Oftmals ist es dieser eine unüberlegte Klick auf den E-Mail-Anhang, der eine Infektion des Netzwerks mit Ransomware oder anderer Malware heraufbeschwört. Dabei kann man dem Mitarbeitenden in den meisten Fällen keine böse Absicht unterstellen: Stress, Zeitdruck oder der Wille, etwas Gutes für den Kunden zu erledigen, führen letztlich zu Fehlern. Hinzu kommt, dass Hacker alles daransetzen, Malware zu tarnen und sie wie vertrauenswürdige Dateien aussehen zu lassen. Täglich kommen neue Angriffsmethoden und bisher unbekannte Bedrohungen hinzu.
Bedrohungen lieber in die Cloud auslagern
Klassische Sicherheitslösungen stoßen als stand-alone-Produkte bei neuartigen Gefahren an ihre Grenzen. Denn sie können „nur“ anhand diverser Kriterien eine potenzielle Bedrohung erkennen oder mit Heuristiken das Gefährdungsrisiko einschätzen. Vor diesem Hintergrund greifen immer mehr Organisationen auf die sogenannte Cloud-Sandbox-Analyse zurück. Denn: Die zu überprüfende Datei wird dabei tatsächlich in einer isolierten Testumgebung ausgeführt und man erkennt exakt, was sie letztlich tut. Somit kann man anhand der Untersuchung detaillierter entscheiden, ob es sich um einen gezielten Angriff - wie bspw. einen Advanced Persistent Threat (APT)- oder um eine ungefährliche Datei handelt.
Malware-Analyse mit System
Wie es der Name schon sagt, findet die Schadcode-Analyse in der Cloud statt. Sobald eine verdächtige Datei auf dem Endpoint oder dem Mail-Server entdeckt wird, wird sie zur Analyse in ein ESET Rechenzentrum weitergeleitet. In der dortigen-Sandbox-Umgebung erfolgen in der Regel diese Schritte, um Malware zu erkennen:
· Ausführung in einer isolierten Umgebung: Die verdächtige-Datei wird in einer vollständig isolierten Umgebung ausgeführt, in der es keinen Zugriff auf das Host-System oder andere Teile des Netzwerks gibt. Dadurch wird verhindert, dass sich die Malware verbreitet oder Schaden anrichtet.
· Überwachung der Aktivitäten: Die Cloud Sandbox-Umgebung überwacht die Aktivitäten der Malware und zeichnet alle ausgeführten Prozesse, Dateizugriffe und Netzwerkverbindungen auf.
· Analyse des Verhaltens: Anhand der aufgezeichneten Aktivitäten kann das Verhalten von Malware analysiert werden. Dazu gehört beispielsweise das Erstellen neuer Dateien oder Prozesse, der Zugriff auf sensible Daten oder das Senden von Daten an externe Server.
· Erkennung von Signaturen: Die Malware kann auch anhand ihrer Signatur oder anderer bekannter Indikatoren erkannt werden. Dazu wird die Datei oder der Prozess mit einer Datenbank von bekannten Malware-Signaturen abgeglichen.
· Erkennung von Abweichungen: Schließlich kann auch eine Abweichungsanalyse durchgeführt werden, um festzustellen, ob das Verhalten der Malware von der erwarteten Norm abweicht. Dadurch können auch neue oder bisher unbekannte Malware-Varianten erkannt werden.
Lautet das Ergebnis „sauber“, kann die Datei aus der Sandbox heraus in die Produktionsumgebung freigegeben bzw. in das Netzwerk zurückgespielt werden. Oder, je nach Einstellung, auch sofort isoliert oder beseitigt werden. Der gesamte Vorgang dauert nur wenige Augenblicke.
Cloud Sandboxing lohnt sich
Die Vorteile dieses Vorgehens liegen auf der Hand: Es steigert, wie zuvor beschrieben, das Sicherheitsniveau der eigenen Organisation deutlich. Malware wird noch zuverlässiger erkannt und kommt zu keiner Zeit mit dem eigenen Netzwerk in Berührung. Die Auslagerung der Analyse schont die Performance der eigenen Hardware, weil sie keinen aufwändigen Malware-Scan vornehmen muss. Die softwaremäßige Einrichtung von Cloud Sandboxing ist schnell gemacht und erfordert keine zusätzlichen Ressourcen.
Warum muss man in der Cloud zusätzlich testen, wenn es doch den Endpoint-Schutz gibt?
