Cloud
Teststandard für Sandboxing: Licht und Schatten
Die Anti-Malware Testing Standards Organization hat ein Evaluierungs-Framework für Sandboxen veröffentlicht, um einen Standard für verschiedene Sandbox-Angebote festzulegen. Inwieweit kann ein solches Framework heutzutage noch bei der Auswahl helfen?
Save to Folio
Ein Kommentar von Richard Werner
Wirkungsvolle Sicherheitstechniken der IT-Security werden von praktisch allen Herstellern in ihr Portfolio aufgenommen und an Kunden verkauft. Naturgemäß kommt es dadurch zu Unterschieden im Vorgehen und Wirkungsgrad. Es liegt nahe, diese Unterschiede in einer neutralen Form darzustellen, so dass potentielle Anwender einen Überblick über die Wirksamkeit der entsprechenden Technologie beim Hersteller ihrer Wahl haben. Sandboxes bilden da keine Ausnahme. Die Technologie erlaubt es, eingehende Artefakte in einer abgesicherten Umgebung auszuführen und ihre Bedrohlichkeit zu bewerten. Sie wird heutzutage von praktisch allen Sicherheitsherstellern auf die ein oder andere Art verwendet.
Nun hat die Anti-Malware Testing Standards Organisation, kurz AMTSO, eine herstellerübergreifende Non-Profit-Organisation, die Grundlagen für einen Vergleich der Technologie „Sandboxing“ entwickelt. Durch das neue Testsystem können Nutzer feststellen, ob die Lösung ihrer Wahl dem Industriestandard entspricht oder Luft nach oben bzw. unten hat.
Ist das eigentlich sinnvoll?
In der IT-Sicherheit gibt es keine einzige Technologie, die nicht früher oder später ihren Wirkungsgrad verliert. Angreifer entwickeln Methoden, um immer öfter an ihr vorbeizukommen. Das gilt natürlich auch für Sandboxen. Konsequenterweise gibt es kein Unternehmen, das sich in seiner Verteidigung allein auf eine Technik verlässt. Sandboxen sind deshalb eingebunden in ein Arsenal unterschiedlicher Verteidigungswerkzeuge und -prozesse.
Und kein Standardtest kann diese Umgebungen nachstellen und damit den tatsächlichen Wirkungsgrad beurteilen. Hinzu kommt, dass auch auf Seiten der Hersteller regelmäßig Aktualisierungen durchgeführt werden, etwa wenn man sich der eigenen Verwundbarkeit bewusst wird. Auch dadurch verzerrt sich die Momentaufnahme eines Tests. Darüber hinaus besteht im Markt die Tendenz, eingesetzte Hersteller zu konsolidieren und eher das aufeinander abgestimmte Portfolio eines Plattformanbieters als viele verschiedene Einzelprodukte zu verwenden. Auch deshalb ist der Test einer einzelnen Lösung nur noch bedingt aussagekräftig.
Aber warum macht man es dann?
Aufgrund des individuellen Charakters vieler Kundenumgebungen ist die Vergleichbarkeit von Sicherheitslösungen eine Herausforderung. Was soll denn gegenübergestellt werden? Die Marketingaussagen der einzelnen Anbieter?
Hier liefern Standardverfahren und ihre Überprüfbarkeit einen Ansatzpunkt. Speziell im Bereich Sandboxing waren so genannte „Breach Detection“-Tests, wie sie noch vor einigen Jahren regelmäßig erfolgten, sehr erfolgreich. Leider gab es Meinungsverschiedenheiten mit einigen führenden Herstellern, die ihre Produkte nicht gerecht behandelt sahen. Mit dem Standardverfahren, dem ein Großteil der Industrie nun zugestimmt hat, ist das aus der Welt geräumt - meiner Meinung nach um mindestens fünf Jahre zu spät und aufgrund der bereits erwähnten Plattformstrategie der Anwender auch nicht mehr ganz zeitgemäß. Trotzdem werden uns demnächst wieder Testberichte in Fachzeitschriften erwarten. Auch hier freut man sich über die Möglichkeit, relativ einfach an gut gehende Inhalte zu kommen.
Testverfahren im Wandel der Zeit
Gerade auch bei Standardtests die vor allem dem Marketing dienen, sehen wir zudem die Herausforderung, dass Hersteller ihre Lösung auf das Testverfahren optimieren, mit dem Ziel dabei besonders gut abzuschneiden. Dieses Risiko ist hinreichend bekannt, weshalb darauf geachtet wird, die Standardtests nach den gültigen Anforderungen zu optimieren. Im Idealfall bedeutet dann eben eine 100% Erfüllung auch, dass die Möglichkeit der Technologie vollständig ausgereizt wird. Das an sich birgt nun wieder seine eigenen Herausforderungen. Erfüllen zu viele Hersteller annähernd 100% ist die mediale und Kundenaufmerksamkeit wieder in Frage gestellt. Ein Vergleichstest, der nur Sieger kennt, ist eben langweilig und ohne Aussagekraft. Parallel beschreibt das Testverfahren auch die Leistungsfähigkeit der Produktlinie, was nun dazu verwendet werden kann, gezielt die Grenzen der Technologie auszunutzen und das eben nicht nur für einen oder zwei Hersteller, sondern für eine Produktklasse.