Als probates Mittel gegen die meisten Arten von Malware gilt der Einsatz einer Sandbox, also eines isolierten Bereichs vor dem Netzwerk. Jedoch erkennt intelligente Malware solche Sandbox-Umgebungen an gefakten IT‑, OT- und ICS-Profilen, zerlegt sich daher in gefahrlos wirkende Fragmente, welche die Sandbox scheibchenweise ungehindert verlassen. In der echten Netzwerkumgebung angekommen, wird durch automatische Defragmentierung aus den harmlosen Fragmenten wieder gefährlicher Schadcode. Häufig tarnt sich Malware auch durch einen Schlafmodus. Dabei werden erst dann weitere Fragmente nachgeladen, wenn die Zeit, die Malware üblicherweise in einer Sandbox verbringt, abgelaufen ist und die Dateien im Netzwerk angekommen sind. Schutz bieten in beiden Fällen moderne, KI-gestützte Sandbox-Umgebungen. Sie sind in der Lage, rasch auf geänderte Malware-Strategien zu reagieren. Trusted Advisor ProSoft stellt daher eine fortschrittliche Neuentwicklung seines Partners OPSWAT vor, die weitaus schneller und präziser als herkömmliche Sandbox-Lösungen auf Malware reagiert und das Eindringen in sensible IT- und OT-Systeme zuverlässig verhindert.
Das explosionsartige Wachstum von intelligenter und zielgerichteter Malware macht es immer schwieriger, neue Malware zu analysieren und zu klassifizieren, bevor sie Schaden anrichtet. Diese fortschrittliche Malware kann mittlerweile auch ältere Sandbox-Technologien und signaturbasierte Erkennungstools leicht umgehen. Doch genauso wie moderner Schadcode Sandboxen erkennen und umgehen kann, rüsten auch Sandbox-Hersteller wie OPSWAT auf. Der Stealth-Modus der OPSWAT Sandbox macht es für Malware nahezu unmöglich zu erkennen, dass sie sich in einer Sandbox befindet. Dementsprechend agiert Schadcode wie in einer normalen Live-Umgebung inklusive möglicher Command and Control (C2) Serverkommunikation. Die OPSWAT Sandbox bietet ultraschnelle Analysen und nutzt künstliche Intelligenz (KI), um selbst große Datenmengen, lizenzierte Betriebssysteme und Profile für IT‑, OT- sowie spezielle ICS-Plattformen (Industrial Control Systems) sicher zu scannen.
„Sicherheitsteams benötigen bessere Erkennungs- und Analysefunktionen, um den Aufwand, die Wahrscheinlichkeit und die potenziellen Auswirkungen von Angriffen zu reduzieren. Um auch gegen raffinierte Malware gewappnet zu sein, empfehlen wir daher die mit künstlicher Intelligenz ausgestattete Sandbox unseres Partners OPSWAT“, erklärt Robert Korherr, Geschäftsführer bei ProSoft.
Die OPSWAT Sandbox liefert gegenüber traditionellen Sandbox-Lösungen folgende Vorteile:
Nicht nachweisbarer Kernelmodus-Agent
OPSWAT’s innovativer Kernelmodus-Agent verhindert, dass Malware die Sandbox erkennt. Malware agiert in der Sandbox daher in ihrer vollen Bandbreite und Funktionalität, wodurch die tatsächlichen Absichten und Fähigkeiten enthüllt werden.
Deep Learning und KI-gesteuerte Analyse
Die OPSWAT Sandbox wendet Deep Learning und Multi-Vektor-Erkennung an und kombiniert statische, dynamische und vernetzte Analysen in einer KI-Engine für schnellere und genauere Ergebnisse. Die Lösung sucht nach Schlüsselanomalien, die Hinweise auf Malware und IoCs (Indicators of compromise) liefern. Die Canvas-ähnliche Umgebung erlaubt die einfache Erstellung und Ausführung von Analyse-Workflows als Playbook.
Unterschiedliche umgebungsspezifische Profile
Die Lösung bietet dynamische Analysen aller Arten von kritischen Infrastrukturen. Die Sandbox unterstützt Profile in IT- und OT-Umgebungen wie Windows und spezifische ICS-Plattformen für industrielle Steuerungssysteme, OT-Workstations und HMI-Umgebungen (Human Machine Interface).
Ultraschnelle und tiefgreifende Scanoptionen
Die OPSWAT Sandbox liefert bereits nach einer Minute schnelle und statistisch genaue Ergebnisse und ist damit dreimal schneller als andere Sandboxen. Die mittlere Erkennungszeit (MTTD) wird durch optimierte Analyseprozesse verkürzt.
Skalierbarkeit über On-Premise und Private Cloud hinweg
Die OPSWAT Sandbox liefert Clustering von Analyseressourcen, um die Verarbeitungskapazität auf über 100.000 Dateien pro Tag zu skalieren. Alle Analysen und Ergebnisse können in anderen Security-Lösungen weitergeleitet und verarbeitet werden.
Schnell, skalierbar und kostengünstig mit Filescan. IO
OPSWAT hat kürzlich Filescan.IO übernommen, eine kostenlose Next-Gen Malware-Analyseplattform mit Schwerpunkt auf der Extraktion von IOCs (Indicators of Compromise) und damit verbundenen Threat Intelligence-Daten. In Kombination mit der FileScan.IO-Plattform stellt die OPSWAT Sandbox eine noch schnellere, skalierbarere und kostengünstigere Lösung dar.
Die OPSWAT-Sandbox kann im Rahmen eines Proof of Concepts schnell und umfangreich in der Cloud getestet werden.