Automatisierte Malware-Erkennung mit "FortiSandbox"

Computerviren und andere digitale Schädlinge gibt es schon seit Jahrzehnten. Hatten deren Programmierer in früheren Jahren lediglich die Verbreitung ihrer „Geschöpfe“ und damit die Steigerung ihres Bekanntheitsgrades im Sinn, verlagert sich die Intention der Malware-Erschaffer heute mehr und mehr auf das Geldverdienen. Eine Zeit lang waren es sogenannte „Zombie-PCs“, die mittels der Verteilung von unerwünschter Werbung („SPAM“) mehr oder weniger gute Einnahmen für ihre Betreiber erzeugt haben; heute setzen zwielichtige Gestalten oft auf digitale Erpressung via „Crypto-Trojaner“, die auch außerhalb professioneller IT-Kreise für Aufmerksamkeit sorgt. Kaum eine Firma oder Unternehmung, bei der nicht schon einzelne Arbeitsplätze von solcher Schadsoftware befallen waren, was – bestenfalls – das Zurückspielen von Backups notwendig gemacht hat. In manchen Fällen kam es aber zu Datenverlusten, die die betroffenen Firmen dazu zwang, auf die Erpressung der Programmierer einzugehen – denn  nur nach Zahlung eines Lösegelds mittels nicht verfolgbarer Wege (wie Western Union oder Bitcoins) wurden die notwendigen Schlüssel zum Decodieren der verschlüsselten Dateien zur Verfügung gestellt – wenn man denn „Glück“ hat.

Vorsorge mit der FortiSandbox

Sicherlich ist ein funktionierendes Backup, sinnvollerweise auch mit mehreren Generationen, die beste Versicherung gegen solche Angriffe. Doch was, wenn man die Verbreitung der Schädlinge schon vermeiden kann, bevor sie überhaupt ihr zerstörerisches Werk vollbringen können? Herkömmliche Mittel wie Antiviren-Software auf den Arbeitsplätzen oder an den Internet-Gateways und –Firewalls sind meist das Mittel der Wahl, doch können diese gerade angesichts leicht zu modifizierender Ausgangsdateien nicht immer rechtzeitig eingreifen. An dieser Stelle kommt Fortinet, Hersteller der bekannten und im Bereich der UTM-Firewalls seit Jahren führenden FortiGate-Geräte, mit einem seiner Produkte genau recht – die Appliance „FortiSandbox“ kann diese Lücke schließen.

(Aus-)Probieren geht über Studieren Scannen

Beim Verarbeiten eingehender Daten – egal, ob diese per Web-Download oder E-Mail ankommen – prüft die Firewall dabei nach wie vor, ob bekannte Viren-Signaturen auf die Dateien zutreffen. Sollte dagegen nichts gefunden werden, werden die zu überprüfenden Dateien an die FortiSandbox übermittelt. Dieses System, welches im Prinzip nichts anderes als eine spezielle Windows- und MS Office-Instanz ist, führt die verdächtigen Dateien in einer gesicherten Umgebung aus und erkennt anhand des Verhaltens im System, ob es sich bei den Dateien um gefährliche Malware handelt. Somit werden auch die sogenannten „0-Day-Exploits“, also bisher unbekannte Viren und Trojaner, zuverlässig erkannt und eingedämmt – lange bevor Viren-Labors auf die neuen Schädlinge aufmerksam werden. Liefert die FortiSandbox ein „OK“ zurück, stellt die Firewall die angeforderte Datei zur Verfügung.
 

FortiSandbox: Das Administrations-Interface liefert sekündlich aktualisierte Informationen über gefilterte Malware und den Status des Systems.

 

Cloud, VM und Appliance

Fortinet stellt die FortiSandbox in unterschiedlichen Varianten zur Verfügung. Neben einer fertigen Hardware-Appliance, einem leistungsfähigen Server-System, ist auch die Installation in einer vorhandenen VM-Umgebung möglich. Beide Varianten sind hauptsächlich für Anwender gedacht, bei denen sehr viele Firewalls die Prüfung des Datenverkehrs vornehmen. Für KMU-Anwender sowie Firmen mit nur einer zentralen Firewall ist der Einsatz der Cloud-Variante wirtschaftlich sinnvoller.
Setzen Sie bereits eine oder mehrere FortiGates ein, und möchten sich von der Leistung der FortiSandbox überzeugen? Rufen Sie uns an, wir unterstützen Sie bei der Aktivierung einer Testlizenz und der Konfiguration Ihrer Firewall-Regeln. Selbstverständlich stehen wir Ihnen auch bei Fragen zu der Funktion oder dem Wechsel zu einer Firewall-Lösung von Fortinet gerne zur Verfügung!

EU Efre Dekra