Top Banner
1 Code- Spektrum Erwiesener- maßen gutartig Wahr- scheinlich gutartig Whitelists Reputation: Datei, IP, Anwendung, Signaturen von E-Mail-Anwendungen, digital signierte Dateien Vielleicht gutartig Völlig unbekannt Sandboxing Etwas verdächtig Sehr verdächtig Heuristik- Reputation: Datei, IP, Anwendung, generische E-Mail-Signaturen Erwiese- nermaßen bösartig Blacklists Signaturen Sicherheits- technologien SCHUTZ VOR KOMPLEXEN BEDROHUNGEN (ADVANCED THREAT PROTECTION, ATP) Schützen Sie Ihre Unternehmen gegen ausgeklügelte Angriffe. Mit Sandboxing können Sie Bedrohungen erkennen, die von anderen Sicherheitsmechanismen übersehen werden, indem Sie diese Bedrohungen dazu bringen, sich selbst preiszugeben. Warum Sie Sandboxing zur Gefahrenabwehr benötigen Unternehmen, deren Daten durch Advanced Persistent Threats (APT oder hoch entwickelte, andauernde Bedrohungen) abgegriffen wurden, beherrschen die Schlagzeilen und Sandboxing wird als das Nonplusultra zum Schutz gegen APTs propagiert. Warum? Warum Sandboxing? Was kann Ihnen eine Sandbox-Lösung bieten, das Ihre vorhandenen Sicherheitsebenen Ihnen noch nicht liefern? Mit einer Sandbox, d. h. einer von den übrigen Systemressourcen isolierten Laufzeitumgebung, haben Sie die Möglichkeit in die Zukunft zu sehen. Wir leben in einer Welt, in der nicht alles eindeutig schwarz oder weiß bzw. gut oder schlecht ist. Der Programmcode, der auf Ihrem Netzwerk ausgeführt wird, erstreckt sich über eine Bandbreite von definitiv sicheren bis zu definitiv schädlichen Programmen oder solchen, die bösartigen Code enthalten. Vieles ist schlichtweg nicht bekannt. Höchstwahrscheinlich betreiben Sie bereits eine Reihe von Sicherheitstechnologien, die Ihr Unternehmen vor Schadprogrammen schützen sollen, und Technologien, die Sie dabei unterstützen, erwünschten Code zu erkennen. Aber wie die meisten Unternehmen werden auch Sie durch das Unbekannte bedroht. Und dieses Unbekannte öffnet insgesamt gesehen eine beträchtliche Lücke. LÖSUNGSÜBERSICHT Vorteile n Verhindern Sie das Abschöpfen von Daten durch ausgeklügelte Angriffe n Erkennen Sie hoch entwickelte, andauernde Bedrohungen (APT) n Decken Sie bis dato unbekannte Malware auf n Blockieren Sie mehr Spear-Phis- hing-Angriffe n Steigern Sie die Effektivität Ihrer NGFW bzw. Ihrer UTM- oder sicheren E-Mail-Gateway-Lösung
4

Warum Sie Sandboxing zur Gefahrenabwehr benötigendocs.media.bitpipe.com/io_12x/io_125531/item_1190779/Warum Sie Sandboxing zur...Mit dem Sandboxing bekommen Sie endlich eine Methode

Jan 23, 2020

Download

Documents

dariahiddleston
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Warum Sie Sandboxing zur Gefahrenabwehr benötigendocs.media.bitpipe.com/io_12x/io_125531/item_1190779/Warum Sie Sandboxing zur...Mit dem Sandboxing bekommen Sie endlich eine Methode

1

LÖSUNGSÜBERSICHT: WARUM SIE SANDBOXING ZUR GEFAHRENABWEHR BENÖTIGEN

Code-Spektrum Erwiesener-

maßen gutartig

Wahr-scheinlich gutartig

Whitelists Reputation: Datei, IP, Anwendung, Signaturen von E-Mail-Anwendungen, digital signierte Dateien

Vielleicht gutartig

Völlig unbekannt

Sandboxing

Etwas verdächtig

Sehr verdächtig

Heuristik-Reputation: Datei, IP, Anwendung, generische E-Mail-Signaturen

Erwiese-nermaßen bösartig

Blacklists Signaturen

Sicherheits-technologien

SCHUTZ VOR KOMPLEXEN BEDROHUNGEN (ADVANCED THREAT PROTECTION, ATP)

Schützen Sie Ihre Unternehmen gegen ausgeklügelte Angriffe. Mit Sandboxing können Sie Bedrohungen erkennen, die von anderen Sicherheitsmechanismen übersehen werden, indem Sie diese Bedrohungen dazu bringen, sich selbst preiszugeben.

