CDR-Sandbox

So erreicht man Zero-Day-Prevention ohne Beeinträchtigung der Produktivität

So erreicht man Zero-Day-Prevention ohne Beeinträchtigung der Produktivität

Kombination von CDR und Sandboxing

Von Jonathan Gold-Shalev, Senior Product Manager Threat Prevention bei Check Point Software Technologies

Jonathan Gold-Shalev, Senior Product Manager Threat Prevention bei Check Point

Unternehmen verwenden IT-Security-Produkte, um sich vor bekannten und unbekannten Bedrohungen zu schützen, weil sie hoffen, dass die Lösungen Gefahren erkennen, bevor sie an ihr schädliches Werk gehen. Die meisten Bedrohungen gelangen über Webbrowser, Downloads von Webdateien, Phishing-E-Mails und E-Mail-Anhänge in ein Netzwerk. Bekannte datei-basierte Angriffe werden schnell validiert, indem die Bedrohungsdaten mit einer großen Datenbank von Signaturen abgeglichen werden.

Die Erkennung und Verhinderung unbekannter, datei-basierter Angriffe (oder Zero-Day-Angriffe) ist dabei eine der größten Herausforderungen in der IT-Security. Die Sandbox-Technologie wird verwendet, um die Schad-Software auf verschiedenen Betriebssystemen in steriler Umgebung auszuführen, wo ein Schädling gefahrlos und kontrolliert zur Ausführung gebracht werden kann. Sobald dieser aktiviert wurde, wird er von mehreren maschinell lernenden Engines gemessen und klassifiziert. Auf diese Weise erhalten Incident Response-Teams alle Informationen, die sie benötigen, um solche bösartigen Dateien zu untersuchen, zu behandeln und zu blockieren.

Sandboxing-Technologien unterscheiden sich stark in ihrer Fähigkeit, Malware zu erkennen. Ziel ist es, Fehlalarme gering zu halten und ein schnelles Urteil zu fällen. Es ist auch wichtig, eine hohe Fangrate aufrechtzuerhalten. Der größte Nachteil von Sandboxing ist die Latenzzeit. Der Betrieb einer simulierten Umgebung und eines Exploits erfordert Zeit, in einigen Fällen bis zu mehreren Minuten. Der Empfang einer E-Mail mit einer Verzögerung von mehreren Minuten ist tolerierbar. Es ist jedoch nicht akzeptabel, Minuten zu warten, bis eine Datei mit dem Herunterladen beginnt. Obwohl 80 Prozent der von der Sandbox verarbeiteten Dateien in wenigen Sekunden abgeschlossen sind, sehen die Benutzer dies als Performance-Problem. Und bei geringer wahrgenommener Leistung wird Sicherheit zu einem Geschäftsproblem.

Eine Lösung besteht darin, die Sicherheit vom Präventionsmodus, in dem bösartige Dateien blockiert werden, auf den Erkennungsmodus herabzusetzen, in dem Warnungen an Sicherheitsteams gesendet werden, um potenziell schädliche Dateien zu untersuchen, die in das Netzwerk gelangen.

Wie File Sanitization Unternehmen zu mehr Geschwindigkeit verhelfen kann

Die Dateientschärfung (oder Content Disarm and Reconstruct) ist ein schlankerer Ansatz für das Sandboxing. Mit CDR entfernt das Sicherheitsgateway die aktiven Teile und eingebetteten Objekte aus Dateien, die durch das Gateway kommen, bevor die Datei an den Benutzer übergeben wird.

Der Benutzer erhält eine Datei ohne Malware, die mit bloßem Auge gleich aussieht wie die Originaldatei. Die meisten Dokumente enthalten keine Makros und Java-Skripte, aber mit CDR erhalten Benutzer selbst diese Dokumente gewöhnlich innerhalb von ein bis drei Sekunden.

CDR hat jedoch zwei Nachteile: Benutzer erhalten nicht die Originaldatei, was einige als Problem ansehen, zum Beispiel dann, wenn ein Benutzer ein Makro benötigt, das aus einer Excel-Datei wegen CDR entfernt wurde. Der zweite Nachteil ist eine falsche Wahrnehmung der Umstände: Einige Benutzer wollen zwingend die Originaldatei, keine bereinigte. Sie empfinden die Verbesserung der Sicherheit wiedermal – aber zu Unrecht – als Verringerung der Benutzerfreundlichkeit. Das erzeugt Frustration.

Fazit: Eine Hybridlösung kann helfen

Die Kombination von CDR und Sandboxing ermöglicht es Unternehmen, die Vorteile zu nutzen und die Nachteile zu beseitigen. Sie sendet jede heruntergeladene Datei an die Sandbox (auch bekannt als Dateiemulation) und ‚desinfiziert‘ sie parallel dazu über CDR. Wenn der Benutzer die Originaldatei anfordert, das Sandbox-Scanning abgeschlossen ist und ohne Befund ausfiel, erhält er seine Datei sofort.

Die Hybridlösung CDR-Sandbox eliminiert somit die Latenzzeit. Das bedeutet, dass sich Unternehmen nicht damit zufriedengeben müssen, ihre Systeme bloß im Erkennungsmodus zu halten und, dass sie keine Incident Response-Teams benötigen, um angerichtetes Chaos zu beseitigen. Stattdessen verhindert die hybride Lösung automatisch, dass Malware die Endbenutzer erreicht, ohne die Originaldatei für Benutzer, die Wert darauf legen, für immer unzugänglich zu machen.