Land auswählen |
So wird die verdächtige Datei in dieser eigenständigen, aber virtuellen Umgebung ausgeführt und kann keinen Schaden anrichten. Dabei wird die mutmaßliche Schadsoftware auf ihr Zusammenspiel mit den vorgehaltenen API’s hin untersucht. Es wird weiter festgestellt, welche Schreib-/Lesezugriffe auf Dateisystem, Registry oder Netzwerkschnittstelle stattfinden, und anhand des ermittelten Verhaltens des ausgeführten Programms ermittelt, ob es sich um Schadsoftware handelt oder nicht. Ziel dieser Untersuchung ist es, festzustellen, in welchem Maße die Sandbox Schadsoftware von Nicht-Schadsoftware unterscheiden kann.
Die Untersuchung
Um die Fähigkeit der Sandbox zu ermitteln, war es notwendig, diese über reale Viren oder andere Schadsoftware zu testen. Diese Tests fanden in einer abgeschotteten Hochsicherheitsumgebung innerhalb des Labores der Tekit statt. Zur Verfügung standen unterschiedliche Viren-Sets mit einer unterschiedlichen Zahl und Art an Viren oder anderen Schadprogrammen sowie die Virensammlung der Wild List. Da nicht alle Viren in der Sandbox ausgeführt werden konnten, musste zur Verifizierung der tatsächlich vorhandenen Anzahl an Viren in den einzelnen Sets eine Durchmusterung mit einer Musterdatei eines Antivirenprogrammes dienen. Hierfür wurde die eigentliche Norman Antiviren Software herangezogen.
Die Tests gegen einzelne Sets aus der Virensammlung ergaben Erkennungsraten von 56% (WildList) bis zu 70%, was sogar über den Erwartungen lag. Bei neueren Viren konnten sogar alle Viren durch die Sandbox erkannt werden. Allerdings ist hier die Testbasis sehr klein, und es steht auch nicht zu erwarten, dass solche Zahlen im realen Betrieb erzielt werden können. Dies liegt an der zugrunde liegenden Philosophie der Sandbox. Da Viren (oder andere Schadsoftware) sich überwiegend durch bestimmte gemeinsame Merkmale (z.B. Schreiben in das Windows System Verzeichnis) auszeichnen, und die Sandbox schließlich in endlicher Zeit einen Test beenden soll, kann sie nicht jede API simulieren, die ein einzelner Virus nutzen könnte, sondern muss sich auf eine ausreichend große gemeinsame Schnittmenge an Aktionen der verschiedenen Viren beschränken. Vor diesem Hintergrund sind Erkennungsraten um bis zu 70% hoch.
Die Ergebnisse
Bei den Tests einzelner Sets wie auch der gesamten Sammlung konnten Erkennungsraten durch die Sandbox im Bereich von 56% bis zu 70% verzeichnet werden. Diese Art von Test lässt sich naturgemäß nur mit bereits bekannten Viren durchführen, so dass die Erkennungsrate für neue Viren durch die Sandbox eher an der unteren Grenze liegen wird. Da aber bestimmte Charakteristiken eines Virus auch in Zukunft gleich bleiben werden (Benutzung bestimmter Schnittstellen, Zugriff auf das File-System oder die Registry), steht zu vermuten, dass die Erkennungsrate für neue, noch unbekannte Viren im Regelfall in ähnlicher Größenordnung liegen wird. Dies bedeutet insbesondere bei Zero Day Attacken alleine durch die Sandbox bereits einen relativ hohen Schutzgrad für die Anwender.
Das TÜV-Siegel
Mit dem TÜV-Siegel „geprüfter pro-aktiver Virenschutz“ werden Programme von einer unabhängigen Stelle ausgezeichnet, die mehrere Tests durchlaufen haben und als zuverlässig getestet wurden. Die Norman Sandbox-Technologie hat bewiesen, dass sie in der Lage ist pro-aktiv, also noch vor der Erstellung einer Signatur, Viren anhand ihrer Auswirkungen erkennt. So ist die Technologie in der Lag, dass der Virus nicht erst einen Computer Schaden anrichtet und danach als Schädling identifiziert wird, sondern die Datei in einer virtuellen Umgebung getestet und im Bedarfsfall als Schädling identifiziert oder gar gelöscht wird.
"Wir sind sehr stolz, dass wir durch ein renommiertes, unabhängiges Institut wie den TÜV Saarland mit diesem hochwertigen Gütesiegel zertifiziert wurden", freut sich Oliver Kunzmann, Leiter Professional Services & Support, Norman GmbH Deutschland. "Dies zeigt uns dass wir mit unseren pro-aktiven Sicherheits-Lösungen auf dem richtigen Weg sind, und unsere Kunden optimal schützen können."