Warum Sie Sandboxing zur Gefahrenabwehr benötigenUnternehmen, deren Daten durch Advanced Persistent Threats (APT oder hoch entwickelte, andauernde Bedrohungen) abgegriffen wurden, beherrschen die Schlagzeilen und Sandboxing wird als das Nonplusultra zum Schutz gegen APTs propagiert. Warum? Warum Sandboxing? Was kann Ihnen eine Sandbox-Lösung bieten, das Ihre vorhandenen Sicherheitsebenen Ihnen noch nicht liefern?

Mit einer Sandbox, d. h. einer von den übrigen Systemressourcen isolierten Laufzeitumgebung, haben Sie die Möglichkeit in die Zukunft zu sehen. Wir leben in einer Welt, in der nicht alles eindeutig schwarz oder weiß bzw. gut oder schlecht ist. Der Programmcode, der auf Ihrem Netzwerk ausgeführt wird, erstreckt sich über eine Bandbreite von definitiv sicheren bis zu definitiv schädlichen Programmen oder solchen, die bösartigen Code enthalten. Vieles ist schlichtweg nicht bekannt. Höchstwahrscheinlich betreiben Sie bereits eine Reihe von Sicherheitstechnologien, die Ihr Unternehmen vor Schadprogrammen schützen sollen, und Technologien, die Sie dabei unterstützen, erwünschten Code zu erkennen. Aber wie die meisten Unternehmen werden auch Sie durch das Unbekannte bedroht. Und dieses Unbekannte öffnet insgesamt gesehen eine beträchtliche Lücke.

LÖSUNGSÜBERSICHT

Vorteilen Verhindern Sie das Abschöpfen

von Daten durch ausgeklügelte Angriffe

n Erkennen Sie hoch entwickelte, andauernde Bedrohungen (APT)

n Decken Sie bis dato unbekannte Malware auf

n Blockieren Sie mehr Spear-Phis-hing-Angriffe

n Steigern Sie die Effektivität Ihrer NGFW bzw. Ihrer UTM- oder sicheren E-Mail-Gateway-Lösung

Page 2: Warum Sie Sandboxing zur Gefahrenabwehr benötigendocs.media.bitpipe.com/io_12x/io_125531/item_1190779/Warum Sie Sandboxing zur...Mit dem Sandboxing bekommen Sie endlich eine Methode

2 www.fortinet.com

LÖSUNGSÜBERSICHT: WARUM SIE SANDBOXING ZUR GEFAHRENABWEHR BENÖTIGEN

Antispam

Webfilter

Intrusion Prevention

Antivirus

Applikationskontrolle/IP-Reputation

Infizierte E-Mail

Schritt 1

Schritt 2

Schritt 3

Schritt 4

Schritt 5

Infizierte Website

Befehls- und Steuerungsserver

Bot-Befehle und gestohlene Daten

Zugriff bestätigt

Bot-Befehle und gestohlene Daten

Malware

ExploitExploit

Manipulierter Link

Manipulierter Link

SpamSpam

Malware San

db

ox

Der 2014 Verizon Breach Report bestätigte für das Jahr 2013 1.367 Sicherheitsverletzungen und über 63.000 Sicherheitsvorfälle. Mit dem Sandboxing bekommen Sie endlich eine Methode an die Hand, um diese Lücke zu schließen und zuvor unbekannte Angriffe, die von herkömmlichen Sicherheitstechnologien möglicherweise nicht erkannt werden, zu identifizieren.

Wie passt das Sandboxing in meine zahlreichen, bereits vorhandenen Sicherheitsebenen? Denken Sie an den Lebenszyklus eines Angriffs und wie die Sicherheitstechnologien zum Schutz Ihres Unternehmens zusammenwirken.

n Schritt 1: Zunächst kundschaftet ein Angreifer sein Angriffsziel aus. Anschließend verfasst er eine raffinierte E-Mail, die häufig einen manipulierten Link (oder eine infizierte Datei) enthält. Diese E-Mail sendet er an das Ziel. An dieser Stelle wird die E-Mail möglicherweise von Ihrer Antispam-/Anti-Phishing-Lösung blockiert. Geschieht dies nicht, erreicht die E-Mail die Zielperson, die mit etwas Glück für den Angreifer auf den manipulierten Link klickt.

n Schritt 2: Wenn die Zielperson auf den Link klickt, baut der ausgehende Datenverkehr eine Verbindung zu einer Website auf. Hier blockiert ggf. Ihr Webfilter den Datenverkehr. Wenn er jedoch versagt, startet diese manipulierte Website einen Angriff auf Ihr Unternehmen.

n Schritt 3: In der Regel startet die manipulierte Website Exploit-Angriffe auf das Ziel, um Zugriff auf das System zu erlangen. Hier versucht Ihr Intrusion Prevention System (IPS) den Angriff zu stoppen. Sollte es jedoch versagen, wird ein Kanal geöffnet, durch den die manipulierte Site Malware in Ihr Unternehmen einschleusen kann.

n Schritt 4: Wenn die Malware in Ihr System eindringt, greift idealerweise Ihre Anti-Malware, um Sie zu schützen. Funktioniert das nicht, kann der Angreifer Programmcode in Ihr System einschleusen, wo dieser dann ausgeführt werden kann.

n Schritt 5: Wird das Schadprogramm dann einmal ausgeführt, sucht es in der Regel nach Zugangsdaten und verbreitet sich auf der Suche nach sensiblen Daten, um diese in Ihrem Unternehmen zu sammeln/bereitzustellen. Um seinen Auftrag jedoch zum Abschluss zu bringen, müssen diese Daten auf einen Befehls- und Steuerserver ausgeschleust werden. Hier kommen Ihre Applikationskontrolle, Ihr IP-Reputationsservice, Ihr Botnet-Schutz und andere Schutzmechanismen ins Spiel. Wenn diese Technologien den Datenverkehr jedoch nicht unterbinden, war der Angriff auf Sie erfolgreich.

Antispam, Webfilter, IPS, Antivirus, Applikationskontrolle und IP-Reputationsservices sind wichtige Schutzmechanismen. Dennoch können sie die raffiniertesten Angriffe heutzutage nicht stoppen. Sie können nur die bekannten (wenn auch weit gefassten) Indikatoren für Angriffe erkennen, ob mithilfe von Signaturen, Heuristik oder Reputationsmethoden. Die Gefahr lauert dort, wo Angriffe völlig neuartig sind oder sich durch Tunneling, Verschlüsselung oder andere Ausweichmanöver tarnen können. Mit dem Sandboxing erweitern Sie Ihren Sicherheitsmix um eine zusätzliche Sicherheitsebene. Diese kann Schadcode auch dann erkennen, wenn er noch unbekannt ist, indem sie ihn dazu bringt, sich in der Sandbox zu enttarnen.

Page 3: Warum Sie Sandboxing zur Gefahrenabwehr benötigendocs.media.bitpipe.com/io_12x/io_125531/item_1190779/Warum Sie Sandboxing zur...Mit dem Sandboxing bekommen Sie endlich eine Methode

3

LÖSUNGSÜBERSICHT: WARUM SIE SANDBOXING ZUR GEFAHRENABWEHR BENÖTIGEN

Lösungen

Code-Spektrum Erwiesener-

maßen gutartig

Wahr-scheinlich gutartig

Whitelists Reputation: Datei, IP, Anwendung, Signaturen von E-Mail-Anwendungen, digital signierte Dateien

Vielleicht gutartig

Völlig unbekannt

Sandboxing

Etwas verdächtig

Sehr verdächtig

Heuristik-Reputation: Datei, IP, Anwendung, generische E-Mail-Signaturen

Erwiese-nermaßen bösartig

Blacklists Signaturen

Sicherheits-technologien

FortiSandbox mit FortiGuard, FortiOS

FortiGate(IPS, Antivirus, Antispam, Web Filtering, Content Filtering)

mit FortiGuard, FortiOS, FortiMail, FortiClient, FortiDDoS, FortiWeb, FortiAuthenticator

Was ist eine Sandbox? Eine Sandbox ist eine sichere, isolierte Umgebung, die die Betriebsumgebung eines Endbenutzers repliziert, in der Sie Programme ausführen, beobachten und diese auf Grundlage ihres Verhaltens anstatt von Attributen einstufen können. In einer Sandbox können Sie Programmdateien ausführen, begrenzten Netzwerkverkehr zulassen und andere Aktionen ausführen, die verborgene Malware zum Vorschein bringen können. Die Sandbox bietet eine sichere Umgebung, in der Sie Schadcode ausführen und seine Auswirkungen, wie Datei-/Festplattenoperationen, Netzwerkverbindungen, Änderungen an der Registrierung/Systemkonfiguration usw., beobachten können.

