Das explosionsartige Wachstum von intelligenter und zielgerichteter Malware macht es immer schwieriger, neue Malware zu analysieren und zu klassifizieren, bevor sie Schaden anrichtet. Auch kann diese fortschrittliche Malware mittlerweile auch ältere Sandbox-Technologien und signaturbasierte Erkennungstools leicht umgehen. Doch genauso wie moderner Schadcode Sandboxen erkennen und umgehen kann, rüsten auch Sandbox-Hersteller wie Opswat auf. Der Stealth-Modus der Opswat-Sandbox soll es Malware nahezu unmöglich machen zu erkennen, dass sie sich in einer solchen Sandbox befindet. Dementsprechend agiert Schadcode wie in einer normalen Live-Umgebung inklusiver möglicher Command and Control (C2) Serverkommunikation.
Malware zuverlässig und schnell erkennen
Mit der Opswat-Sandbox soll es möglich werden, selbst große Datenmengen, lizenzierte Betriebssysteme und Profile für IT-, OT- sowie spezielle ICS-Plattformen (Industrial Control Systems) schnell zu scannen. Zum Einsatz kommt dafür künstliche Intellgenz (KI).
»Sicherheitsteams benötigen bessere Erkennungs- und Analysefunktionen, um den Aufwand, die Wahrscheinlichkeit und die potenziellen Auswirkungen von Angriffen zu reduzieren. Um auch gegen raffinierte Malware gewappnet zu sein, empfehlen wir daher die mit künstlicher Intelligenz ausgestattete Sandbox unseres Partners Opswat«, erklärt Robert Korherr, Geschäftsführer von ProSoft. Im Vergleich mit traditionellen Sandboxen könne das Produkt von Opswat mit zahlreichen Vorteilen punkten, darunter ein nicht nachweisbarer Kernelmodus-Agent. Dieser soll verhindern, dass Malware die Sandbox erkennt. Sie agiert in der Sandbox daher in ihrer vollen Bandbreite und Funktionalität, wodurch die tatsächlichen Absichten und Fähigkeiten enthüllt werden können.
Deep Learning und KI-gesteuerte Analyse
Die Opswat-Sandbox wendet darüber hinaus Deep Learning und Multi-Vektor-Erkennung an und kombiniert statische, dynamische und vernetzte Analysen in einer KI-Engine für schnellere und genauere Ergebnisse. Die Lösung sucht nach Schlüsselanomalien, die Hinweise auf Malware und IoCs (Indicators of compromise) liefern. Die Canvas-ähnliche Umgebung erlaubt nach Angaben des Entwicklers die einfache Erstellung und Ausführung von Analyse-Workflows als Playbook.
Dynamische Analysen kritischer Strukturen
Mit der dynamischen Analyse von kritischen Infrastrukturen aller Art kann die Sandbox Profile in IT- und OT-Umgebungen wie Windows und spezifische ICS-Plattformen für industrielle Steuerungssysteme, OT-Workstations und HMI-Umgebungen (Human Machine Interface) unterstützen. Zudem könne sie bereits nach einer Minute schnelle und statistisch genaue Ergebnisse liefern. Damit sei sie dreimal schneller als andere Sandboxen. Die mittlere Erkennungszeit (MTTD) werde dabei durch optimierte Analyseprozesse verkürzt.
Auch liefert die Opswat-Sandbox Clustering von Analyseressourcen, um die Verarbeitungskapazität auf über 100 000 Dateien pro Tag zu skalieren. Alle Analysen und Ergebnisse können in anderen Security-Lösungen weitergeleitet und verarbeitet werden.
