Blog

APT Blocker – Der „Sandkasten“, der Malware bekämpft

Posted by Maciej Golik on 16 Dezember, 2015  /  techblog

Schädliche Software ist heutzutage mehr verbreitet denn je zuvor. Viren, Trojaner und Keylogger stellen nicht nur im Internet eine Gefahr für den Nutzer dar, sondern verstecken sich auch innerhalb von an E-Mails angehängter Dateien. Vor allem bislang unbekannte Viren stellen die größte Gefahr dar, weil sie von Antivirus-Programmen nicht erkannt werden. Das ist darauf zurückzuführen, dass diese mit sogenannten Virus-Signaturen arbeiten und somit auf die Erkennung von Schadmustern ausgelegt sind. Bei diesem Vorgehen werden in einer Datenbank des jeweiligen Herstellers bekannte Schädlings-Signaturen gespeichert und jede Datei, die in das System gelangt, wird mit dieser Datenbank abgeglichen und anschließend als sicher oder gefährlich eingestuft. Wenn es sich dabei um einen Virus handelt, kann das zur Infektion des Systems oder sogar des gesamten Netzwerkes führen – die Folgen können verheerend sein. Unsere IT-Experten zeigen Ihnen, wie Sie unbekannte Schadware mit dem APT Blocker (Advanced Persistent Threat) in den Griff bekommen.

Was ist ein APT?

Was ist ein APT? Quelle: http://www.watchguard.com/docs/whitepaper/wg_apt-blocker_wp_de.pdf

Kann Schadware im Unternehmen früher erkannt werden?
Ja, aber nur, wenn sie bereits bekannt ist. Das war zumindest der Fall, bis WatchGuard den APT Blocker präsentierte. Hier kommt eine andere Methode zum Einsatz – die der Verhaltensanalyse.

Das Vorgehen besteht aus 4 Schritten:
1. Eine Datei erreicht das Netzwerk und wird von der Firewall zunächst blockiert.
2. Die Signatur der Datei wird mit einer Datenbank abgeglichen. Falls sie bekannt ist und als „sicher“ eingestuft wird, lässt sie die Firewall ins Netzwerk.
3. Im Fall einer unbekannten Datei wird diese auf den Server von WatchGuard hochgeladen und dort in einer abgeschirmten Umgebung (der Sandbox) ausgeführt. Diese moderne, cloudbasierte Sandbox emuliert sämtliche Komponenten inklusive Prozessor und Arbeitsspeicher, welche detailliert beobachtet werden. So kann das Bedrohungspotenzial von Programm-Code ganzheitlich herausgefunden werden.
4. Wenn es keine Auffälligkeiten gibt, wird die Datei von der Sandbox / Firewall freigegeben und dem Nutzer zur Verfügung gestellt. Falls die unbekannte Datei jedoch während der Ausführung auffällige Verhaltensweisen aufzeigt, wird sie blockiert und der Nutzer erhält unmittelbar eine E-Mail mit einem entsprechenden Warnhinweis.

Quelle:

Quelle: http://www.watchguard.com/docs/ whitepaper/wg_apt-blocker_wp_de.pdf

 

 

Der APT Blocker ermöglicht die Analyse von:
– Allen ausführbaren Windows-Dateien
– Adobe PDF-Dateien
– Microsoft Office-Dateien (Word, Excel, Visio, PowerPoint)
– Android Installationspaketen (.apk)
– Gepackten Dateien (z. B. .zip)

 

Die Sandbox ist auf den Servern von Lastline (www.lastline.com), einem etablierten Malwareerkennungs-Spezialisten, lokalisiert, wodurch die Aktualität der Analyse-Tools stets gewährleistet wird. Die Ergebnisse der Untersuchung werden in einer Weboberfläche veranschaulicht, sodass eine genaue Kontrolle über die untersuchten Dateien beibehalten wird. Der APT Blocker bietet somit nicht nur einen sehr guten Schutz vor modernen Schadprogrammen, sondern garantiert dem User auch eine umfassende Nachvollziehbarkeit.

Managementconsole WatchGuard Dimension Quelle: http://www.watchguard.com/docs/datasheet/wg_apt-blocker_ds.pdf

Managementconsole WatchGuard Dimension
Quelle: http://www.watchguard.com/docs/datasheet/wg_apt-blocker_ds.pdf

 

 

Sie benötigen Unterstützung im Umgang mit Schadware in Ihrem Unternehmen oder möchten gerne einen detaillierten Einblick in alle Funktionen des APT Blockers erhalten? Wir, die CCVOSSEL GmbH, beraten Sie jederzeit gerne.

  • CCVOSSEL GmbH