Gérard Bauer

ist Vice President EMEA bei Vectra Networks.

Hat Sandboxing als Hacker-Abwehr ausgedient?

In Unternehmen setzt sich zunehmend die Erkenntnis durch, dass durch entsprechend programmierte Schadsoftware Sandboxes immer leichter umgangen werden können. Silicon-Blogger Gérard Bauer von Vectra Networks ist davon überzeugt, dass Sandboxing als einzige Schutzmaßnahme gegen Cyber-Kriminalität inzwischen nicht mehr ausreicht.

Mit jährlichen Ausgaben von über einer Milliarde Dollar hat das Thema Sandboxing beachtliche Investitionen hervorgebracht. Doch für 2016 kündigt sich eine Kehrtwende an. In Unternehmen setzt sich nämlich zunehmend die Erkenntnis durch, dass durch entsprechend programmierte Schadsoftware Sandboxes immer leichter umgangen werden können. Zeichnet sich also das Ende einer Ära ab? Zumindest wenn es um Sandboxing als einzige Schutzmaßnahme vor Cyber-Kriminalität geht, muss diese Frage inzwischen mit einem klaren Ja beantwortet werden.

(Bild: Vectra Networks)
(Bild: Vectra Networks)

Sandboxes werden zur Perimeter-Abwehr eingesetzt. In einer fingierten Netzwerkumgebung sollen sich Cyber-Kriminelle austoben und anhand einer dateibasierten Analyse mithilfe von Blacklists, Signaturen und Reputationslisten rechtzeitig identifiziert werden, ohne dass das eigene Netzwerk zu irgendeinem Zeitpunkt hiervon berührt oder gar gefährdet ist. So beruhigend sich das auch anhören mag – es gibt dabei jedoch einen Haken: Die Analyse findet ausschließlich in der fiktiven Umgebung statt. Hat es ein Hacker erst einmal in das Firmennetzwerk geschafft, greift das Datenscreening über die Sandbox nicht mehr. So mischt sich die Malware unerkannt in den regulären Daten-Traffic, was es noch schwieriger macht, genutzte Signaturen und Reputationslisten zur Aufdeckung zu verwenden. Command-and-Control Kommunikation, Malware-Updates, interne Spionage, laterale Bewegungen und Daten-Exfiltration bleiben damit oft über Tage, Wochen oder sogar Monate unentdeckt – und mit jedem weiteren Tag steigt der Schaden für betroffene Unternehmen in die Höhe.

So tricksen Hacker die Sandbox aus

Doch wie ist es möglich, dass Malware & Co immer wieder die Sandboxing-Maschinerie unterwandern? Ein Grund liegt darin, dass die dateibasierten Analysen innerhalb der Sandbox verdächtige Codes nicht in jeder Version der entsprechenden Betriebssysteme identifizieren können. Weitere Ursachen sind in den immer ausgefeilteren Methoden der Hacker zu sehen, mit denen sie die Sandbox austricksen. Beispielsweise werden Binärcodes über einen fragmentierten Payload in ihre Einzelteile zerlegt und als scheinbar ungefährliche Daten ins Netzwerk geschleust. Sobald diese die Sandbox passiert haben, werden sie zu einer Malware zusammengefügt.

Eine weitere Hackermethode basiert auf einer verzögerten Malware-Aktivierung, wobei der Malware-Code so lange stillgelegt wird, bis das Datenscreening durch die Sandbox abgeschlossen ist. So kann die Malware ungehindert in das Firmennetzwerk eindringen. Darüber hinaus können Hacker die Malware so programmieren, dass sie anhand verschiedener Signale erkennt, ob sie sich in einer Sandbox befindet. Falls nötig stellt sie ihre Aktivität ein und bleibt komplett unerkannt.

Angreifer bedienen sich einer ganzen Reihe von Techniken, um ihre Kommunikation zu verstecken und immer einen Schritt weiter zu sein als die traditionellen Sicherheitsstrategien (Grafik: Vectra Networks aus dem Post-Intrusion-Report – Frühling 2016 )
Angreifer bedienen sich einer ganzen Reihe von Techniken, um ihre Kommunikation zu verstecken und immer einen Schritt weiter zu sein als die traditionellen Sicherheitsstrategien (Grafik: Vectra Networks aus dem Post-Intrusion-Report – Frühling 2016 )

Zudem verwenden Hacker verschiedene Methoden wie beispielsweise HTTPS, TOR und P2P, um sich als Backup notfalls mit einem Command-and-Control-Server zu verbinden und den Angriff aus der Ferne auszuüben. Fazit: Die Sandbox bietet keine einhundertprozentige Sicherheit vor Hackerangriffen – für Unternehmen ein Grund mehr, ihre IT-Sicherheitsstrategie kritisch zu hinterfragen. Anstatt die Sicherheitsaktivitäten am Endpoint beziehungsweise Perimeter zu bündeln, sollten Unternehmen den gesamten Netzwerk-Traffic als primäre Bezugsquelle nutzen und diesen idealerweise 24 Stunden täglich ununterbrochen beobachten. Der Vorteil solch einer umfassenden Datenanalyse: Sämtliche an das Netzwerk angeschlossene Devices werden überwacht – vom PC über den Laptop, das Smartphone bis hin zu allen Geräten, die im “Internet of Things”-Zeitalter zwangsläufig mit dem Firmennetzwerk verbunden sein müssen.

Blick über den Sandbox-Rand wagen

Automatisiertes Bedrohungsmanagement basierend auf Verhaltensanalyse, Data Science und maschinellen Lernen setzt als moderne Sicherheitslösung genau dort an, wo die Perimeter-Abwehr wie das Sandboxing ihre Arbeit einstellt. Sicherheitsteams können auf diese Weise jene Cyber-Angriffe rechtzeitig erkennen, priorisieren und bewerten, die von Firewalls, IPS und Sandboxes unerkannt geblieben sind. Neuartige Sicherheitsansätze gewähren zudem einen umfassenden Einblick in die kriminelle Netzwerkaktivität und machen die einzelnen Aktionen eines Hackers sichtbar – ganz unabhängig vom Malware-Typ. Denn die Mission bleibt immer die gleiche: spionieren, sich ausbreiten und Diebstahl sensibler Daten.

Viele Unternehmen verbinden mit Verhaltensanalyse, Data Science und maschinellem Lernen High-End-Technologien mit komplizierten Implementierungsprozessen und hohem Kostenaufwand. Aber genau das ist nicht der Fall. So reduzieren mitdenkende Sicherheitslösungen mit vollständig automatisierten Analyseprozessen vor allem den Bedarf an zeitlichen, personellen und somit finanziellen Ressourcen – und gerade hieran fehlt es vielen Unternehmen. In Zeiten des zunehmenden Fachkräftemangels in der IT-Security empfiehlt es sich daher für Entscheider, umzudenken und eine neue Sicherheitsstrategie zu wagen.

Unternehmen sollten aus ihrem Signaturen-Hamsterrad springen und ihr Augenmerk dorthin richten, wo Hacker irgendwann zwangsläufig in Erscheinung treten – innerhalb ihres Netzwerk. Vor dem Hintergrund immer professionellerer und ausgefeilterer Cyber-Attacken sollten und dürfen Unternehmen ihr wichtigstes Gut – Ihre Daten – grundsätzlich nicht in die Hände einer einzigen Sicherheitsmethode legen. Das Erfolgsgeheimnis liegt daher in einer Kombination aus effektiver Perimeter-Abwehr und automatisierter Threat Detection (Erkennung von Cyber-Attacken) in Echtzeit.