Command-and-Control-Kommunikation sowie bösartigen Code verschlüsseln, um Intrusion-Prevention-Systeme (IPS) und Anti-Malware Inspection-Systeme zu umgehen.“ (SonicWall) Veraltete Sicherheitslösungen für Netzwerke können dem in der Regel nichts entgegensetzen.
5. Verhinderte Problemlösung
Moderne Technologien melden oft nur das Vorhandensein von Bedrohungen, ohne ihnen näher auf den Grund zu gehen. Das trifft zum Teil auch oft Sandbox-Lösungen zu: „Sie haben keine einfache, effiziente Methode, um Firewall-Signaturen in einem globalen, verteilten Netzwerk zu aktualisieren.“ (a.a.O.)
Die Situation wird dadurch ziemlich komplex: „Wird Malware gefunden (dies geschieht häufig erst, nachdem ein System infiziert wurde), ist die IT-Organisation für die weiteren, zeitaufwändigen Schritte zuständig, d.h. sie muss die Malware identifizieren und beseitigen sowie entstandene Schäden an infizierten Systemen beheben.“ (a.a.O.)
Man sollte sich als Kunde deshalb nach modernen Sandbox-Lösungen umsehen, vor allem nach solchen, die kontinuierlich arbeitende cloud-basierte Engines zur Verfügung stellen.
