ProSoft GmbH Sandbox für schädliche Malware

Pressemitteilung | Lesedauer: min | Bildquelle: ProSoft

Eine Sandbox, also einen isolierten Bereich vor dem Netzwerk, einzusetzen, hat sich als Mittel gegen die meisten Arten von Malware bewährt. Jedoch kommt es vor, dass intelligente Malware diese Umgebungen erkennt und sich in gefahrlos wirkende Fragmente teilt, die sich in der echten Netzwerkumgebung wieder zu gefährlichem Schadcode zusammenfügen. Schutz können KI-gestützte Sandbox-Umgebungen bieten, die in der Lage sind, rasch auf geänderte Malware-Strategien zu reagieren. ProSoft stellt eine Neuentwicklung seines Partners Opswat vor, die schnell und präzise auf Malware reagiert und das Eindringen in sensible IT- und OT-Systeme zuverlässig verhindern soll.

Das explosionsartige Wachstum von intelligenter und zielgerichteter Malware macht es immer schwieriger, neue Malware zu analysieren und zu klassifizieren, bevor sie Schaden anrichtet. Auch kann diese fortschrittliche Malware mittlerweile auch ältere Sandbox-Technologien und signaturbasierte Erkennungstools leicht umgehen. Doch genauso wie moderner Schadcode Sandboxen erkennen und umgehen kann, rüsten auch Sandbox-Hersteller wie Opswat auf. Der Stealth-Modus der Opswat-Sandbox soll es Malware nahezu unmöglich machen zu erkennen, dass sie sich in einer solchen Sandbox befindet. Dementsprechend agiert Schadcode wie in einer normalen Live-Umgebung inklusiver möglicher Command and Control (C2) Serverkommunikation.

Malware zuverlässig und schnell erkennen

Mit der Opswat-Sandbox soll es möglich werden, selbst große Datenmengen, lizenzierte Betriebssysteme und Profile für IT-, OT- sowie spezielle ICS-Plattformen (Industrial Control Systems) schnell zu scannen. Zum Einsatz kommt dafür künstliche Intellgenz (KI).

»Sicherheitsteams benötigen bessere Erkennungs- und Analysefunktionen, um den Aufwand, die Wahrscheinlichkeit und die potenziellen Auswirkungen von Angriffen zu reduzieren. Um auch gegen raffinierte Malware gewappnet zu sein, empfehlen wir daher die mit künstlicher Intelligenz ausgestattete Sandbox unseres Partners Opswat«, erklärt Robert Korherr, Geschäftsführer von ProSoft. Im Vergleich mit traditionellen Sandboxen könne das Produkt von Opswat mit zahlreichen Vorteilen punkten, darunter ein nicht nachweisbarer Kernelmodus-Agent. Dieser soll verhindern, dass Malware die Sandbox erkennt. Sie agiert in der Sandbox daher in ihrer vollen Bandbreite und Funktionalität, wodurch die tatsächlichen Absichten und Fähigkeiten enthüllt werden können.

Deep Learning und  KI-gesteuerte Analyse

Die Opswat-Sandbox wendet darüber hinaus Deep Learning und Multi-Vektor-Erkennung an und kombiniert statische, dynamische und vernetzte Analysen in einer KI-Engine für schnellere und genauere Ergebnisse. Die Lösung sucht nach Schlüsselanomalien, die Hinweise auf Malware und IoCs (Indicators of compromise) liefern. Die Canvas-ähnliche Umgebung erlaubt nach Angaben des Entwicklers die einfache Erstellung und Ausführung von Analyse-Workflows als Playbook.


Dynamische Analysen kritischer Strukturen

Mit der dynamischen Analyse von kritischen Infrastrukturen aller Art kann die Sandbox Profile in IT- und OT-Umgebungen wie Windows und spezifische ICS-Plattformen für industrielle Steuerungssysteme, OT-Workstations und HMI-Umgebungen (Human Machine Interface) unterstützen. Zudem könne sie bereits nach einer Minute schnelle und statistisch genaue Ergebnisse liefern. Damit sei sie dreimal schneller als andere Sandboxen. Die mittlere Erkennungszeit (MTTD) werde dabei durch optimierte Analyseprozesse verkürzt.

Auch liefert die Opswat-Sandbox Clustering von Analyseressourcen, um die Verarbeitungskapazität auf über 100 000 Dateien pro Tag zu skalieren. Alle Analysen und Ergebnisse können in anderen Security-Lösungen weitergeleitet und verarbeitet werden.

[69]
Socials