Sandboxing: Angriffe besser kontrollieren

Sandboxing

Beitrag teilen

Sandboxing-Technologie von Kaspersky kann ab sofort auch in Kundennetzwerken eingesetzt werden. Die neue On-premise-Lösung Kaspersky Research Sandbox richtet sich an Organisationen mit strikten Beschränkungen für die gemeinsame Datennutzung.

Anwender sind mit der Sandbox-Technologie nun in der Lage, interne Security Operations Center (SOCs) oder Computer Emergency Response Teams (CERTs) aufzubauen. Die Lösung unterstützt Sicherheitsexperten in Unternehmen dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben.

Anzeige

Im vergangenen Jahr haben rund die Hälfte der Unternehmen (45 Prozent) eine gezielte Attacke erlebt, wie Kaspersky in einer internationalen Umfrage unter IT-Entscheidern herausfand. Diese Bedrohungen sind oft so konzipiert, dass sie nur in einem bestimmten Kontext innerhalb der Organisation des anvisierten Opfers wirken: zum Beispiel richtet eine Datei nichts Bösartiges an, bis eine bestimmte Anwendung geöffnet wird oder bis ein Nutzer durch ein Dokument scrollt. Zudem können manche Dateien erkennen, dass sie sich gerade nicht in der Umgebung eines Endanwenders befinden – wenn es etwa keine Anzeichen dafür gibt, dass jemand an dem Endpoint arbeitet – und führen ihren schädlichen Code nicht aus. Da ein SOC jedoch in der Regel zahlreiche Sicherheitswarnungen erhält, können Analysten nicht alle verdächtigen manuell untersuchen, um herauszufinden, welche davon die gefährlichste ist.

Sandbox simuliert das System der Organisation

Um Unternehmen bei der genaueren und zeitnahen Analyse fortschrittlicher Bedrohungen zu unterstützen, können die Sandboxing-Technologien von Kaspersky jetzt auch in den Organisationen der Kunden implementiert werden. Die Kaspersky Research Sandbox simuliert das System der Organisation mit zufälligen Parametern, wie Nutzer- und Computername, IP-Adresse oder dergleichen, und imitiert eine aktiv genutzte Anwenderumgebung, so dass Malware nicht erkennen kann, dass sie auf einer virtuellen Maschine läuft.

Kaspersky Research Sandbox wurde aus dem internen Sandboxing-System heraus entwickelt, das von den firmeneigenen Anti-Malware-Forschern verwendet wird. Nun sind diese Technologien auch für Kunden als isolierte Vor-Ort-Installation (on-premise) verfügbar. So verlassen alle analysierten Dateien den Unternehmensbereich nicht; damit ist die Lösung insbesondere auch für Unternehmen und Organisationen mit strikten Datenfreigabebeschränkungen geeignet.

Datei werden automatisch zur Analyse gesendet

Die Kaspersky Research Sandbox verfügt über eine spezielle API (Programmierschnittstelle) zur Integration mit anderen Sicherheitslösungen, so dass eine verdächtige Datei automatisch zur Analyse gesendet werden kann. Die Ergebnisse der Analyse können auch in das Aufgabenverwaltungssystem eines SOC exportiert werden. Diese Automatisierung von sich wiederholenden Aufgaben verkürzt die Zeit, die für die Untersuchung von Vorfällen notwendig ist.

Da die Lösung im Netzwerk des Kunden installiert wird, bietet sie mehr Möglichkeiten zur Spiegelung seiner Betriebsumgebung. Jetzt können virtuelle Maschinen aus der Kaspersky Research Sandbox mit dem internen Netzwerk einer Organisation verbunden werden. Dadurch kann sie Malware entdecken, die nur in einer bestimmten Infrastruktur ausgeführt wird und ein besseres Verständnis der dahinterliegenden Absichten erhalten. Darüber hinaus können Sicherheitsanalysten mit spezieller vorinstallierter Software ihre Windows-Version einrichten, um ihre Unternehmensumgebung vollständig zu simulieren. Es vereinfacht die Erkennung von umgebungsbezogenen Bedrohungen durch eine Organisation, wie zum Beispiel eine kürzlich entdeckte Malware, die bei Angriffen auf Industrieunternehmen eingesetzt wurde. Kaspersky Research Sandbox unterstützt auch Android OS zur Erkennung mobiler Malware.

Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung

Die Kaspersky Research Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung. Die Berichte enthalten Execution Maps und eine erweiterte Liste der vom analysierten Objekt ausgeführten Ereignisse, einschließlich seiner Netzwerk- und Systemaktivitäten mit Screenshots sowie eine Liste heruntergeladener und modifizierter Dateien. Wenn Incident-Response-Verantwortliche genau wissen, was jede einzelne Malware bewirkt, können sie die erforderlichen Maßnahmen zum Schutz des Unternehmens vor der Bedrohung ergreifen. Zudem können SOC- und CERT-Analysten YARA-Regeln erstellen, um analysierte Dateien mit ihnen abzugleichen.

„Unsere Lösung Kaspersky Cloud Sandbox, die wir 2018 auf den Markt gebracht haben, eignet sich perfekt für Unternehmen, die komplexe Bedrohungen analysieren müssen ohne dafür zusätzliche Investitionen in die Hardware-Infrastruktur zu tätigen“, so Veniamin Levtsov, VP, Corporate Business bei Kaspersky. „Organisationen mit internen SOCs und CERTs und strengen Beschränkungen für den Datenaustausch benötigen jedoch mehr Kontrolle über die von ihnen analysierten Dateien. Mit Kaspersky Research Sandbox können sie nun die für sie am besten geeignete Bereitstellungsoption wählen und die vor Ort erstellten Sandbox-Images an jede Unternehmensumgebung anpassen.“

Integration im Kaspersky Private Security Network (KPSN)

Die Kaspersky Research Sandbox kann in das Kaspersky Private Security Network (KPSN) integriert werden. Damit gewinnen Unternehmen Einblicke in das Verhalten eines Objekts. Darüber hinaus erhalten sie über die Kaspersky-Threat-Intelligence-Datenbank – installiert im Datencenter des Kunden – Informationen über die Reputation heruntergeladener Dateien oder URLs, mit denen die Malware kommuniziert hat.

Die Kaspersky Research Sandbox ist Teil des Kaspersky-Produktportfolios für Sicherheitsexperten. Dieses umfasst Kaspersky Threat Attribution Engine, Kaspersky CyberTrace und Kaspersky Threat Data Feeds. Dieses Angebot hilft Organisationen bei der Validierung und Untersuchung fortschrittlicher Bedrohungen und erleichtert die Reaktion auf Vorfälle, indem es relevante Bedrohungsinformationen bereitstellt.

Mehr dazu bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Wireshark-Alternative für die Cloud

Ein Anbieter von Echtzeit-Sicherheitslösungen für die Cloud gab die Veröffentlichung von Stratoshark bekannt, einem Open-Source-Tool, das die granulare Netzwerktransparenz von ➡ Weiterlesen

E-Mail-Schutz vor komplexen Cyberangriffen

Ein Cybersicherheitsunternehmen für umfassenden E-Mail-Schutz vor komplexen Bedrohungen stellt Weiterentwicklungen vor. Die Updates umfassen unter anderem flexible Bereitstellungsoptionen und verbesserte ➡ Weiterlesen

Zero Trust für RISE with SAP

Ein SAP-Partner bietet Kunden ab sofort einen Zero Trust Network Access (ZTNA) Service an, der nativ in „RISE with SAP“ ➡ Weiterlesen

Duale Authentifizierung ist eine Herausforderung

Viele Unternehmen betreiben eine hybride Authentifizierung mit Passkeys und Passwörtern, um der dauerhaft hohen Gefahr des Phishings zu begegnen. Der ➡ Weiterlesen

Datenwiederherstellung in hybriden IT-Umgebungen

Acht von zehn Unternehmen wurden schon durch Ransomware attackiert. Deshalb ist eine anpassungsfähige Datenwiederherstellung gerade für hybride IT-Landschaften essentiell notwendig, ➡ Weiterlesen

Compliance Assistant unterstützt bei DORA Umsetzung

Mithilfe des Compliance Assistant lassen sich Risiken leichter minimieren und zeitaufwändige Prüfungen von Konfigurationen im Rahmen von DORA verkürzen. Dazu ➡ Weiterlesen

Report: Angriffe auf kritische Infrastrukturen nehmen zu

Die Zahl der Sicherheitsvorfälle in kritischen Infrastrukturen ist seit 2022 um 668 Prozent gestiegen. Der Threat Roundup-Bericht 2024 wirft ein Schlaglicht ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen