Sandboxing: Angriffe besser kontrollieren

Sandboxing
Anzeige

Beitrag teilen

Sandboxing-Technologie von Kaspersky kann ab sofort auch in Kundennetzwerken eingesetzt werden. Die neue On-premise-Lösung Kaspersky Research Sandbox richtet sich an Organisationen mit strikten Beschränkungen für die gemeinsame Datennutzung.

Anwender sind mit der Sandbox-Technologie nun in der Lage, interne Security Operations Center (SOCs) oder Computer Emergency Response Teams (CERTs) aufzubauen. Die Lösung unterstützt Sicherheitsexperten in Unternehmen dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben.

Anzeige

Im vergangenen Jahr haben rund die Hälfte der Unternehmen (45 Prozent) eine gezielte Attacke erlebt, wie Kaspersky in einer internationalen Umfrage unter IT-Entscheidern herausfand. Diese Bedrohungen sind oft so konzipiert, dass sie nur in einem bestimmten Kontext innerhalb der Organisation des anvisierten Opfers wirken: zum Beispiel richtet eine Datei nichts Bösartiges an, bis eine bestimmte Anwendung geöffnet wird oder bis ein Nutzer durch ein Dokument scrollt. Zudem können manche Dateien erkennen, dass sie sich gerade nicht in der Umgebung eines Endanwenders befinden – wenn es etwa keine Anzeichen dafür gibt, dass jemand an dem Endpoint arbeitet – und führen ihren schädlichen Code nicht aus. Da ein SOC jedoch in der Regel zahlreiche Sicherheitswarnungen erhält, können Analysten nicht alle verdächtigen manuell untersuchen, um herauszufinden, welche davon die gefährlichste ist.

Sandbox simuliert das System der Organisation

Um Unternehmen bei der genaueren und zeitnahen Analyse fortschrittlicher Bedrohungen zu unterstützen, können die Sandboxing-Technologien von Kaspersky jetzt auch in den Organisationen der Kunden implementiert werden. Die Kaspersky Research Sandbox simuliert das System der Organisation mit zufälligen Parametern, wie Nutzer- und Computername, IP-Adresse oder dergleichen, und imitiert eine aktiv genutzte Anwenderumgebung, so dass Malware nicht erkennen kann, dass sie auf einer virtuellen Maschine läuft.

Anzeige

Kaspersky Research Sandbox wurde aus dem internen Sandboxing-System heraus entwickelt, das von den firmeneigenen Anti-Malware-Forschern verwendet wird. Nun sind diese Technologien auch für Kunden als isolierte Vor-Ort-Installation (on-premise) verfügbar. So verlassen alle analysierten Dateien den Unternehmensbereich nicht; damit ist die Lösung insbesondere auch für Unternehmen und Organisationen mit strikten Datenfreigabebeschränkungen geeignet.

Datei werden automatisch zur Analyse gesendet

Die Kaspersky Research Sandbox verfügt über eine spezielle API (Programmierschnittstelle) zur Integration mit anderen Sicherheitslösungen, so dass eine verdächtige Datei automatisch zur Analyse gesendet werden kann. Die Ergebnisse der Analyse können auch in das Aufgabenverwaltungssystem eines SOC exportiert werden. Diese Automatisierung von sich wiederholenden Aufgaben verkürzt die Zeit, die für die Untersuchung von Vorfällen notwendig ist.

Da die Lösung im Netzwerk des Kunden installiert wird, bietet sie mehr Möglichkeiten zur Spiegelung seiner Betriebsumgebung. Jetzt können virtuelle Maschinen aus der Kaspersky Research Sandbox mit dem internen Netzwerk einer Organisation verbunden werden. Dadurch kann sie Malware entdecken, die nur in einer bestimmten Infrastruktur ausgeführt wird und ein besseres Verständnis der dahinterliegenden Absichten erhalten. Darüber hinaus können Sicherheitsanalysten mit spezieller vorinstallierter Software ihre Windows-Version einrichten, um ihre Unternehmensumgebung vollständig zu simulieren. Es vereinfacht die Erkennung von umgebungsbezogenen Bedrohungen durch eine Organisation, wie zum Beispiel eine kürzlich entdeckte Malware, die bei Angriffen auf Industrieunternehmen eingesetzt wurde. Kaspersky Research Sandbox unterstützt auch Android OS zur Erkennung mobiler Malware.

Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung

Die Kaspersky Research Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung. Die Berichte enthalten Execution Maps und eine erweiterte Liste der vom analysierten Objekt ausgeführten Ereignisse, einschließlich seiner Netzwerk- und Systemaktivitäten mit Screenshots sowie eine Liste heruntergeladener und modifizierter Dateien. Wenn Incident-Response-Verantwortliche genau wissen, was jede einzelne Malware bewirkt, können sie die erforderlichen Maßnahmen zum Schutz des Unternehmens vor der Bedrohung ergreifen. Zudem können SOC- und CERT-Analysten YARA-Regeln erstellen, um analysierte Dateien mit ihnen abzugleichen.

„Unsere Lösung Kaspersky Cloud Sandbox, die wir 2018 auf den Markt gebracht haben, eignet sich perfekt für Unternehmen, die komplexe Bedrohungen analysieren müssen ohne dafür zusätzliche Investitionen in die Hardware-Infrastruktur zu tätigen“, so Veniamin Levtsov, VP, Corporate Business bei Kaspersky. „Organisationen mit internen SOCs und CERTs und strengen Beschränkungen für den Datenaustausch benötigen jedoch mehr Kontrolle über die von ihnen analysierten Dateien. Mit Kaspersky Research Sandbox können sie nun die für sie am besten geeignete Bereitstellungsoption wählen und die vor Ort erstellten Sandbox-Images an jede Unternehmensumgebung anpassen.“

Integration im Kaspersky Private Security Network (KPSN)

Die Kaspersky Research Sandbox kann in das Kaspersky Private Security Network (KPSN) integriert werden. Damit gewinnen Unternehmen Einblicke in das Verhalten eines Objekts. Darüber hinaus erhalten sie über die Kaspersky-Threat-Intelligence-Datenbank – installiert im Datencenter des Kunden – Informationen über die Reputation heruntergeladener Dateien oder URLs, mit denen die Malware kommuniziert hat.

Die Kaspersky Research Sandbox ist Teil des Kaspersky-Produktportfolios für Sicherheitsexperten. Dieses umfasst Kaspersky Threat Attribution Engine, Kaspersky CyberTrace und Kaspersky Threat Data Feeds. Dieses Angebot hilft Organisationen bei der Validierung und Untersuchung fortschrittlicher Bedrohungen und erleichtert die Reaktion auf Vorfälle, indem es relevante Bedrohungsinformationen bereitstellt.

Mehr dazu bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Forschung im Darknet: KI als Fahnder in Foren

In einem gemeinsamen, internationalen Forschungsprojekt identifizierten Sophos, die Université de Montréal und das Unternehmen Flare mit Hilfe künstlicher Intelligenz (KI) ➡ Weiterlesen

Attacken auf KMU: Fake-ChatGPT liefert Malware statt Hilfe

Verstärkt gibt es Angriffe auf KMU: Bereits 8.500 KMU-Mitarbeiter wurden zwischen Januar und April 2025 mit gefälschten Services wie ChatGPT, ➡ Weiterlesen

Unternehmen sehen rasanten KI-Fortschritt als Top-Sicherheitsrisiko

Der Data Threat Report 2025 zeigt, dass 74 Prozent der deutschen Unternehmen den rasanten KI-Fortschritt als Top-Sicherheitsrisiko im Zusammenhang mit ➡ Weiterlesen

Die European Vulnerability Database (EUVD) ist online

Die Europäische Union hat die European Union Vulnerability Database live gestellt. Die zentrale Datenbank führt bekannte Schwachstellen auf, gibt Behebungsempfehlungen ➡ Weiterlesen

Agentic AI: Gefahr durch autonome KI-basierte Cyberangriffe

Agentic AI ist in der Lage, Cyberangriffe eigenständig von Anfang bis Ende durchzuführen. Diese autonomen, selbstlernenden KI-Systeme können Angriffe ohne ➡ Weiterlesen

Auswertung gehackter LockBit-Daten verraten Angriffe, Strukturen und Geldflüsse

Mit den Erkenntnissen aus dem Hackerangriff auf die LockBit-Strukturen und deren Unterlagen, den Datenbanken und dem vorhandenen Wissen der Qualys ➡ Weiterlesen

Security-Lösung zur optimierten Nutzung von Microsoft Security

Die neue Lösung Continuous Optimization for Microsoft Security Service ermöglicht es Kunden von Microsoft Security, ihre Tools mit Bedrohungserkennungsanalysen auf ➡ Weiterlesen

Lösung für Digital Communications Governance

Ein Cybersecurity- und Compliance-Unternehmen hat sein Angebot für Digital Communications Governance (DCG) der nächsten Generation vorgestellt. Die Lösung bietet Echtzeit-Suche, ➡ Weiterlesen