Moderne Bedrohungen wie Ransomware und Zero-Days sind so komplex, dass sie von Endpoint-Lösungen nicht in angemessener Zeit enttarnt werden können. Dafür reicht meistens die Rechenleistung nicht aus. Oder die Hardware ist dann so am Limit, dass der Mitarbeitende kaum seiner täglichen Arbeit wie gewohnt nachgehen kann. Wir erkennen in unseren Virenlaboren täglich mehr als 71.000 Ransomware-Angriffe – pro Stunde! In derselben Zeit kommen mehr als 50 neue und brandgefährliche Zero-Days hinzu. Da kann man sich leicht vorstellen, wie immens die Systeme mit der Abwehr der Bedrohungen beansprucht sind.
Wie performant arbeiten die in der Cloud eingesetzten Rechner?
Das variiert von Anbieter zu Anbieter. Beispielsweise besitzt das Rechenzentren von ESET die Power eines Supercomputers, den man sich wie einen Verbund von 16.000 aktuellen i7 CPUs vorstellen kann. Damit sind wir für die Zukunft bestens aufgestellt. Zudem ist die Rechenleistung schnell erweiterbar, sollte dies notwendig sein. Mit dieser Power im Rücken können wir sowohl physikalische als auch virtuelle Sandboxes zur Verfügung stellen. Professionelle Malware ist in der Lage, virtuelle Testumgebungen zu erkennen und sich entsprechend „brav“ zu verhalten. In der physikalischen Umgebung zeigt die potenzielle Bedrohung auf jeden Fall ihr wahres Gesicht. Je nach Größe und Umfang der zu untersuchenden Datei liegt das Ergebnis in Sekunden, maximal fünf Minuten bereit.
Vor was genau kann Cloud Sandboxing schützen?
Die Analyse von ausführbaren Dateien in einer Cloud Sandbox bietet zusätzlichen Schutz vor einer Reihe an Bedrohungen wie Zero-Days, Advanced Persistent Threat (APT), Phishing per Dateianhang, Ransomware oder sonstiger Schadsoftware. Dabei spielt es keine Rolle, ob sie per USB, als E-Mail-Anhang oder per Download verbreitet werden. Vor allem schützt die Überprüfung in der Cloud die eigene Produktivumgebung. Zum einen, weil Schadcode dort erkannt sowie bekämpft wird und danach keine Gefahr mehr darstellt. Zum anderen, weil das eigene Netzwerk mit er vermeintlichen Malware nicht in Berührung kommt.
Wie läuft so eine Analyse bei ESET ab?
ESET LiveGuard Advanced ist eine cloudbasierte Lösung zur Abwehr von Bedrohungen, die alle eingereichten, verdächtigen Samples in einer isolierten Testumgebung im ESET Headquarter ausführt. Das Verhalten der suspekten Datei wird mithilfe von Threat Intelligence Feeds, verschiedenen internen Tools zur statischen und dynamischen Analyse, Machine Learning sowie Reputationsdaten bewertet. Die Analyse erfolgt auf vier unterschiedlichen Ebenen und stoppt sofort, wenn das Ergebnis sicher feststeht. Das spart Zeit und Ressourcen.
Wie lassen sich Cloud Sandboxing und der Datenschutz in Einklang bringen?
Bei europäischen Anbietern wie ESET gehen Cloud Sandboxing und der Datenschutz Hand in Hand. Die europäische Datenschutzgrundverordnung (DSGVO) oder auch nationale Gesetze wie das neue Schweizer Datenschutzgesetz (revDSG) werden penibel eingehalten. Es beginnt mit Rechenzentren in der Europäischen Union und endet mit der Verwendung des Mindestmaßes an persönlichen Daten, damit eine Untersuchung ordnungsgemäß stattfinden kann. Standardmäßig werden Informationen direkt nach der Analyse in der Cloud Sandbox gelöscht und die Ergebnisse als anonymisierte Hash-Werte mit der eigenen Organisation geteilt.
Dabei bestimmen die Sandbox-Betreiber nicht alle Regeln allein. Der Sicherheitsverantwortliche der Organisation kann ergänzend klare Vorgaben setzen, welche Ausnahmen bezüglich Dateiformaten, Nutzergruppen oder einzelner User (z.B. Betriebsrat, Vorstand, Personalabteilung) gelten sollen.