Der IT-Security-Spezialist ProSoft stellte eine Sandbox seines Partners Opswat vor. Diese soll schneller und präziser als herkömmliche Sandbox-Lösungen auf Malware reagieren und das Eindringen in sensible IT- und OT-Systeme zuverlässig verhindern.

Das explosionsartige Wachstum von intelligenter und zielgerichteter Malware macht es immer schwieriger, neue Malware zu analysieren und zu klassifizieren, bevor sie Schaden anrichtet. Diese fortschrittliche Malware kann mittlerweile auch ältere Sandbox-Techniken und signaturbasierte Erkennungstools leicht umgehen. Doch genauso wie moderner Schadcode Sandboxen erkennen und umgehen kann, rüsten auch Sandbox-Hersteller wie Opswat auf. Der Stealth-Modus der Opswat-eigenen Sandbox macht es für Malware nahezu unmöglich zu erkennen, dass sie sich in einer Sandbox befindet, so das Versprechen. Dementsprechend agiere Schadcode wie in einer normalen Live-Umgebung inklusive möglicher Command-and-Control-Server-Kommunikation. Die Sandbox biete ultraschnelle Analysen und nutze künstliche Intelligenz (KI), um selbst große Datenmengen, lizenzierte Betriebssysteme und Profile für IT-, OT- sowie spezielle ICS-Plattformen (Industrial Control Systems) sicher zu scannen.

Der Kernelmodus-Agent der Sandbox verhindert laut ProSoft, dass Malware die Sandbox erkennt. Malware agiere in der Sandbox daher in ihrer vollen Bandbreite und Funktionalität, wodurch sich die tatsächlichen Absichten und Fähigkeiten enthüllen lassen.

Darüber hinaus wende die Sandbox Deep Learning und Multi-Vektor-Erkennung an und kombiniere statische, dynamische und vernetzte Analysen in einer KI-Engine für schnellere und genauere Ergebnisse. Die Lösung suche nach Schlüsselanomalien, die Hinweise auf Malware und IoCs (Indicators of compromise) liefern. Die Canvas-ähnliche Umgebung soll die einfache Erstellung und Ausführung von Analyse-Workflows als Playbook erlauben.

Außerdem biete die Lösung dynamische Analysen aller Arten von kritischen Infrastrukturen. Die Sandbox unterstützt Profile in IT- und OT-Umgebungen wie Windows und spezifische ICS-Plattformen für industrielle Steuerungssysteme, OT-Workstations und HMI-Umgebungen (Human Machine Interface), so die weiteren Angaben. Zudem liefere die Sandbox bereits nach einer Minute schnelle und statistisch genaue Ergebnisse und sei damit dreimal schneller als andere Sandboxen.

Schließlich liefere die Sandbox Clustering von Analyseressourcen, um die Verarbeitungskapazität auf über 100.000 Dateien pro Tag zu skalieren. Alle Analysen und Ergebnisse lassen sich laut ProSoft in andere Security-Lösungen weiterleiten und verarbeiten.