Anterovium - Fotolia

Threat Extraction auf CPU-Ebene: Check Point SandBlast im Interview erklärt

CheckPoint SandBlast bietet Threat Extraction auf CPU-Ebene und will Malware noch vor der Ausführung stoppen. Wie das geht erklärt Nathan Shuchami.

Vor kurzem hat Check Point Software Technologies die neue Sicherheitslösung SandBlast vorgestellt, die Advanced Threat Prevention auf CPU-Ebene verspricht und Bedrohungen bereits vor der Infizierung erkennen soll. SandBlast ist als Cloud- oder On-Premise-Lösung erhältlich und soll auch bisher unbekannte Zero-Day-Exploits durch „umgehungssichere Malware-Erkennung“ unschädlich machen.

Die Technologie hinter SandBlast geht auf das von Check Point gekaufte Unternehmen Hyperwise zurück, dessen ehemaliger Geschäftsführer Nathan Shuchami maßgeblich an der Entwicklung beteiligt war und inzwischen als Head of Threat Prevention bei Check Point Software Technologies beschäftigt ist. SearchSecurity.de hat sich von Nathan Shuchami einen Einblick in SandBlast geben lassen.

Herr Shuchami, was genau ist SandBlast, wie funktioniert die Lösung?

Nathan Shuchami: SandBlast ist eine neue Lösung zur Blockierung von Malware-Angriffen und dient vor allem dazu, unbekannte oder Zero-Day-Bedrohungen und deren Eindringen in Netzwerke und Systeme zu stoppen.

SandBlast besteht aus zwei Hauptkomponenten:

Eine Emulations-Sandbox gegen Bedrohungen, die potenziell schädliche Dateien in einer sicheren, isolierten Umgebung öffnet und das Verhalten auf ungewöhnliche Aktivitäten beobachtet. Wenn die Datei verdächtige Vorgänge wie beispielsweise die Registry aktualisieren, DLLs ändern, oder eine Verbindung zu einem Command-and-Control-Server aufbauen möchte, kann SandBlast diese Aktionen rechtzeitig blockieren. SandBlast ist in diesem Sinn eine Next-Generation-Sandbox: Im Vergleich zu älteren Sandbox-Lösungen können Angriffe schon auf der Exploit-Ebene abgefangen werden, also noch während die nötigen Rechte für die Ausführung erlangt werden und bevor der Schadcode ausgeführt werden kann.

SandBlast schafft dies durch die Überwachung des Execute-Flows der CPU. Alle anderen Sandboxes würden Identifizierungsversuche erst nach Herunterladen der Malware starten. Anomalien könnten von ihnen nur auf Systemebene erkannt werden – wenn es bereits zu spät wäre. Der Schadcode wäre schon längst übertragen und hätte solche Sandboxes einfach umgangen. SandBlast hätte den Angriff im Exploit-Status erkannt und gestoppt.

Die zweite Komponente von SandBlast ist Threat Extraction, was das Rekonstruieren sicherer Versionen von Dateien ermöglicht. Eine Sandbox braucht einige Minuten, um Dateien zu analysieren, wodurch Benutzer in der Regel warten müssen, um ihre E-Mail zu erhalten oder um ein Dokument herunterladen zu können. Mit Threat Extraktion in SandBlast erhalten Benutzer umgehend einen Snapshot der ursprünglichen Datei. Dabei werden dynamische Inhalte wie Skripte oder Makros entfernt. Nutzer haben die Möglichkeit, schon hier zu sehen, ob sie die Datei im Original brauchen oder die nötigen Informationen schon in der Vorschau enthalten sind. Die ursprüngliche Datei steht nach der erfolgreichen Prüfung durch SandBlast zur Verfügung, falls sie als sicher eingestuft wurde. Diese einzigartige Fähigkeit ermöglicht es Unternehmen, SandBlast im Full-Protection Mode zu nutzen. Angriffe werden so nicht nur erfasst, sondern in Echtzeit blockiert.

Die Sandbox ist also zentraler Bestandteil von SandBlast?

Nathan Shuchami: Traditionelle Sicherheitslösungen schützen vor bekannten Angriffen. Signaturen hierzu werden erstellt, sobald der Angriff zum ersten Mal dokumentiert wurde. Diese Informationen werden geteilt, um andere ebenfalls vor der Attacke zu schützen. Die Hacker versuchen in Unternehmen mit starkem Sicherheitsschutz einzudringen, indem sie bestehende Malware durch kleine Änderungen einen neuen Anstrich verleihen. Dann werden diese von der Schutzsoftware nicht so leicht erkannt.

