Sandboxing

Als Sandboxing wird die Erstellung einer isolierten Testumgebung ​–​ einer „Sandbox“ ​–​ zur Ausführung oder „Entschärfung“ von verdächtigen Dateien oder URLs bezeichnet, die als E-Mail-Anhänge oder auf anderem Weg in Ihr Netzwerk gelangen. Wenn sich die Datei oder URL dabei als Schadprogramm erweist, haben Sie eine neue Bedrohung entdeckt. Die Sandbox muss als sichere virtuelle Umgebung erstellt werden, die die CPU Ihrer Produktionsserver präzise nachbildet.

Sandboxing hat sich insbesondere als wirksames Mittel zur Abwehr von Zero-Day-Bedrohungen erwiesen. Herkömmliche Filter durchsuchen eingehende E-Mails nach bereits bekannten Absendern, URLs und Dateitypen. Leider treten täglich Dutzende neuer („Zero-Day“-) Bedrohungen auf, die von E-Mail-Filtern noch nicht erkannt werden. Als Schlüsselkomponente der Advanced Threat Protection bietet die Sandbox-Analyse eine zusätzliche Schutzschicht zum Testen von E-Mails, die bislang unbekannte URL-Links, Dateitypen oder verdächtige Absender enthalten und nicht vom E-Mail-Filter abgefangen werden.

Sandboxing ist eine effektive und wichtige Abwehrmethode, die jedoch zwei wichtige Nachteile aufweist.

1. Sandboxing ist sehr zeit- und ressourcenintensiv. Deswegen wäre es weder praktikabel noch kosteneffizient, den gesamten Datenverkehr durch ein Sandboxing-System zu leiten.
2. Sandboxing-Systeme können umgangen werden. Mit zunehmender Verbreitung von Sandboxing begannen Cyberkriminelle, Bedrohungen mit Funktionen zu versehen, die ihnen helfen, sich der Erkennung zu entziehen. Beispielsweise kann eine Bedrohung so programmiert werden, dass sie bis zu einem zukünftigen Datum inaktiv bleibt, sodass sie beim Sandboxing harmlos erscheint. Eine weitere effektive Ausweichmethode besteht darin, die Malware so zu programmieren, dass sie erkennt, ob sie sich in einer virtuellen Umgebung befindet, und erst auf einem echten Desktop-Computer oder anderem Gerät aktiviert wird.

Die Anzahl und Wirksamkeit von Zero-Day-Bedrohungen nimmt ständig zu. Daher brauchen Sie unbedingt eine Strategie zum Schutz Ihrer Daten und Programme vor Bedrohungen, die herkömmlichen E-Mail-, Malware- und Virenfiltern ausweichen. Sandboxing zählt zu den wirksamsten Tools für Unternehmen, die den Hackern immer einen Schritt voraus sein wollen. Es gibt Cloud-basierte Sandboxing-Lösungen, die einen wirksamen Schutz ohne die üblichen Nachteile einer Verschlechterung der Netzwerkleistung bieten und sich von cleveren Hackern nicht einfach umgehen lassen.

Barracuda Advanced Threat Protection ist ein hochentwickelter Cloud-basierter Dienst, der alle Vorteile von Sandboxing, ohne die Nachteile herkömmlicher Standalone-Lösungen, bietet. Die Mehrzahl aller Bedrohungen wird bereits bei der Vorfilterung des Datenverkehrs anhand von Signaturabgleichen, heuristischen und Verhaltensanalysen sowie statischen Code-Analysen identifiziert und abgefangen. Nur die wenigen verbleibenden verdächtigen Dateien werden dann in einer Sandbox isoliert, damit Zero-Day-Bedrohungen zuverlässig erkannt und blockiert werden können.

Der Service lässt sich basierend auf Ihrem E-Mail- und Netzwerkverkehr flexibel skalieren, um sicherzustellen, dass die Netzwerk- oder E-Mail-Leistung nicht beeinträchtigt wird. Dadurch ist er weitaus effizienter und kostengünstiger als eine eigenständige Sandboxing-Lösung.

Ausweichstrategien werden durch unterschiedliche Methoden unwirksam gemacht. Beispielsweise wird jeder Versuch der betreffenden Datei erkannt, die Registrierungsdatenbank oder den Speicher des Computers abzufragen. Techniken zur verzögerten Entschärfung werden durch Vorausstellen der internen Uhr außer Kraft gesetzt. Kurz gesagt, wird die vermutete Malware allen möglichen Umgebungen ausgesetzt, in denen ihr Schadprogramm aktiviert werden könnte. Wenn es sich tatsächlich um Malware handelt, können Sie sich darauf verlassen, dass sie entschärft wird.

Und im Unterschied zu herkömmlichem Sandboxing für virtuelle Maschinen verwendet Barracuda Advanced Threat Protection eine Sandbox mit CPU-Emulierung. Dadurch kann die Malware sie nicht von einem echten Desktop-Computer unterscheiden.

Advanced Threat Protection ist für folgende Barracuda-Produkte erhältlich:

• Barracuda CloudGen Firewalls. Schützt Netzwerke durch automatisches Sandboxing aller verdächtigen Dateien, die in oder aus Ihrem Netzwerk übertragen werden.
• Barracuda Web Application Firewall. Schützt Ihre Website und Webanwendungen vor dem Hochladen schädlicher Dateien.
• Barracuda Email Protection. Dieser Cloud-basierte Dienst schützt Ihr E-Mail-System durch Sandboxing aller verdächtigen Links und Dateianhänge in jeder gesendeten und empfangenen E-Mail.
• Barracuda Email Security Gateway. Bietet ähnliche E-Mail-Sicherheitsfunktionen über eine physische oder virtuelle Appliance.
• Barracuda Web Security Gateway. Unterstützt sicheres Surfen im Internet durch Schutz und automatisches Sandboxing von Dateien, die aus dem Internet heruntergeladen werden.

Gerne beraten wir Sie zur Implementierung automatischen Sandboxing zum Schutz Ihres Unternehmens vor Advanced Threats.