Check Point Threat Emulation Blade – Sandboxing unter der Lupe

Sandboxing und aktive Inhalte in Dokumenten sind in den letzten Monaten vor allem durch die grassierenden Verschlüsselungstrojaner, auch Ransomware genannt, eines der heißesten Themen im IT Sicherheitsumfeld geworden. Das Haupt-Problem bei den letzten Wellen der Ransomware war, dass fast keine Signatur zweimal aufgetaucht ist, d.h. die klassischen, hauptsächlich signaturbasierten Virenscanner können sie nicht erkennen.

Sandboxing kann Schadsoftware auch ohne Signaturen erkennen und bringt daher einen Mehrwert gegenüber dem klassischen AntiVirus.
Trotzdem muss man sich darüber im Klaren sein, dass auch das Sandboxing keinen 100-prozentigen Schutz vor jeglicher Schadsoftware bieten kann. Wie viel Prozent mehr an Erkennungsrate es gegenüber dem klassischen AntiVirus wirklich bringt, jetzt und in naher Zukunft, hängt vom Hersteller, den genauen Einstellungen und leider auch von der Anpassungsfähigkeit der Angreifer ab. Aber wenn man auch nur einen einzigen Schadcode im richtigen Moment abfängt, kann viel Schaden verhindert werden, egal wie viel statistische Prozentpunkte das Sandboxing insgesamt bringt.

Sollte z.B. noch WinXP mit Office 2003 im Einsatz sein, beides inzwischen seit Jahren ohne Sicherheitspatches von Microsoft, ist der Endpoint mit klassischen Mitteln kaum noch abzusichern und ein vorgelagerter Schutz wie z.B. SandBlast massiv zu empfehlen. Aber auch ein Windows 7 mit allen Patches und aktuellem, klassischen Virenscanner kann sich ohne zusätzlichen Schutz unbemerkt einen Verschlüsselungstrojaner einfangen oder zum Bot werden.

Dieser Blogeintrag soll nur einen groben technischen Überblick der Lösung von Check Point geben, es gibt viele große und kleine Stellschrauben…

Bezeichnungen bei Check Point

Die Sandboxing-Lösung von Check Point trägt den Namen SandBlast. Die Blades nennen sich Threat Emulation (TE), Threat Extraction (TX), zusammengefasst TEX (TX gibt es nicht ohne TE), und um bei den Threat-Begrifflichkeiten zu bleiben: das Bundle aus AntiVirus, AntiBot und Threat Emulation/Threat Extraction nennt sich Threat Protection (TP).

Protokolle, Dateitypen und Sandbox-Umgebungen

Mit SandBlast können Email (smtp) und Webtraffic (http; https nur, wenn HTTPS Inspection aktiviert ist) überprüft werden.

In die Sandbox werden neben den üblichen ausführbare Dateien (.exe und .scr), Java (.jar) und Flash (.swf), auch Dokumente mit möglicherweise aktiven Inhalten von MS Office (.doc, docx, .docm,… bis zu .xll) und Adobe PDF (.pdf) geschickt. Auch die üblichen Archiv-Formate (.zip, .tar, .tgz, .cab…) werden verarbeitet.

Threat Emulation File Types

Aus denselben MS Office Dateitypen und pdf-Dateien kann mit Threat Extraction der aktive Inhalt entfernt werden.

Für die Sandbox können vorgegebene Kombinationen aus Betriebssystem-Version (Windows XP, Windos 7, Windows 8.1 ; Windows 10 soll in Kürze folgen), Office-Version (Office 2003/7, 2010, 2013) und Acrobat-Reader-Version (9, 9.4, 11) ausgewählt werden.

Threat Emulation (TE): das Sandboxing

Es ist ein mehrstufiger Prozess:

  1. Es wird ein Hashwert über die in Frage kommende Datei gebildet.
  2. Es wird in der ThreatCloud von Check Point bzw. dem lokalen Cache angefragt, ob dieser Hashwert bereits bekannt ist.
  3. Ist die Datei bisher unbekannt, wird sie zur Emulation hochgeladen.
  4. Entsprechend dem Ergebnis aus 2. bzw. 3. wird entsprechend der Konfiguration für die Stufen High, Medium oder Low Confidence (in die Schadhaftigkeit der Datei) die Datei geblockt, nach Nachfrage durchgelassen oder durchgelassen. Im Fall einer Email mit geblocktem Anhang kann die Email entweder komplett geblockt oder ohne Anhang durchgelassen werden.

