Distri-Award
– Jetzt zur Umfrage!

Suchen

Gesponsert

Mehr Effizienz und Automatisierung für SOC und Incident Response Was eine Sandbox wirklich können sollte

Viele Unternehmen und Organisationen verwenden bereits eine Sandbox für die Malware-Analyse, und inzwischen haben auch viele Firewalls, Web oder Email Gateways integrierte Sandboxing-Funktionalität an Bord. Aber nicht oft erfüllen sich die Erwartungen. Wir haben mit Dr. Carsten Willems, CEO von VMRay, über die Gründe gesprochen.

Warum eine Sandbox oft scheitert und was sie wirklich können sollte, verrät Carsten Willems, CEO von VMRay.
Warum eine Sandbox oft scheitert und was sie wirklich können sollte, verrät Carsten Willems, CEO von VMRay.
(Bild: nikolaos killas/EyeEm - stock.adobe.com)

Dr. Carsten Willems, CEO von VMRay, ist einer der weltweit führenden Experten auf dem Gebiet der Sandboxing-Technologien. Zusammen mit dem Mitbegründer und CTO Dr. Ralf Hund, entwickelt er hypervisorbasierte Lösungen zur Erkennung und Analyse von Advanced Malware.
Dr. Carsten Willems, CEO von VMRay, ist einer der weltweit führenden Experten auf dem Gebiet der Sandboxing-Technologien. Zusammen mit dem Mitbegründer und CTO Dr. Ralf Hund, entwickelt er hypervisorbasierte Lösungen zur Erkennung und Analyse von Advanced Malware.
(Bild: Christian Köster - Koester Fotografie)

IT-BUSINESS: Dr. Willems, Sie sind CEO von VMRay. Was genau bietet Ihr Unternehmen?

Dr. Carsten Willems: Wir haben uns auf Sandboxing-Technologien zur Erkennung und Analyse moderner Malware spezialisiert. Die Betonung liegt dabei auf spezialisiert, denn wir verstehen uns als Hersteller von Präzisionswerkzeugen für den Einsatz im Security Operations Center (SOC) und im Incident-Response-Bereich (IR). Im SOC-Umfeld liegt der Schwerpunkt meist auf dem Monitoring großer Datenvolumen und der schnellen Erkennung von Bedrohungen. Ist die tiefgehende, verhaltensbasierte Analyse einer suspekten Datei erforderlich oder ist es tatsächlich zu einem Vorfall gekommen, werden die Threat Analysten im IR-Team hinzugezogen. Für beide Einsatzbereiche bieten wir Lösungen.

IT-BUSINESS: Welche Zielgruppe spricht VMRay an?

Dr. Carsten Willems: Unsere Kunden sind meist im Enterprise-Segment angesiedelt oder kommen aus dem Bereich der Regierungsinstitutionen und Behörden. Ausschlaggebend ist dabei weniger das Marktsegment als der Schutzbedarf der Organisation und der Reifegrad der Cybersecurity-Architektur. Unsere Kunden haben ein dediziertes Cybersecurity-Team und Sandboxing ist bekannt. Es geht darum, Lücken zu schließen und die Fähigkeiten zur Erkennung und Abwehr von neuartigen Angriffen zu stärken.

IT-BUSINESS: Sehen wir uns dies genauer an. Die meisten Ihrer Kunden haben also bereits eine Sandbox im Einsatz. Warum genau entscheiden sie sich dann für VMRay?

Dr. Carsten Willems: Häufig war die vorhandene Sandbox nicht effektiv genug, es ist zu oft zu Vorfällen gekommen. In der Tat stehen Cybervorfälle laut Allianz Risk Barometer 2020 an der Spitze der Unternehmensrisiken. Hochentwickelte Malware ist in der Lage, gängige Sandboxing-Methoden zu erkennen, gutartiges Verhalten vorzutäuschen und der Entdeckung zu entgehen. Ein entscheidender Vorteil von VMRay Lösungen ist ihre hohe Resistenz gegen Sandbox Evasion, also dem Austricksen der Sandbox. Das liegt zum einen an unserer hypervisorbasierten Technologie, die die Sandbox für Schadsoftware quasi unsichtbar macht und zum anderen an unserem ausgefeilten Monitoring, das die Manöver der Malware erkennt und durchschaut.

