Sandboxing: Angriffe besser kontrollieren

Sandboxing

Beitrag teilen

Sandboxing-Technologie von Kaspersky kann ab sofort auch in Kundennetzwerken eingesetzt werden. Die neue On-premise-Lösung Kaspersky Research Sandbox richtet sich an Organisationen mit strikten Beschränkungen für die gemeinsame Datennutzung.

Anwender sind mit der Sandbox-Technologie nun in der Lage, interne Security Operations Center (SOCs) oder Computer Emergency Response Teams (CERTs) aufzubauen. Die Lösung unterstützt Sicherheitsexperten in Unternehmen dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben.

Anzeige

Im vergangenen Jahr haben rund die Hälfte der Unternehmen (45 Prozent) eine gezielte Attacke erlebt, wie Kaspersky in einer internationalen Umfrage unter IT-Entscheidern herausfand. Diese Bedrohungen sind oft so konzipiert, dass sie nur in einem bestimmten Kontext innerhalb der Organisation des anvisierten Opfers wirken: zum Beispiel richtet eine Datei nichts Bösartiges an, bis eine bestimmte Anwendung geöffnet wird oder bis ein Nutzer durch ein Dokument scrollt. Zudem können manche Dateien erkennen, dass sie sich gerade nicht in der Umgebung eines Endanwenders befinden – wenn es etwa keine Anzeichen dafür gibt, dass jemand an dem Endpoint arbeitet – und führen ihren schädlichen Code nicht aus. Da ein SOC jedoch in der Regel zahlreiche Sicherheitswarnungen erhält, können Analysten nicht alle verdächtigen manuell untersuchen, um herauszufinden, welche davon die gefährlichste ist.

Sandbox simuliert das System der Organisation

Um Unternehmen bei der genaueren und zeitnahen Analyse fortschrittlicher Bedrohungen zu unterstützen, können die Sandboxing-Technologien von Kaspersky jetzt auch in den Organisationen der Kunden implementiert werden. Die Kaspersky Research Sandbox simuliert das System der Organisation mit zufälligen Parametern, wie Nutzer- und Computername, IP-Adresse oder dergleichen, und imitiert eine aktiv genutzte Anwenderumgebung, so dass Malware nicht erkennen kann, dass sie auf einer virtuellen Maschine läuft.

Kaspersky Research Sandbox wurde aus dem internen Sandboxing-System heraus entwickelt, das von den firmeneigenen Anti-Malware-Forschern verwendet wird. Nun sind diese Technologien auch für Kunden als isolierte Vor-Ort-Installation (on-premise) verfügbar. So verlassen alle analysierten Dateien den Unternehmensbereich nicht; damit ist die Lösung insbesondere auch für Unternehmen und Organisationen mit strikten Datenfreigabebeschränkungen geeignet.

Datei werden automatisch zur Analyse gesendet

Die Kaspersky Research Sandbox verfügt über eine spezielle API (Programmierschnittstelle) zur Integration mit anderen Sicherheitslösungen, so dass eine verdächtige Datei automatisch zur Analyse gesendet werden kann. Die Ergebnisse der Analyse können auch in das Aufgabenverwaltungssystem eines SOC exportiert werden. Diese Automatisierung von sich wiederholenden Aufgaben verkürzt die Zeit, die für die Untersuchung von Vorfällen notwendig ist.

Da die Lösung im Netzwerk des Kunden installiert wird, bietet sie mehr Möglichkeiten zur Spiegelung seiner Betriebsumgebung. Jetzt können virtuelle Maschinen aus der Kaspersky Research Sandbox mit dem internen Netzwerk einer Organisation verbunden werden. Dadurch kann sie Malware entdecken, die nur in einer bestimmten Infrastruktur ausgeführt wird und ein besseres Verständnis der dahinterliegenden Absichten erhalten. Darüber hinaus können Sicherheitsanalysten mit spezieller vorinstallierter Software ihre Windows-Version einrichten, um ihre Unternehmensumgebung vollständig zu simulieren. Es vereinfacht die Erkennung von umgebungsbezogenen Bedrohungen durch eine Organisation, wie zum Beispiel eine kürzlich entdeckte Malware, die bei Angriffen auf Industrieunternehmen eingesetzt wurde. Kaspersky Research Sandbox unterstützt auch Android OS zur Erkennung mobiler Malware.

Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung

Die Kaspersky Research Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung. Die Berichte enthalten Execution Maps und eine erweiterte Liste der vom analysierten Objekt ausgeführten Ereignisse, einschließlich seiner Netzwerk- und Systemaktivitäten mit Screenshots sowie eine Liste heruntergeladener und modifizierter Dateien. Wenn Incident-Response-Verantwortliche genau wissen, was jede einzelne Malware bewirkt, können sie die erforderlichen Maßnahmen zum Schutz des Unternehmens vor der Bedrohung ergreifen. Zudem können SOC- und CERT-Analysten YARA-Regeln erstellen, um analysierte Dateien mit ihnen abzugleichen.

„Unsere Lösung Kaspersky Cloud Sandbox, die wir 2018 auf den Markt gebracht haben, eignet sich perfekt für Unternehmen, die komplexe Bedrohungen analysieren müssen ohne dafür zusätzliche Investitionen in die Hardware-Infrastruktur zu tätigen“, so Veniamin Levtsov, VP, Corporate Business bei Kaspersky. „Organisationen mit internen SOCs und CERTs und strengen Beschränkungen für den Datenaustausch benötigen jedoch mehr Kontrolle über die von ihnen analysierten Dateien. Mit Kaspersky Research Sandbox können sie nun die für sie am besten geeignete Bereitstellungsoption wählen und die vor Ort erstellten Sandbox-Images an jede Unternehmensumgebung anpassen.“

Integration im Kaspersky Private Security Network (KPSN)

Die Kaspersky Research Sandbox kann in das Kaspersky Private Security Network (KPSN) integriert werden. Damit gewinnen Unternehmen Einblicke in das Verhalten eines Objekts. Darüber hinaus erhalten sie über die Kaspersky-Threat-Intelligence-Datenbank – installiert im Datencenter des Kunden – Informationen über die Reputation heruntergeladener Dateien oder URLs, mit denen die Malware kommuniziert hat.

Die Kaspersky Research Sandbox ist Teil des Kaspersky-Produktportfolios für Sicherheitsexperten. Dieses umfasst Kaspersky Threat Attribution Engine, Kaspersky CyberTrace und Kaspersky Threat Data Feeds. Dieses Angebot hilft Organisationen bei der Validierung und Untersuchung fortschrittlicher Bedrohungen und erleichtert die Reaktion auf Vorfälle, indem es relevante Bedrohungsinformationen bereitstellt.

Mehr dazu bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Modulare Speicherlösung für hohe Sicherheitsanforderungen

Die hochmoderne Speicherlösung Silent Brick Pro wurde speziell für Unternehmen entwickelt die Daten effizient, schnell und besonders sicher speichern wollen. ➡ Weiterlesen

Veraltete Benutzernamen und Passwörter weit verbreitet

In einer Zeit der Verunsicherung durch KI und der Zunahme von Cybersecurity-Verstößen hat ein Anbieter von Sicherheitsschlüsseln für die Hardware-Authentifizierung ➡ Weiterlesen

Mit Passphrasen mobile Androidgeräte schützen

Passphrasen sind länger und komplexer als einfache Passwörter. Mithilfe eines Passphrasen-Generators lassen sie sich einfach erstellen. Ein führender Anbieter von ➡ Weiterlesen

Sicherheitsfunktionen automatisieren verringert Risiken

Ein Anbieter von Converged Endpoint Management (XEM) bietet eine neue Lösung an, mit der Unternehmen ihre Sicherheits- und IT-Betriebsaufgaben in ➡ Weiterlesen

Staatlich geförderte Cyberangriffe gegen kritische Infrastruktur

Staatlich geförderte Cyberangriffe entwickeln sich zu einer immer größeren Bedrohung, da digitale Systeme unverzichtbar für Regierungen, Unternehmen und kritische Infrastrukturen ➡ Weiterlesen

Phishing: Cyberkriminelle imitieren Zahlungsdienst Zelle

Immer öfter werden Finanzdienstleister Opfer von Third-Party-Phishing-Kampagnen. Neu betroffen ist der Zahlungsdienst Zelle. Kriminelle erbeuten persönliche Daten, indem sie ihre ➡ Weiterlesen

End-to-End-Framework schützt vor Datenverlusten

Proofpoint und zertifizierte Partner stellen ihren Kunden ein NIST-orientiertes End-to-End-Framework vor, das bei der Entwicklung, Implementierung und Optimierung von Data ➡ Weiterlesen

Schwachstellen beim Schutz von SaaS-Daten

Es sollte nicht überraschen, dass sich Unternehmen in der heutigen digitalen Landschaft mehr denn je auf Software-as-a-Service (SaaS)-Anwendungen verlassen, um ➡ Weiterlesen