Was macht die FortiSandbox so schnell und effektiv? FortiSandbox versucht das Verhalten echter Endbenutzersysteme zu replizieren, um Schadcode auszuführen. Sie kann sogar seine beabsichtigte Funktionsweise beschleunigen, um ihn zu erkennen. Um die Malware einstufen zu können, führen Sandboxes mehrere Prozesse zur Bewertung von Code mit verschiedenen Betriebssystemen und Technologien durch. FortiSandbox priorisiert die Prozesse zur Bewertung von Malware anhand ihrer Verbreitung in unterschiedlichen Konfigurationen, um so die Erkennung von Schadcode zu beschleunigen. FortiSandbox ist ein Erkennungstool, das am besten funktioniert, wenn es zusammen mit den Komponenten etablierter Funktionen zur Bedrohungsabwehr, wie Next-Generation Firewalls (NGFW) oder Unified Threat Management-Systemen (UTM) sowie sicheren E-Mail-Gateways oder Plattformen zum Schutz von Endgeräten, ausgeführt wird. Bei Fortinet betreffen diese Lösungen den Eingang, Ausgang und interne Prüfpunkte und können so Datenverkehr proaktiv im Vorfeld filtern, um dort bereits möglichst viel abzufangen (bekannte

Bedrohungen oder sehr verdächtigen Datenverkehr) und unbekannten bzw. unsicheren Datenverkehr, der zur weiteren Prüfung in die FortiSandbox umgeleitet werden muss, zu priorisieren. Dank dieses kooperativen Ansatzes kann sich jedes Produkt darauf konzentrieren, was es am besten kann. So muss sich die Sandbox beispielsweise nicht mit Datenverkehr und Bedrohungen befassen, die vorab bereits durch andere Technologien blockiert werden können.

Die Lösung von Fortinet vereint eine ganze Reihe selbst entwickelter Technologien, aber eine Komponente spielt beim proaktiven Schutz gegen ausgeklügelte Malware eine herausragende Rolle. Genauer gesagt die patentierte Compact Pattern Recognition Language (CPRL) von Fortinet ist die, die von FortiGuard Labs speziell zur gründlichen Überprüfung von Programmcode entwickelt wurde. Diese Sprache erkennt mindestens 50.000 Tarnungen, die von bekanntem Schadcode verwendet werden. Wenn ein Programmcode eine bekannte Tarnmethode verwendet, kann CPRL sie erkennen und die FortiGate identifiziert den Code, ohne ihn an die Sandbox weiterzuleiten. Dieser nützliche Schritt steigert die Leistung, weil er die Sandbox-Ressourcen für die Bearbeitung von unbekanntem Programmcode reserviert. Diese Technologie ist eine Kernkomponente unseres Vorzeigeprodukts FortiGate sowie der FortiMail- und FortiClient-Produkte und der Grund dafür, dass diese Lösungen bei unabhängigen Tests, wie denen von Virus Bulletin, AV Comparatives und anderer, regelmäßig Bestnoten erhalten.

Um zusätzlich auch die raffiniertesten Bedrohungen zu erkennen, hat Fortinet die fortschrittlichen Analysemethoden aus den FortiGuard Labs in der FortiSandbox zusammengefasst. Der NSS Labs 2014 Breach Detection Systems Report bestätigt, dass die Lösung 99 % aller Sicherheitsverletzungen erkennt, die meisten davon in unter einer Minute.

Page 4: Warum Sie Sandboxing zur Gefahrenabwehr benötigendocs.media.bitpipe.com/io_12x/io_125531/item_1190779/Warum Sie Sandboxing zur...Mit dem Sandboxing bekommen Sie endlich eine Methode

4 www.fortinet.com

LÖSUNGSÜBERSICHT: WARUM SIE SANDBOXING ZUR GEFAHRENABWEHR BENÖTIGEN

Internet

Sandbox-Prüfung

Netzwerk-Traf�c

Feedback an FortiGuard

CPRL-Analyse und UTM/NG-FW-Abwehr mit FortiGate am gesamten eingehenden Verkehr

Überprüfter Datenverkehr

FortiSandbox führt aus, analysiert und meldet an FortiGuard zurück

FortiSandbox-Kon�guration mit FortiGate

FortiClient installiert auf Endgeräten lernt von FortiGuard

DeutschlandFeldbergstraße 3560323 FrankfurtDeutschlandVerkaufsabteilung: +49 69 310 192 0

SchweizRiedmuehlestr. 8CH-8305 Dietlikon/ZürichSchweizVerkaufsabteilung: +41 44 833 68 48

