News

Rundumschutz mit der FortiSandbox

Veröffentlicht 11.05.2016
Autor Maurice Mauser
Wie schützen, gegen gezielte Hacker-Angriffe und Zero-Day Exploits?

Dem 2015 Verizon Breach Report zufolge, kam es allein im letzten Jahr zu 2122 untersuchten Datenkompromittierungen und 79900 klassifizierten Sicherheitsvorfällen. Angreifer haben es auf Ihre Betriebsgeheimnisse abgesehen, legen Ihren Geschäftsbetrieb lahm, verschlüsseln Datensätze und erpressen Lösegeld. Zunehmend gehen diese über die gewohnten automatisierten Angriffe hinaus, und nehmen die Form von gezielten – auf Ihre Organisation zugeschnittenen – Hacker-Attacken an (Advanced Persistent Threats). Traditionelle Sicherheitstechnologien stoßen an Ihre Grenzen, wenn Angreifer hierbei sogenannte „Zero-Day Exploits“ ausnutzen. Also, vormals unbekannte Sicherheitslücken, auf welche Entwickler und Organisationen nun unmittelbar – innerhalb von 0 Tagen – reagieren müssen. In einem solchen Szenario, greift die FortiSandbox.

Das Trojanische Pferd in der Box

Die Idee einer Sandbox ist es, potentiell schädlichen Code in einer isolierten, virtualisierten Umgebung erst einmal Probe laufen zu lassen. Statt sich einzig auf verdächtige Attribute zu verlassen, gewinnt man damit direkten Einblick, was passieren wird. Hinter unsere trojanische Stadtmauer bauen wir quasi ein zweites Tor, um aus sicherer Höhe die anstürmenden Griechen dabei zu beobachten, wie jene aus ihrem Holzpferd klettern, nachdem ihnen der Eintritt durch das Haupttor gewährt wurde – und denen nun die Enttäuschung ins Gesicht geschrieben steht.

Ein typischer Angriff

  • Schritt 1: Ein böswilliger Hacker späht Sie aus, erstellt gezielt ein Profil Ihrer Organisation. Sie erhalten eine einfallsreiche E-Mail, welche einen schädlichen Link oder Anhang enthält. Handelt es sich hierbei um einen bereits bekannten Angriff, wird dieser von Ihrer Antispam/Antiphishing Lösung geblockt. Wird diese allerdings überlistet, erreicht die E-Mail ihr Ziel.
  • Schritt 2: Klickt man nun auf den Link, wird eine Verbindung mit der Website des Angreifers aufgebaut. Fällt diese in ein bereits bekanntes Muster, wird sie von Ihrem Web Filter geblockt. Greift dieser nicht, führt die schädliche Seite ihren Angriff auf Sie durch.
  • Schritt 3: Der Angriff nutzt einen Exploit aus, um Zugang zu Ihrem System zu erlangen. Dies wird von Ihrem Intrusion Prevention System (IPS) verhindert. Schlägt dies jedoch auch fehl, öffnet sich ein Tunnel. Durch diesen schleust man nun Malware direkt in Ihre Organisation.
  • Schritt 4: Ihre Antimalware schützt Sie idealerweise gegen den Eintritt dieser Schadsoftware. Schlägt dies jedoch fehl, liegt nun der ausführbare Code des Angreifers im Herzen Ihres Systems.
  • Schritt 5: Sobald dieser Code nun ausgeführt wird, versucht er Zugang zu Berechtigungen zu erlangen, seitwärts nach sensitive Daten zu suchen, und diese zu sammeln oder zu manipulieren. Er kann seine Mission jedoch erst erfolgreich abschließen, wenn es ihm gelingt, diese Daten an einen externen Command & Control Server zu schleusen. Hiergegen schützt Sie u.a. Ihre Application Control, IP Reputation und Botnet Protection. Oder eben nicht. Werden auch diese Technologien überwunden, wurden Sie erfolgreich gehackt.

 

Antispam, Web Filtering, IPS, Antivirus, Application Control und IP Reputation sind absolut unabdingbare Sicherheitstechnologien. Sie beschränken sich jedoch auf bereits bekannte Angriffe, bzw. auf jene welche einem verdächtigen Muster zuordenbar sind. Damit bieten Sie keinen ausreichenden Schutz gegen vollkommen unbekannte oder polymorphe Viren. Oder wenn Tunneling, Verschlüsselung und ähnliche Methoden zur Maskierung der Schadsoftware verwendet werden. Lässt man nun allerdings alle unbekannten – weder white- / noch black-gelisteten – Anwendungen in der isolierten virtualisierten Umgebung einer Sandbox einmal Probe laufen, zwingen wir Schadsoftware Ihre Identität preiszugeben, bevor diese uns direkten Schaden zufügen kann.

Aber bitte mit Performance

Genau dieses Zusammenspiel, zwischen der Sandbox und Fortinet’s preisgekrönter Antimalware, ermöglicht all dies unter einer erstaunlichen Performance – trotz der gegebenen Gründlichkeit der Untersuchungen. Die Sandbox muss nicht jedes einzelne Paket untersuchen, entpacken und ausführen, da der Großteil aller schädlichen bzw. sicheren Anwendungen ja Ihrer FortiGate bereits bekannt ist. Was diese nicht klar zuordnen kann, wird in der FortiSandbox emuliert und geprüft; was von vornherein geblockt werden kann, entlastet die Sandbox. Dank solch einer intelligenten Priorisierung, ist die FortiSandbox so schnell und effektiv, wie sie sein sollte.

Ihr Ansprechpartner:
Indasys Zentrale
Dominik Appich
Jetzt Infos einholen:
Phone +49 (711) 89 66 59 - 115
Email Kontakt per Email