IT-BUSINESS: Welche anderen Gründe nannten Kunden, die sich für einen Wechsel entschieden haben?

Dr. Carsten Willems: Nicht selten war die Report-Qualität der vorhandenen Lösung unzureichend. Was im ersten Moment nicht besonders dramatisch klingt, kann weitreichende Folgen haben. Ein Analyse-Report muss einen granularen Einblick in die Aktionen und das Verhalten einer suspekten Datei ermöglichen. Manche Reports waren zu oberflächlich und lückenhaft, es fehlten essenzielle Informationen. In anderen Reports waren diese Informationen zwar vorhanden, da aber auch das normale Hintergrundrauschen des Systems dokumentiert wurde, gingen relevante Signale im Rauschen unter. Wird bei einer Malware-Analyse beispielsweise ein Microsoft Word-Dokument unter die Lupe genommen, dann sollten die gerechtfertigten Interaktionen der Anwendung mit der Systemumgebung keinesfalls im Report erscheinen. Wir haben bei unseren Kunden Reports gesehen, bei denen das Signal-Rausch-Verhältnis 1:100 betragen hat. Werden Nutzsignale durch Rauschen verwässert, ist es sehr schwierig, Angriffsvektoren aufzudecken.

Zu häufige Fehlalarme der vorhandenen Sandbox gehörten auch zu den Gründen, die Kunden zum Wechsel veranlassten. Security-Teams werden von Alarmen aus verschiedenen Systemen geradezu überschwemmt und müssen viel Zeit und Energie darauf verwenden, echte Alarme von Falschen Positiven zu unterscheiden. In diesem Zusammenhang fällt häufig das Schlagwort „Alert Fatigue“.

Die Security Teams brauchen definitiv mehr Unterstützung. Kann VMRay hier helfen?

Dr. Carsten Willems: Ja, das können wir. Eine unserer Stärken ist die Automatisierung von Erkennungs- und Analysevorgänge. Das ist ein wichtiges Thema in Zeiten von Fachkräftemangel und überlasteten Security-Teams. Automatisierte Erkennungsprozesse sind skalierbar, damit kann auch steigendes Malwarevorkommen bewältigt werden. Außerdem werden bei der Analyse automatisch zuverlässige IoCs (Indicators of Compromise) aus der Masse forensischer Daten extrahiert. Das bedeutet eine große Entlastung, denn in vielen Security-Teams werden IoCs immer noch manuell generiert – ein zeitaufwändiger Vorgang, der einen erfahrenen Threat Analysten voraussetzt.

IT-BUSINESS: Eine große Herausforderung ist ja die Erkennung fortschrittlicher Bedrohungen. Woran zeigt sich hier, dass VMRay anders als herkömmliche Sandboxes arbeitet?

Dr. Carsten Willems: Ein wichtiger Faktor ist unsere hypervisorbasierte Technologie, die ich bereits kurz erwähnt habe. Wenn es um zielgerichtete Angriffe geht, die nur auf den Rechnern der Zielorganisation oder nur in bestimmten Ländern aktiv werden, dann ist es außerdem wichtig, die Sandbox so detailgetreu wie möglich an der realen Umgebung auszurichten. Das können wir mithilfe von unternehmenseigenen Golden Images und mit Geo-Location-Einstellungen umsetzen. Unser Technologie-Ansatz stützt sich auf viele innovative Funktionen. Deshalb empfehle ich: eine Demo anfordern und unser Produktversprechen einer Prüfung unterziehen.

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.

(ID:46856105)