ÖsterreichWienerbergstrasse 7/D/12th floor1100 WienÖsterreichVerkaufsabteilung: +43 1 22787 120

Wie finde ich die ideale Sandbox für mich? Sie wünschen sich eine Sandbox, die Sicherheitsverletzungen effektiv aufdeckt und zwar schnell. Stellen Sie sicher, dass Sie eine Sandbox-Lösung wählen, die von unabhängiger Seite getestet und bewertet wurde. Verlassen Sie sich in puncto Effektivität und Leistung keinesfalls allein auf die Aussagen von Anbietern. Darüber hinaus muss sich die Sandbox gut in Ihre bereits vorhandenen Technologien für die Netzwerksicherheit einfügen. Die Sandbox ist kein Ersatz für die vorhandenen Antispam-, IPS-, Antivirus- und Webfilter-Lösungen, IP-Reputationsservices und Applikationskontrolle in Next-Generation Firewalls, sicheren E-Mail-Gateways und Plattformen zum Endgeräteschutz. Ihre Sandbox muss eng mit diesen Technologien zusammenarbeiten und so eine zusätzliche Sicherheitsebene bereitstellen, die als Teil einer koordinierten Verteidigungsstrategie verwaltet werden kann.

Schließlich ist das Sandboxing ressourcenintensiv und die Kosten variieren von Anbieter zu Anbieter erheblich. Vergewissern Sie sich, dass Ihre Sandbox-Lösung die Sicherheit, die Sie benötigen, zu einem guten Preis liefert.

Weitere Informationen zum Sandboxing mit Fortinet finden Sie unter http://www.fortinet.com/products/fortisandbox/index.html.

KONZERNSITZFortinet Inc.899 Kifer RoadSunnyvale, CA 94086USATel.: +1 (408) 235 7700www.fortinet.com/sales

VERTRIEBSBÜRO EMEA120 rue Albert Caquot06560, Sophia Antipolis, FrankreichTel.: +33 (0)4 8987 0510

VERTRIEBSBÜRO APAC300 Beach Road 20-01The ConcourseSingapur 199555Tel.: +65 6513 3730

VERTRIEBSBÜRO LATEINAMERIKAProl. Paseo de la Reforma 115 Int. 702Col. Lomas de Santa Fe,C.P. 01219 Del. Alvaro ObregónMéxico D.F.Tel.: +52 (55) 5524 8480

Copyright © 2015 Fortinet, Inc. Alle Rechte vorbehalten. Fortinet®, FortiGate®, FortiCare® und FortiGuard® sowie bestimmte andere Marken sind eingetragene Marken von Fortinet, Inc. Bei anderen hier aufgeführten Namen von Fortinet kann es sich ebenfalls um eingetragene und/oder Gewohnheitsmarken von Fortinet handeln. Alle weiteren Produkt- und Unternehmensnamen sind u. U. Marken ihrer jeweiligen Eigentümer. Leistungs- und andere hierin enthaltenen Kennzahlen stammen aus internen Labortests unter idealen Bedingungen. Die tatsächliche Leistung und andere Ergebnisse können davon abweichen. Netzwerkvariablen, unterschiedliche Netzwerkumgebungen und anderen Bedingungen können Auswirkungen auf die Leistungsergebnisse haben. Keine der hierin enthaltenen Angaben stellt eine verbindliche Verpflichtung durch Fortinet dar und Fortinet lehnt alle ausdrücklichen oder implizierten Garantien ab. Ausnahme: Fortinet geht einen verbindlichen, schriftlichen Vertrag mit einem Käufer ein, der vom Leiter der Rechtsabteilung von Fortinet unterzeichnet wird und der eine ausdrückliche Garantie dafür gewährt, dass ein bestimmtes Produkt entsprechend der genau angegebenen Leistungskennzahlen bestimmungsgemäß funktioniert. In diesem Fall sind ausschließlich die in diesem verbindlichen, schriftlichen Vertrag aufgeführten spezifischen Leistungskennzahlen für Fortinet bindend. Nur um das klarzustellen, jede diesbezügliche Garantie beschränkt sich einzig auf die Leistung unter den gleichen idealen Bedingungen wie bei den internen Labortests von Fortinet. Fortinet lehnt dementsprechend jegliche ausdrücklichen oder implizierten Verpflichtungen, Zusagen und Garantien ab. Fortinet behält sich das Recht vor, diese Veröffentlichung ohne Ankündigung zu ändern, zu bearbeiten, zu übertragen oder anderweitig zu überarbeiten. Es gilt die jeweils aktuellste Fassung der Veröffentlichung.