An Sandboxing scheiden sich vermutlich die Geister. Die einen Kunden schwören darauf, die Hersteller sowieso, andere leben scheinbar ganz gut ohne diese Technologie. Dennoch lässt sich feststellen, dass die Werbetrommeln dafür auch schon lauter gerührt wurden. Ist der Hype vorbei? Gab es überhaupt jemals einen Hype? Wie viele Kunden setzen Sandboxing ein? In welcher Form und was sind ihre Erfahrungen damit? Und wohin geht die Reise?
Am Anfang stand FireEye
2011 hatten wir erstmals Leute von FireEye bei uns im Büro. 2012 wieder und dann mit viel mehr Begeisterung für die eigene Technologie. So viel Begeisterung, dass wir uns anstecken liessen. Es klang nach einer Wunderwaffe. Einer Wunderwaffe gegen neue unbekannte Bedrohungen, gezielte Angriffe, gegen Exploits, die noch nicht einmal veröffentlicht waren. Eine Hardware mit 64 virtuellen Systemen, die alle möglichen Betriebssystem-Versionen und Softwarestände simulieren, dabei alle Codeschnipsel aus Web Traffic und E-Mail Attachments ausführen und bösartiges Verhalten erkennen können. FireEye kann Angriffe über die Zeit beobachten – vom initialen Befall bis zum Nachladen der eigentlichen Malware – was nur möglich ist, wenn der Exploit zur Beginn der Angriffskette erkannt wird.
Die Realität war aber leider auch, das die Technologie nicht ganz günstig war und in zeitlich begrenzten Teststellungen meist nur wenig Gefährliches gefunden werden konnte. Viele Kunden taten sich schwer damit hohe Investitionen für eine zusätzliche «Versicherung» auszugeben. Das Thema war neu und Aufklärung braucht auch Zeit.
In der Zwischenzeit hat die Konkurrenz aufgeholt und heute bieten fast alle IT-Security Anbieter am Perimeter eine Sandbox an – als Hardware oder als Cloud-Service oder beides.
Wer macht Sandboxing?
Bei AVANTEC setzen heute knapp 40% aller Kunden eine Sandbox-Lösung ein. Zwei Drittel davon nur für E-Mail Security. Dies lässt sich hauptsächlich damit erklären, dass kritische und gezielte Attacken zumeist über den E-Mail Kanal ablaufen oder zumindest E-Mail als einen wichtigen Angriffsvektor nutzen. Die Sandbox wird dabei in 4 von 5 Fällen aus der Cloud bezogen. Die Vorteile dafür liegen auf der Hand: Einfachste Inbetriebnahme, keinen Betriebsaufwand und bzgl. Kosten deutlich günstiger als eine inhouse-Variante.
Ein Viertel unserer Sandbox-Kunden setzt diese Technologie ausschliesslich für den Netzwerk- und Web-Verkehr ein. Dabei halten sich Hardware-Lösung und Cloud Service noch knapp die Waage. Der Trend geht aber klar in Richtung Cloud. Denn Hardware-Lösungen haben einen grossen Nachteil. Sie schützen in der Regel nur die Clients innerhalb des Firmennetzwerks, ja in den meisten Fällen sogar nur am Hauptstandort. Mitarbeitende sind heute jedoch immer mehr ausserhalb des Perimeters anzutreffen. Eine Cloud-Lösung bietet hier den umfassenderen Schutz bei gleichzeitig weniger Betriebsaufwand und tieferen Kosten.
Gerade mal 10% unserer Sandbox-Kunden setzen eine einheitliche Lösung für beide Kanäle ein – E-Mail und Web. Dies mag verschiedene Ursachen haben wie beispielsweise die hohen Investitionskosten, aber auch, dass verschiedene Teams innerhalb der Firma über verschiedene Lösungsbereiche entscheiden.
Zu letzterem Punkt passt auch die folgende Beobachtung: In 4 von 5 Fällen wird die Sandbox als Zusatzlösung oder Service von einer bestehenden Perimeter-Lösung hinzugekauft anstelle der Evaluation und Beschaffung einer komplett neuen Lösung. Ein Trend der sich vermutlich weiter fortsetzen wird.
Sandboxing ist keine reine Security-Technologie für die Finanzbranche. Dies zeigt sich klar, wenn wir uns die Kunden etwas genauer anschauen. Sie stammen aus allen Branchen: nicht nur Banken und Versicherungen, sondern augenfällig in der Industrie oder auch im Retail. Sandboxing wird dort eingesetzt wo das Sicherheitsbedürfnis hoch ist und vielleicht auch gerade dort, wo es zum Zeitpunkt des Sandbox-Hypes einen entsprechenden Vorfall gab.
