<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=908082315970423&amp;ev=PageView&amp;noscript=1">

UPGREAT Blog

Gegen Cybercrime: 5 Dinge, die bei der Wahl einer Sandbox-Lösung wichtig sind

Viele Unternehmen erwägen modernste Lösungen als Schutz gegen unbekannte Bedrohungen, mit denen Cyberkriminielle herkömmliche Abwehrmechanismen zu umgehen versuchen. Eine Technologie, um die es derzeit einen ziemlichen Hype gegeben hat, ist die Sandbox. Was verbirgt sich hinter dem Begriff und warum können Unternehmen damit gezielte Malware- und Cybercrime-Bedrohungen zuverlässig abwehren.

Wie funktioniert eine Sandbox

Eine Sandbox ist eine isolierte, sichere Umgebung, die ein gesamtes Computersystem imitiert. Ähnlich einem abgegrenzten Sandspielplatz lassen sich in ihr verdächtige Programme ausführen, um ihr Verhalten zu überwachen und ihren eigentlichen Zweck zu verstehen, ohne dabei das Netzwerk des Unternehmens zu gefährden. Dies ist erst dank dem Einsatz leistungsstarker cloudbasierter Technologie möglich. Marktführer in diesem Gebiet ist der Hersteller Sophos. Das Produkt Sandstorm (PDF) gewährt eine schnelle und zuverlässige Erkennung, Blockierung und Reaktion auf evasive Malware, die andere Lösungen übersehen. Dies funktioniert so:

Sophos_Sandbox_Funktion.png
  1. Die Sophos-Sicherheitslösung testet die potenzielle Bedrohung unter Anwendung aller gewöhnlichen Sicherheitsüberprüfungen (z.B. Anti-Malware-Signaturen, gefährliche Webadressen usw.) Wird die verdächtige Datei nicht als Bedrohung erkannt, sendet die Sophos-Sicherheitslösung den Datei-Signatur (Hash) an Sophos Sandstorm, um zu ermitteln, ob die Datei bereits zuvor analysiert wurde.

  2. Wenn die Datei bereits analysiert wurde, übermittelt Sophos Sandstorm die Bedrohungsdaten an die Sophos-Sicherheitslösung. Hier wird die Datei entweder an das Benutzergerät zugestellt oder blockiert – je nachdem, welche Informationen von Sophos Sandstorm übermittelt wurden.

  3. Wenn der Hash noch komplett unbekannt ist, wird eine Kopie der verdächtigen Datei an Sophos Sandstorm gesendet. Hier wird die Datei ausgeführt und ihr Verhalten wird überwacht. Sobald die Datei vollständig analysiert wurde, leitet Sophos Sandstorm die Bedrohungsdaten an die Sophos-Sicherheitslösung weiter. Wieder wird die Datei entweder an das Benutzergerät zugestellt oder blockiert – je nachdem, welche Informationen von Sophos Sandstorm übermittelt wurden.

  4. Die Sophos-Sicherheitslösung erstellt anhand der von Sophos Sandstorm übermittelten Detailinformationen Forensik-Reports zu jedem Bedrohungsereignis.

 

Worauf kommt es bei der Wahl der Sandbox-Lösung an

Die Auswahl einer Sandboxing-Lösung kann aufgrund der zahlreichen am Markt verfügbaren Optionen eine echte Herausforderung sein. Berücksichtigen Sie daher die folgenden fünf Punkte, ehe Sie Ihre Entscheidung treffen.

I. Analysiert die Lösung ein grosses Spektrum an verdächtigen Objekten?

Wählen Sie eine Sandbox-Lösung aus, die auch Bedrohungen erkennt, die dafür entwickelt wurden Sandbox-Lösungen zu überlisten. Ihre Sandbox muss in der Lage sein, verschiedenste verdächtige Dateien zu analysieren. Stellen Sie sicher, dass die gewählte Lösung auch Archive, Microsoft Office-Dokumente, PDFs sowie ausführbare Dateien analysieren kann.

II. Bietet sie eine umfassende Abdeckung von Betriebssystemen und Applikationen?

Eine umfassende Plattformabdeckung ist wichtig, um speziell angepasste Malware zu erkennen, die nur innerhalb eines bestimmten Betriebssystems oder in einer bestimmten Anwendung läuft.

III. Bietet die Lösung Kontextinformationen zur Malware oder dem zielgerichteten Angriff?

Den Kontext zu einem zielgerichteten Angriff zu kennen ist unerlässlich. Sie brauchen eine Lösung, die Ihnen detaillierte, ereignisbasierte Berichte mit wertvollem Inhalt liefert.

IV. Was hoch ist die Sandbox-Analyserate?

Wählen Sie eine Lösung, die Anti-Malware-Services und Reputation-Services nutzt, um die Anzahl der fälschlicherweise verdächtigten Dateien zu reduzieren. Dadurch verkleinert sich die Anzahl der Dateien, die in die Sandbox-Umgebung geschickt werden und die Beeinträchtigung der Systemleistung und der Nutzer wird dadurch minimiert.

V. Nutzt die Lösung eine kollektive Sicherheitsdatenauswertung?

Herkömmliche Sicherheitsüberprüfungen erkennen unbekannte Bedrohungen nicht. Um die Genauigkeit bei der Erkennung eben dieser Bedrohungen zu verbessern, sollte Ihre Lösung eine cloudbasierte, kollektive Analyse der Bedrohungsdaten mehrerer Ereignisse und Kunden verwenden.

Diese Tipps helfen Ihnen bei der Wahl der richtigen Sandbox-Lösung. Falls Sie auf der Suche nach einer Lösung für gezielte Bedrohungen sind oder Sie sich für Sophos Sandstorm interessieren, nehmen Sie Kontakt auf. Wir helfen Ihnen sehr gerne dabei, gegen Malware vorzugehen.

 

Kontakt aufnehmen

Über Sophos Sandstorm

Sophos Sandstorm ist eine Abwehrlösung gegen Advanced Persistent Threats (APT) und Zero-Day-Malware und ergänzt die Sophos Sicherheitsprodukte. Sie erkennt, blockiert und reagiert auf schwer zu erkennende Bedrohungen, die andere Lösungen übersehen, denn sie verwendet eine leistungsstarke, cloudbasierte und moderne Sandbox-Technologie.

Topics: Security, Malware, Sandbox