Eine Besonderheit von SandBlast gegenüber den Angeboten von anderen Herstellern soll nicht unerwähnt bleiben: neben den üblichen Schadsoftware-Indizien wie Änderungen in der Registry, Änderungen von Programmdateien etc. hat Check Point eine inzwischen patentierte Erkennung über die von Intel bereitgestellte Schnittstelle auf CPU-Ebene von verdächtigen Aktionen. So wird erkannt, wenn beispielsweise eine pdf-Datei versucht herauszufinden, ob sie in einer VM läuft, um sich eben in einer Sandbox unauffällig zu verhalten und so unerkannt zu bleiben, bis sie außerhalb der Sandbox ausgeführt wird.

Und noch zum Thema Datenschutz: es gibt die Möglichkeit einer lokalen TE-Appliance, so dass die Daten das eigene Netzwerk nicht verlassen, aber meist wird die Public Cloud von Check Point genutzt. Wenn man nicht die (teure) Variante einer lokalen TE-Appliance machen kann oder will, so kann man doch die GeoLocation des genutzten Check Point Cloud-Rechenzentrums festlegen: Deutschland, Israel oder USA.
TP_Policy

Threat Extraction (TX): aktiven Inhalt aus Office Dateien entfernen

(zusätzliche Lizenz)

Alle aktiven Inhalte aus MS Office- und pdf-Dateien werden entfernt, und eine pdf-Datei ohne aktiven Inhalt wird mit nur kurzer Zeitverzögerung dem Empfänger zugestellt. Es ist konfigurierbar, ob später, nach der Emulation, die Original-Datei mit den aktiven Inhalten dem Empfänger zugestellt werden soll. Oft ist völlig unnötig aktiver Inhalt enthalten, aber es gibt auch viele Office-Dateien, die ohne die enthaltenen aktiven Inhalte nicht richtig funktionieren und es wird die Original-Datei benötigt.

Die wichtigsten Konfigurationsmöglichkeiten

Über Profile und Policy-Regeln kann festgelegt werden, für welche Verbindungen (IP-Adressen oder Benutzer, wenn Identity Awareness aktiviert ist) welche Blades mit welcher Konfiguration angewendet werden sollen.

Als Aktionen kann für die Threat Emulation Prevent/Block, Detect/Log oder disabled definiert werden, und für die Threat Extraction, ob Zugriff auf die Originaldatei möglich sein soll. Es kann konfiguriert werden, bei welchem Protokoll, welche Dateitypen in welcher TE-Umgebung geprüft und welche Aktionen dann angewendet werden sollen. Für verschlüsselte oder defekte Office-Dateien kann festgelegt werden, ob sie TX passieren können oder geblockt werden sollen. Eine wichtige Entscheidung ist, ob TE im Hintergrund (die Verbindung wird während der TE-Bearbeitung erlaubt) oder im Halten-Modus (die Verbindung wird während der TE-Bearbeitung blockiert) erfolgen soll. Die Entscheidung für das Halten hört sich zunächst einfach an, da es aber keine garantierte Antwortzeit unterhalb des Timeouts für die Emulation gibt und 1-15min Verzögerung zwar für die meisten Emails in Ordnung sein mag, gibt es aber auch zeitkritische Emails, und die Benutzer, besonders in der Chefetage, akzeptieren oft keine so deutlich spürbare Verzögerung v.a. bei Downloads. Bei der Entscheidung für TE im Hintergrund kann es aber eben passieren, dass man erfährt, dass der Download von vor 30min ungünstig war, und man muss manuell reagieren. Um einen gangbaren Kompromiss zu finden kann man einiges über die Profile und Policy-Regeln konfigurieren: für den Webtraffic z.B. für bestimmte Client-IP-Adressen oder Benutzer Zugriff auf verdächtige Dateien nach Bestätigung erlauben, oder TE für diese Benutzer auf Background schalten, oder bei Emails können Ausnahmen für bestimmte Sender und/oder Empfänger definiert werden, oder TX kann deaktiviert werden, oder, oder,….
Unter Ausnutzung sämtlicher Konfigurationsmöglichkeiten sollten eigentlich alle Anwendungsfälle abgedeckt werden können. Ob es dann in sehr komplexen Umgebungen allerdings noch wartbar ist, ist die andere Frage.