Sandboxing erlaubt es in dieser Situation, auch unbekannte Schädlinge zu identifizieren. Aber Hacker haben gelernt, Sandboxes zu umgehen. Es gibt Möglichkeiten zu überprüfen, ob die Malware sich wirklich auf einem Endgerät oder nur auf einer virtuellen Maschine befindet. In einer Sandbox würde sie dann den Angriff gar nicht erst starten. Eine Alternative zur Prüfung wäre die Nutzung einer Verzögerungstaktik: Man wartet einfach zwei Tage oder nutzt die Eingabe einer bestimmten Tastenfolge, um damit einen echten Nutzer zu simulieren.

Durch die Threat Detection auf CPU-Ebene können Exploits mit SandBlast erkannt werden, bevor eine Umgehungstaktik umgesetzt werden kann. Die Störung in der frühen Phase des Angriffs gibt der Malware keine Chance, überhaupt aktiv zu werden.

Da die Malware-Erkennung auf CPU-Ebene abläuft, spielt dann der Chip-Hersteller eine Rolle? Werden alle vorhandenen CPUs unterstützt oder gibt es technische Voraussetzungen?

Nathan Shuchami: SandBlast fängt Malware auf jeglicher PC-Hardware ab. Die Lösung selbst befindet sich entweder auf einer dedizierten Check-Point-Appliance oder auf einem SandBlast Cloud-Server. Der CPU-Hersteller spielt in diesem Prozess also keine Rolle.

Was ist mit Betriebssystem und Applikationen, gibt es hier spezielle Voraussetzungen?

Nathan Shuchami: Bei SandBlast spielt auch das Betriebssystem zunächst keine Rolle, da hier die OS-Level-Emulationskomponente ins Spiel kommt. SandBlast unterstützt derzeit Windows XP und Windows 7, in Kürze durch Updates auch Windows 8 und Windows 10.

Gibt es denn Unterschiede was die Funktionen der Cloud- und On-Premise-Version betreffen?

Nathan Shuchami: Nein, da gibt es keinen Unterschied. Es ist wirklich nur die Frage, ob der Kunde die Sandbox vollständig im eigenen Netzwerk verwalten will oder der Einfachheit wegen die Verwendung einer Cloud-basierten Version bevorzugt. In der Tat ist beides gleichzeitig möglich: Viele Kunden wählen für größere Standorte eine dedizierte Appliance, während in kleineren Büros und Außenstellen der Cloud-Service zum Einsatz kommt.

Antiviren-Software scheint immer unwichtiger zu werden. Glauben Sie, dass die Zeit dieser Lösungen in der Enterprise-IT vorbei ist? Es gibt ja schon erste Berichte von Unternehmen, die Antiviren-Lösungen zugunsten wirkungsvollerer Produkte vollständig aufgegeben haben.

Nathan Shuchami: Endpoint-Schutz ist unabdingbar. Das Blockieren von weit verbreiteten Angriffen durch Antivirus-Programme ist immer noch ein sehr effizienter Weg, um sich vor bekannter Malware zu schützen. Da sich Geräte immer wieder außerhalb der Netzwerkperimeter bewegen, müssen Sie in der Lage sein, Angriffe am Endpunkt zu verteidigen. Nur so können Infektionen über USB-Geräte oder heruntergeladen Dateien vermieden werden. Ein mehrschichtiger Ansatz zur Sicherung der Endpunkte (Desktop, Laptop, Tablets und Handys), des Netzwerks und des Rechenzentrums wird auch noch in vielen Jahren Teil der Sicherheitsarchitektur großer Unternehmen sein.

Dabei glauben wir aber auch, dass sich Endpoint-Sicherheit weiterhin über die grundlegenden Antivirus-Funktionalitäten hinaus entwickeln wird. Viele der fortgeschrittenen Funktionen wie Bot-Erkennung und Threat Extraktion sind Beispiele dafür. In Zukunft wird die Möglichkeit, diese breite Palette von Schutzmaßnahmen und Richtlinien für alle Geräte von einer integrierten Konsole aus zu verwalten, immer wichtiger werden.

Herr  Shuchami, vielen Dank für das Gespräch.

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close