Erfahrungen aus der Praxis
Sandboxing funktioniert, keine Frage. Die Technologie bietet Chancen noch unbekannte Bedrohungen zu erkennen, welche durch herkömmliche Signaturen und Reputation nicht blockiert werden. Das Thema, dem sich alle Kunden stellen müssen: Wie viel wert ist ein bisschen mehr Security?
Wir hatten beispielsweise bei einem grösseren Industriekunden einen Sandbox-POC durchgeführt und dabei festgestellt, dass mit dieser Technologie durchschnittlich eine zusätzliche Infektion pro Tag verhindert werden könnte. Die Kosten der Lösung lagen bei 180 CHF pro Tag. 180 CHF um eine Infektion verhindern zu können? Mit allen Kosten und Aufwänden, die mit einem solchen Malware-Befall verbunden sind? Das schien vernünftig. Der Kunde hat dennoch nicht gekauft.
Eine interessante Beobachtung ist auch, dass der Fingerprint und Abgleich mit einer weltweiten Datenbank zu bereits getesteten Files den grössten Mehrwert einer Sandbox-Lösung ausmacht. Dies weil die Malware meist schon bei einem anderen Kunden durch die Sandbox lief. Hier konnten wir in verschiedenen Projekten feststellen, dass eine Sandbox-Lösung gerade im Bereich der E-Mail Security eine Vielzahl zusätzlicher gefährlicher Files erkennen und blockieren kann.
Sandbox-Lösungen bringen auch eine minimale Konfiguration mit sich. Ein wichtiger Entscheid gilt jeweils der Frage, ob die Sandbox inline genutzt werden soll, Files zuerst scannt und erst nach erfolgreicher Prüfung freigibt oder ob ein noch unbekanntes Files direkt vom User bezogen werden kann zur Verbesserung der Benutzerfreundlichkeit. Das Risiko dabei ist natürlich einen Patient Zero zu erzeugen.
Unsere Erfahrung zeigt, dass Sandboxen schon mal 5 bis 10 Minuten benötigen um ein File eingehend zu prüfen. Dies ist bei E-Mail in der Regel akzeptabel, im Web-Bereich für Benutzer aber eher nervig. Der gute alte Trade-off zwischen Security und Benutzerkomfort.
Ein interessanter Ansatz bietet hier die Check Point Sandblast-Lösung: Das Extraction-Feature. Der User erhält zunächst das File ohne aktiven Code, später nach erfolgreicher Prüfung das Original-File.
Es gibt Sandboxen die mit einer Vielzahl vorkonfigurierter VM-Systeme versuchen verschiedene Client-Installationen möglichst gut abzudecken. Andere setzen auf die Philosophie, dass der eigentliche Unternehmens-Client mit all seinen Softwareständen auf der Sandbox installiert und konfiguriert werden soll. Letzteres bietet sicher genauere Analysen und gute Sicherheit, aber nur solange die beiden Konfigurationen auch wirklich übereinstimmen, was aufwändig ist.
Die erste Variante hat zudem den Vorteil, dass auch Angriffe erkannt werden, die vielleicht wegen falschen Software-Versionen fehlschlagen, aber die Tatsache, dass es einen Angriff gab ist sichtbar für die Security-Verantwortlichen.
Sandboxing – quo vadis?
Es gibt heute nicht nur diverse Sandbox-Lösungen am Markt, sondern auch alternative Technologien um die Sicherheit nachhaltig zu erhöhen. Einer dieser Trend sind Next Generation Endpoint Security Lösungen, die direkt auf dem Client ansetzen und diesen mit neuen Ansätzen besser schützen. Das Spektrum reicht hier von Privilege Management bis zu Machine Learning und Verhaltensanalyse. Ein anderer Trend ist Isolation. Isolation kann ebenfalls direkt auf dem Endpoint eingesetzt werden oder Server/Cloud-basiert im Netzwerk-Traffic. Hierbei wird aktiver Code in einer isolierten Umgebung ausgeführt und kann auf dem Client keinen Schaden anrichten.
Diese neuen Lösungsansätze werden das Geschäft mit Sandboxing nicht ankurbeln – unabhängig davon, dass Sandboxing seinen Mehrwert für einen höheren Schutzlevel bereits mehrfach unter Beweis stellen konnte. Ich vermute daher, dass Sandboxing mit der Zeit mehr und mehr zu einem Feature werden wird. Die Preise dafür werden sinken und die Technologie kann einfach zum bestehenden Setup hinzu lizenziert werden – vorzugsweise aus der Cloud.
