Sandbox gegen komplexe Angriffe

Kaspersky bietet jetzt eine Sandboxing-Lösung für Kundennetzwerke an. Das On-Premise-Tool nennt sich „Kaspersky Research Sandbox“ und soll die Umgbungen von Einrichtungen mit starken Einschränkungen bei gemeinsamer Datennutzung sicherer machen. Die Benutzer der neuen Lösung können Computer Emergency Response Teams (CERT) oder auch Security Operations Center (SOC) realisieren. Das Werkzeug hilft beim Erkennen und Analysieren zielgerichteter Angriffe. Außerdem können sich die Sicherheitsexperten, die es einsetzen, darauf verlassen, dass sämtliche unter die Lupe genommenen Informationen im eigenen Netz verbleiben.

Screenshot: Sysbus

Im vergangenen Jahr haben rund die Hälfte der Unternehmen (45 Prozent) eine gezielte Attacke erlebt, wie Kaspersky in einer internationalen Umfrage unter IT-Entscheidern herausfand. Diese Bedrohungen sind oft so konzipiert, dass sie nur in einem bestimmten Kontext innerhalb der Organisation des anvisierten Opfers wirken: zum Beispiel richtet eine Datei nichts Bösartiges an, bis eine bestimmte Anwendung geöffnet wird oder bis ein Nutzer durch ein Dokument scrollt. Zudem können manche Dateien erkennen, dass sie sich gerade nicht in der Umgebung eines Endanwenders befinden – wenn es etwa keine Anzeichen dafür gibt, dass jemand an dem Endpoint arbeitet – und führen ihren schädlichen Code nicht aus. Da ein SOC jedoch in der Regel zahlreiche Sicherheitswarnungen erhält, können Analysten nicht alle verdächtigen manuell untersuchen, um herauszufinden, welche davon die gefährlichste ist.

Um Unternehmen bei der genaueren und zeitnahen Analyse fortschrittlicher Bedrohungen zu unterstützen, können die Sandboxing-Technologien von Kaspersky jetzt auch in den Organisationen der Kunden implementiert werden. Die Kaspersky Research Sandbox simuliert das System der Organisation mit zufälligen Parametern, wie Nutzer- und Computername, IP-Adresse oder dergleichen, und imitiert eine aktiv genutzte Anwenderumgebung, so dass Malware nicht erkennen kann, dass sie auf einer virtuellen Maschine läuft.

Kaspersky Research Sandbox wurde aus dem internen Sandboxing-System heraus entwickelt, das von den firmeneigenen Anti-Malware-Forschern verwendet wird. Nun sind diese Technologien auch für Kunden als isolierte Vor-Ort-Installation (on-premise) verfügbar. So verlassen alle analysierten Dateien den Unternehmensbereich nicht; damit ist die Lösung insbesondere auch für Unternehmen und Organisationen mit strikten Datenfreigabebeschränkungen geeignet.

Die Kaspersky Research Sandbox verfügt über eine spezielle API (Programmierschnittstelle) zur Integration in andere Sicherheitslösungen, so dass eine verdächtige Datei automatisch zur Analyse gesendet werden kann. Die Ergebnisse der Analyse können auch in das Aufgabenverwaltungssystem eines SOC exportiert werden. Diese Automatisierung von sich wiederholenden Aufgaben verkürzt die Zeit, die für die Untersuchung von Vorfällen notwendig ist. Weitere Informationen: https://www.kaspersky.com/enterprise-security/sandbox-malware-analysis