Was ist Sandbox-Sicherheit?

Im Zusammenhang mit Cyber-Sicherheit ist eine Sandbox eine isolierte Umgebung in einem Netzwerk, welche die Betriebsumgebungen von Endbenutzern simuliert. Sandboxes dienen der sicheren Ausführung von verdächtigem Code, ohne das Hostgerät oder Netzwerk zu gefährden.

Der Einsatz einer Sandbox zur Erkennung komplexer Malware bietet eine weitere Schutzebene vor neuen Sicherheitsbedrohungen, insbesondere vor (bisher unbemerkter) sogenannter Zero-Day-Malware und versteckten Angriffen. Was in der Sandbox passiert, bleibt in der Sandbox, wodurch Systemausfälle vermieden und die Ausbreitung von Softwaresicherheitslücken verhindert werden.

Sandbox-Umgebungen bieten eine proaktive Ebene für Netzwerksicherheit gegen Advanced Persistent Threats (APTs, komplexe hartnäckige Bedrohungen). APTs sind speziell entwickelte, gezielte Angriffe mit der Absicht, Unternehmen zu schaden und Daten zu stehlen. Sie sind so konzipiert, dass sie eine Erkennung umgehen können und oft von einfacheren Erkennungsmethoden nicht entdeckt werden.

Beim Sandbox-Test wird Malware aktiv erkannt, indem Code in einer sicheren, isolierten Umgebung ausgeführt oder ausgelöst wird, um das Verhalten und die Ausgabeaktivität dieses Codes zu beobachten. Herkömmliche Sicherheitsmaßnahmen sind reaktiv und basieren auf der Erkennung von Signaturen, wobei nach Mustern gesucht wird, die bei bekannten Vorkommen von Malware identifiziert wurden. Da dadurch nur zuvor ermittelte Bedrohungen erkannt werden, bieten Sandboxes eine weitere wichtige Sicherheitsebene. Selbst wenn erste Schutzmaßnahmen mit künstlicher Intelligenz oder maschinellem Lernen (signaturloser Erkennung) arbeiten, sind diese Abwehrmaßnahmen nur so gut wie die Modelle, die diesen Lösungen zugrunde liegen. Es besteht daher nach wie vor die Notwendigkeit, diese Lösungen durch eine fortschrittliche Malware-Erkennung zu ergänzen.

Es gibt mehrere Optionen für die Sandbox-Implementierung, die je nach Unternehmensanforderungen mehr oder weniger zweckdienlich sein können. Es gibt u. a. die folgenden drei Formen von Sandbox-Implementierungen:

• Emulation des vollständigen Systems: Die Sandbox simuliert die physische Hardware des Hostcomputers, einschließlich CPU und Arbeitsspeicher, und bietet einen tiefen Einblick in Programmverhalten und Auswirkungen.
• Emulation des Betriebssystems: Die Sandbox bildet das Betriebssystem des Endbenutzers nach, aber nicht die Hardware des Computers.
• Virtualisierung: Bei diesem Ansatz wird eine auf einer virtuellen Maschine (VM) basierende Sandbox verwendet, um verdächtige Programme einzugrenzen und zu untersuchen.

Malware-Autoren sind ständig bestrebt, auf die neueste, ausgefeilteste Bedrohungserkennung zu reagieren. Hier einige Verschleierungsmethoden für Sandboxes.

• Erkennung der Sandbox: Sandbox-Umgebungen unterscheiden sich geringfügig vom realen System eines Endbenutzers. Wenn Malware eine Sandbox erkennt, kann sie die Ausführung schädlicher Aktivitäten entweder sofort beenden oder blockieren.
• Ausnutzen von Sicherheitslücken und Schwächen einer Sandbox: So ausgeklügelt eine bestimmte Sandbox auch sein mag, können Malware-Programmierer oft ihre Schwachstellen finden und ausnutzen. Ein Beispiel ist die Verwendung verschleierter Dateiformate oder sehr großer Dateien, die die Sandbox nicht verarbeiten kann. Oder, wenn die Überwachungsmethode der Sandbox umgangen wird, erhält die Sandbox einen „blinden Fleck“, in dem Schadcode abgelegt werden kann.
• Integrieren kontextabhängiger Auslöser: Kontextabhängige Malware macht sich Schwächen der automatisierten Sandbox-Technologie zunutze. Beispielsweise können mitunter als „logische Bomben“ bezeichnete Elemente die Auslösung des Codes für eine bestimmte Zeitspanne verzögern oder bis Auslöser vorkommen, die normalerweise nur auf dem System eines Endbenutzers auftreten, wie z. B. Systemneustarts oder Interaktionen mit Tastatur und Maus.