Dieser Blogbeitrag ist der fünfte Teil einer fortlaufenden Schulungsreihe zur Cybersicherheit, die von der OPSWAT Academy gesponsert wird und in der die Technologien und Prozesse behandelt werden, die für die Entwicklung, Umsetzung und Verwaltung eines Programms zum Schutz kritischer Infrastrukturen erforderlich sind.
Malware ist gefährlich, aber nicht offensichtlich. Wäre Schadsoftware einfach zu erkennen, dann wäre jede E-Mail, jedes Netzwerk und jedes Freigabesystem vollständig geschützt. Mit der Weiterentwicklung der Cybersicherheits-Tools sollte es auch einfacher werden, alle Arten von bösartigen Inhalten zu stoppen. Dennoch meldete das Center for Strategic and International Studies von McAfee für das Jahr 2020 einen weltweiten Rekordschaden von knapp 1 Billion Dollar. Warum also ist Malware im modernen Zeitalter der Cybersicherheit immer noch so effektiv?
Manche Malware ist so konzipiert, dass sie sich an unsere natürlichen Erwartungen anpasst, und entzieht sich so geschickt Prüfungen und Analysetools. Eine scheinbar normale E-Mail, Website oder kostenlose Online-Tools bieten böswilligen Akteuren die Möglichkeit, bösartigen Code, Programme oder Prozesse einzuschleusen, um ihre Ziele zu erreichen.
Böswillige Absichten, die getarnt werden, um die bessere Natur eines Menschen auszunutzen, waren schon immer eine wirksame Strategie. In Gebieten mit bewaffneten Konflikten werden Landminen eingesetzt, um eine unschuldige Straße in eine gefährliche Falle zu verwandeln. Ähnlich verhält es sich mit ausweichender Malware.
Wenn wir die Straße betrachten und einen gestörten Schmutzfleck oder einen piependen Metalldetektor sehen, können wir feststellen, was wir gefunden haben, und den Weg sicher machen. Aber manchmal wissen wir das nicht. Landminen können sorgfältig vergraben sein oder aus nicht-metallischen Bestandteilen bestehen, was unsere Entdeckungsversuche vereitelt.
Am sichersten ist es, wenn wir unseren Weg im Voraus zur Explosion bringen.
Bereits im Zweiten Weltkrieg wurden an großen, abgeschirmten Fahrzeugen massive, rotierende Dreschflegel angebracht, die den Boden aufschlugen und Minen zur Detonation brachten, um sich einen sicheren Weg durch Minenfelder zu bahnen. Ähnlich konstruierte Fahrzeuge werden auch heute noch eingesetzt. Diese Methode ist gewalttätig und teuer, aber kontrolliert, kalkuliert und äußerst effektiv.
Moderne Cybersicherheits-Tools wie die Analyse von Sandbox ermöglichen es uns, Malware auf ähnliche Weise zur Explosion zu bringen. Beispielprogramme und -dateien werden in isolierte und gesicherte virtuelle Umgebungen geladen, in denen die Malware ausgeführt werden kann, aber kein System von außen schädigt. Die Malware-Probe ist unsere Landmine und die Sandbox unser schwer gepanzerter Dreschflegel.
Bei der Detonation des Codes können wir jeden Aspekt des Inhalts analysieren und seine Absicht überprüfen. Die Datei könnte sicher sein, oder sie könnte versuchen, nicht verifizierte externe Quellen zu kontaktieren, Registrierungsschlüssel zu ändern oder das lokale Dateisystem zu scannen. Das Ausführen von Malware in einer isolierten Umgebung, um ihr Verhalten zu analysieren, wird als dynamische Analyse bezeichnet.
Im Gegensatz zu unserem Weg, der die binäre Bedingung "sicher" oder "nicht sicher" hat, müssen wir die Komplexität der Absicht einer Datei berücksichtigen. Viele legitime Programme führen Aktionen aus, die in den Bereich potenziell bösartiger Aktivitäten fallen. Nicht jedes Sandbox ist gleich, und was ein gutes Produkt ausmacht, sind die Methoden und Berechnungen, die verwendet werden, um die größtmögliche Sicherheit bei der Analyse der Aktivität einer Datei zu gewährleisten.
OPSWAT MetaDefender Cloud, ein Tool, das jeder kostenlos testen kann, bietet eine leistungsstarke Sandbox , mit der hochgeladene Dateien anhand eines robusten Gewichtungssystems bewertet werden können. Die Möglichkeit, eine Datei sicher zu detonieren, liefert Informationen, die andernfalls an den traditionellen statischen Analysetechniken vorbeigehen würden. Sandboxes bieten einen ausgezeichneten Schutz vor Zero-Day-Angriffen, bei denen die Dateidefinitionen noch nicht in die Datenbanken der AV-Unternehmen aufgenommen wurden. Viele AV-Firmen verwenden Sandboxes als Grundlage, um herauszufinden, welche Dateien zu ihren Malware-Signaturen hinzugefügt werden sollen.
Sandboxing ist jedoch keine Allzwecklösung für Malware. Um die Ergebnisse nicht zu verunreinigen, muss jede Datei einzeln gescannt werden. Die Verarbeitung auch nur einer einzigen PDF-Datei, eines Installationsprogramms, einer ausführbaren Datei usw. nimmt viel Zeit und Hardwareressourcen in Anspruch, was zu Engpässen in den Sicherheitssystemen führen kann, wenn es um große Mengen an Dateien geht. Zu wissen, wann und unter welchen Umständen ein Sandbox zu verwenden ist, ist von entscheidender Bedeutung, um diese Technologie wirklich effektiv zu machen.
Möchten Sie mehr wissen? OPSWAT Die Academy bietet verschiedene Cybersecurity-Schulungen an, in denen Sandboxing und andere Sicherheitstechnologien, die OPSWAT anbietet, näher erläutert werden. Besuchen Sieopswatacademy.com, und melden Sie sich noch heute kostenlos an!
