Kaspersky: Angriffe mit Sandboxing-Technologie kontrollieren
Sandboxing-Technologie von Kaspersky kann auch in Kundennetzwerken eingesetzt werden. Die On-premise-Lösung Kaspersky Research Sandbox richtet sich an Organisationen mit strikten Beschränkungen für die gemeinsame Datennutzung. Anwender sind mit der Sandbox-Technologie nun in der Lage, interne Security Operations Center (SOCs) oder Computer Emergency Response Teams (CERTs) aufzubauen. Die Lösung unterstützt Sicherheitsexperten in Unternehmen dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben.
Im vergangenen Jahr haben rund die Hälfte der Unternehmen (45 Prozent) eine gezielte Attacke erlebt, wie der Anbieter in einer internationalen Umfrage unter IT-Entscheidern herausfand. Diese Bedrohungen sind oft so konzipiert, dass sie nur in einem bestimmten Kontext innerhalb der Organisation des anvisierten Opfers wirken: Zum Beispiel richtet eine Datei nichts Bösartiges an, bis eine bestimmte Anwendung geöffnet wird oder bis ein Nutzer durch ein Dokument scrollt. Zudem können manche Dateien erkennen, dass sie sich gerade nicht in der Umgebung eines Endanwenders befinden – wenn es etwa keine Anzeichen dafür gibt, dass jemand an dem Endpoint arbeitet – und führen ihren schädlichen Code nicht aus. Da ein SOC jedoch in der Regel zahlreiche Sicherheitswarnungen erhält, können Analysten nicht alle verdächtigen manuell untersuchen, um herauszufinden, welche davon die gefährlichste ist.
Um Unternehmen bei der genaueren und zeitnahen Analyse fortschrittlicher Bedrohungen zu unterstützen, können die Sandboxing-Technologien des Unternehmens in den Organisationen der Kunden implementiert werden. Die Research Sandbox simuliert das System der Organisation mit zufälligen Parametern, wie Nutzer- und Computername, IP-Adresse oder dergleichen, und imitiert eine aktiv genutzte Anwenderumgebung, sodass Malware nicht erkennen kann, dass sie auf einer virtuellen Maschine läuft.