Sandboxing-Technologie von Kaspersky kann ab sofort auch in Kundennetzwerken eingesetzt werden. Die neue On-premise-Lösung Kaspersky Research Sandbox richtet sich an Organisationen mit strikten Beschränkungen für die gemeinsame Datennutzung.
Anwender sind mit der Sandbox-Technologie nun in der Lage, interne Security Operations Center (SOCs) oder Computer Emergency Response Teams (CERTs) aufzubauen. Die Lösung unterstützt Sicherheitsexperten in Unternehmen dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben.
Im vergangenen Jahr haben rund die Hälfte der Unternehmen (45 Prozent) eine gezielte Attacke erlebt, wie Kaspersky in einer internationalen Umfrage unter IT-Entscheidern herausfand. Diese Bedrohungen sind oft so konzipiert, dass sie nur in einem bestimmten Kontext innerhalb der Organisation des anvisierten Opfers wirken: zum Beispiel richtet eine Datei nichts Bösartiges an, bis eine bestimmte Anwendung geöffnet wird oder bis ein Nutzer durch ein Dokument scrollt. Zudem können manche Dateien erkennen, dass sie sich gerade nicht in der Umgebung eines Endanwenders befinden – wenn es etwa keine Anzeichen dafür gibt, dass jemand an dem Endpoint arbeitet – und führen ihren schädlichen Code nicht aus. Da ein SOC jedoch in der Regel zahlreiche Sicherheitswarnungen erhält, können Analysten nicht alle verdächtigen manuell untersuchen, um herauszufinden, welche davon die gefährlichste ist.
Sandbox simuliert das System der Organisation
Um Unternehmen bei der genaueren und zeitnahen Analyse fortschrittlicher Bedrohungen zu unterstützen, können die Sandboxing-Technologien von Kaspersky jetzt auch in den Organisationen der Kunden implementiert werden. Die Kaspersky Research Sandbox simuliert das System der Organisation mit zufälligen Parametern, wie Nutzer- und Computername, IP-Adresse oder dergleichen, und imitiert eine aktiv genutzte Anwenderumgebung, so dass Malware nicht erkennen kann, dass sie auf einer virtuellen Maschine läuft.
Kaspersky Research Sandbox wurde aus dem internen Sandboxing-System heraus entwickelt, das von den firmeneigenen Anti-Malware-Forschern verwendet wird. Nun sind diese Technologien auch für Kunden als isolierte Vor-Ort-Installation (on-premise) verfügbar. So verlassen alle analysierten Dateien den Unternehmensbereich nicht; damit ist die Lösung insbesondere auch für Unternehmen und Organisationen mit strikten Datenfreigabebeschränkungen geeignet.
Datei werden automatisch zur Analyse gesendet
Die Kaspersky Research Sandbox verfügt über eine spezielle API (Programmierschnittstelle) zur Integration mit anderen Sicherheitslösungen, so dass eine verdächtige Datei automatisch zur Analyse gesendet werden kann. Die Ergebnisse der Analyse können auch in das Aufgabenverwaltungssystem eines SOC exportiert werden. Diese Automatisierung von sich wiederholenden Aufgaben verkürzt die Zeit, die für die Untersuchung von Vorfällen notwendig ist.
Da die Lösung im Netzwerk des Kunden installiert wird, bietet sie mehr Möglichkeiten zur Spiegelung seiner Betriebsumgebung. Jetzt können virtuelle Maschinen aus der Kaspersky Research Sandbox mit dem internen Netzwerk einer Organisation verbunden werden. Dadurch kann sie Malware entdecken, die nur in einer bestimmten Infrastruktur ausgeführt wird und ein besseres Verständnis der dahinterliegenden Absichten erhalten. Darüber hinaus können Sicherheitsanalysten mit spezieller vorinstallierter Software ihre Windows-Version einrichten, um ihre Unternehmensumgebung vollständig zu simulieren. Es vereinfacht die Erkennung von umgebungsbezogenen Bedrohungen durch eine Organisation, wie zum Beispiel eine kürzlich entdeckte Malware, die bei Angriffen auf Industrieunternehmen eingesetzt wurde. Kaspersky Research Sandbox unterstützt auch Android OS zur Erkennung mobiler Malware.
Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung
Die Kaspersky Research Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung. Die Berichte enthalten Execution Maps und eine erweiterte Liste der vom analysierten Objekt ausgeführten Ereignisse, einschließlich seiner Netzwerk- und Systemaktivitäten mit Screenshots sowie eine Liste heruntergeladener und modifizierter Dateien. Wenn Incident-Response-Verantwortliche genau wissen, was jede einzelne Malware bewirkt, können sie die erforderlichen Maßnahmen zum Schutz des Unternehmens vor der Bedrohung ergreifen. Zudem können SOC- und CERT-Analysten YARA-Regeln erstellen, um analysierte Dateien mit ihnen abzugleichen.
„Unsere Lösung Kaspersky Cloud Sandbox, die wir 2018 auf den Markt gebracht haben, eignet sich perfekt für Unternehmen, die komplexe Bedrohungen analysieren müssen ohne dafür zusätzliche Investitionen in die Hardware-Infrastruktur zu tätigen“, so Veniamin Levtsov, VP, Corporate Business bei Kaspersky. „Organisationen mit internen SOCs und CERTs und strengen Beschränkungen für den Datenaustausch benötigen jedoch mehr Kontrolle über die von ihnen analysierten Dateien. Mit Kaspersky Research Sandbox können sie nun die für sie am besten geeignete Bereitstellungsoption wählen und die vor Ort erstellten Sandbox-Images an jede Unternehmensumgebung anpassen.“
Integration im Kaspersky Private Security Network (KPSN)
Die Kaspersky Research Sandbox kann in das Kaspersky Private Security Network (KPSN) integriert werden. Damit gewinnen Unternehmen Einblicke in das Verhalten eines Objekts. Darüber hinaus erhalten sie über die Kaspersky-Threat-Intelligence-Datenbank – installiert im Datencenter des Kunden – Informationen über die Reputation heruntergeladener Dateien oder URLs, mit denen die Malware kommuniziert hat.
Die Kaspersky Research Sandbox ist Teil des Kaspersky-Produktportfolios für Sicherheitsexperten. Dieses umfasst Kaspersky Threat Attribution Engine, Kaspersky CyberTrace und Kaspersky Threat Data Feeds. Dieses Angebot hilft Organisationen bei der Validierung und Untersuchung fortschrittlicher Bedrohungen und erleichtert die Reaktion auf Vorfälle, indem es relevante Bedrohungsinformationen bereitstellt.
Mehr dazu bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/