Eine kleine Beispiel-Policy, wie granular die Konfiguration möglich ist – nur als Beispiel zu verstehen, nicht als Empfehlung:

  1. Für den Vorstand ist die Threat Extraction abgeschaltet.
  2. Die IT-Abteilung kann exe-Dateien ohne TE herunterladen und pfd-Dateien werden lokal emuliert, alle anderen in der Cloud.
  3. Für die IT-Abteilung ist eine Ausnahme für ein False Positive definiert.

Threat Emulation and Prevention Policy

Threat Emulation Profile Settings

Eher versteckt ist die Konfiguration der maximalen Dateigröße, der maximalen Zeit für die Emulation und die maximale Verweildauer in der Emulation-Queue. Wenn einer dieser Werte überschritten wird, hat man nur die Wahl zwischen Log, Alert und None. Randnotiz: das ist bei anderen Anbietern auch nicht anders, man muss es nur wissen.

Es ist auch konfigurierbar, ob bei einem Systemfehler von TE generell die Verbindungen geblockt oder erlaubt werden sollen – auch wieder eine nicht ganz triviale Frage, wenn man über die Auswirkungen genauer nachdenkt.

Ein Hinweis zum Mail Transfer Agent, MTA: wenn TE mit Halten für Emails eingesetzt wird, muss auf dem Check Point Gateway der MTA eingeschaltet werden, da ansonsten zu erwarten ist, dass bei einigen Emails während der Emulation die smtp-Verbindung auf einen Timeout läuft, der ausliefernde Email-Server die Auslieferung abbricht und nach x Versuchen die Email wegen unzustellbar zurückgeht. Auch wenn der MTA der Check Point AntiSpam- und klassische AntiVirus-Funktionen hat, fehlen gängige Mailgateway-Funktionen wie die Überprüfung auf gültige (interne) Empfänger, Mailrouting, Policies für unterschiedliche Domänen etc. Man sollte also auch weiterhin ein spezialisiertes Mailgateway einsetzen und bei der Konfiguration der Check Point darauf achten, dass die Funktionen des Mailgateways weitgehend unbeeinträchtigt bleiben, z.B. die HAT bei Cisco ESA, und trotzdem ausgewählte TP-Funktionen für Emails genutzt werden können.

Anzeige im SmartEvent

Über SmartEvent kann dann auch ausgewertet werden:
Anzeige SmartEvent Threat Emulation Sandblast
(ScreenShot des Check Point Demo Modes, keine Echt-Daten)

Und noch ein Hinweis: Check Point Security Checkup

Check Point, direkt und über Partner, bietet die Möglichkeit im Rahmen eines sogenannten Security Checkups sich die Next Generation Blades inklusive Threat Emulation in Ruhe vor Ort anzuschauen. Dafür wird über einen sogenannten Mirror Port am Switch der Datenverkehr auf eine zur Verfügung gestellte Check Point Appliance gespiegelt und dort analysiert, ohne in den aktuellen Datenstrom einzugreifen. D.h. diese Appliance stört den Datenverkehr erst einmal nicht (solange der Switch nicht überlastet wird), sie kann aber auch nichts verhindern. Ziel ist zu sehen, was sie hätte verhindern können, und das gibt oft schon sehr interessante Aufschlüsse für die Priorisierung der notwendigen weiteren Sicherheitsmaßnahmen. Diese Appliance läuft meist mit lokalem TE und wird mit allen während des Checkups gesammelten Daten am Ende des Checkups komplett zurückgesetzt. Die Daten verlassen also nicht das eigene Netz und belasten auch nicht die Internet-Verbindung für das Hochladen in die Cloud, wenn man dies nicht will.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *