Embed Size (px)
Citation preview
DATENBLATT
Zscaler Cloud SandboxSchutz vor Ransomware und polymorphen Bedrohungen
Die Zscaler Cloud Sandbox verwendet fortschrittliche Verhaltensanalysetechniken zum Entdecken und Blockieren von Zero-Day-Bedrohungen. Die Zscaler Cloud Sandbox wird als Service aus der globalen Zscaler Security Cloud bereitgestellt und bietet ein höheres Maß an Bedrohungsschutz als jede andere Lösung.
Die Analyse eines unserer größeren Datensätze ergab, dass 99% aller Malware-Hashes nur 58 Sekunden oder kürzer angezeigt werden. Dies zeigt, wie schnell Hacker ihre Codes ändern, um nicht entdeckt zu werden.
— Verizon, 2016 Data Breach Investigations Report
Stoppen Sie Bedrohungen, die herkömmliche Sicherheitskontrollen umgehenEs ist relativ einfach nachvollziehbar, warum herkömmliche, auf Signaturen basierte Sicherheitsansätze heutige Organisationen nicht ausreichend schützen können. Die Hauptschwäche besteht darin, dass eine Bedrohung bekannt sein muss, bevor man sie mittels einer Signatur stoppen kann. Angesichts des alarmierenden Anstiegs von Zero-Day-Ransomware und polymorpher Malware müssen Organisationen über Signatur-basierte Erkennung hinausgehen und die Ausführung in der Sandbox als zusätzliche Abwehrebene ergänzen. Die Sandbox führt dynamische Analysen zur Überwachung des Dateiverhaltens in einer isolierten Umgebung aus, um Benutzer vor Zero-Day-Bedrohungen zu schützen.
Das Problem bei Appliance-basierten Sandboxen ist, dass sie üblicherweise in zentralisierten Gateways bereitgestellt werden und Hub-and-Spoke-Architekturen erforderlich sind, um den gesamten Traffic zur zentralen Überprüfung weiterzuleiten. Das heißt, dass der Traffic von Außenstellen über teures Multiprotocol Label Switching (MPLS) zurückgeleitet werden muss und mobile Benutzer langsame VPN-Verbindungen verwenden müssen. Sandbox-Appliances sind aufgrund ihrer begrenzten Verarbeitungsleistung selbst eingeschränkt. Dies limitiert den für Sie möglichen Überprüfungsumfang, insbesondere was SSL-Traffic betrifft, in dem sich ein Großteil der Malware verbergen kann. Der Betrieb erfordert Verwaltungsaufwand, Software-Updates und richtige Integration in andere Sicherheits-Appliances, was nicht nur die Gesamtkosten sondern vor allem auch die IT-Anforderungen erhöht.
„
“
ARGUMENTE FÜR DIE ZSCALER CLOUD SANDBOX• Problemlos skalierbar: Trennen
Sie sich von teuren Appliances und Architekturkompromissen. Die Zscaler Cloud Sandbox lässt sich leicht skalieren, um die gesamte Organisation zu schützen, einschließlich Außenstellen und mobiler Benutzer.
• Besserer Schutz: Die als Service in die Cloud-Sicherheitsplattform von Zscaler integrierte Zscaler Cloud Sandbox bietet nativen Inline-Schutz für den gesamten Traffic, einschließlich SSL.
• Cloud-Effekt: Jede von der Zscaler Cloud Sandbox erkannte neue Bedrohung wird sofort an die gesamte Zscaler-Cloud weitergegeben und für alle Benutzer blockiert. Sie erhalten ein Ausmaß an erweiterter Sichtbarkeit, das über andere Sandbox-Angebote auf dem Markt weit hinausgeht.
• Kosteneffizient: Da die Zscaler Cloud Sandbox als Service bereitgestellt wird, zahlen Sie nur für das, was Sie benötigen, statt zu viel für Appliance-Leistung auszugeben. Und bei steigendem Bedarf wird Ihnen niemals die Überprüfungskapazität ausgehen.
DATENBLATT
WARUM DIE ZSCALER CLOUD SANDBOX BESSER ALS HARDWARE-BASIERTE SANDBOXEN IST:• Echter Schutz vor Zero-Day-
Malware – er warnt nicht nur, sondern blockiert auch
• Kontinuierliche Durchsetzung von Richtlinien für alle Benutzer und Geräte, auch für Mobilgeräte und Benutzer in Außenstellen
• Überprüfung des gesamten Traffic, einschließlich SSL
• Überprüfung von ein- und ausgehendem Traffic zur Verhinderung von Botnet-Kommunikation und Datenextraktion
• Verarbeitung des gesamten unbekannten Traffic und aller Dateien von verdächtigen Stellen in der Sandbox, einschließlich der Blockierung sämtlicher ausführbarer Programme
• Verwendung der neuesten Bedrohungsintelligenz mit ständigen Updates – mehr als 120.000 spezifische Updates pro Tag
MOBILE HQ/IoT NIEDERLASSUNG
Zscaler Cloud SandboxKosteneffektiver Komplettschutz
Zscaler Cloud-Sicher-heitsplattform
Hub-and-Spoke-SandboxTeuer und schlechter Schutz
Sandbox
INTERNET
Zscaler Cloud SandboxMit Zscaler können Sie jede verdächtige oder unbekannte Datei in der Sandbox ausführen, ohne den Traffic zum Rechenzentrum zurückzuleiten. Da die Zscaler Cloud Sandbox aus der Cloud implementiert wird, schützt sie sämtliche Benutzer unabhängig von deren Standort. Dies bedeutet, dass Mitarbeiter in Außenstellen und mobile Benutzer dasselbe Schutzniveau wie die Benutzer in Ihrer Firmenzentrale erhalten, ohne dass kostspielige MPLS-Leitungen oder umständliche VPN-Verbindungen benötigt werden. Die Zscaler Cloud Sandbox bietet Inline-Schutz, um Bedrohungen zu blockieren, bevor sie in Ihr Netzwerk eindringen. Schädliche Dateien werden entsprechend Ihrer festgelegten Richtlinien sofort blockiert, isoliert oder markiert. Können Sie es sich leisten, Ransomware in Ihr Endgerät eindringen zu lassen, während Ihre Appliance-basierte Sandbox sie noch scannt?
Im Gegensatz zu isoliert arbeitenden Appliances ist die Zscaler Cloud Sandbox voll in die Cloud-Sicherheitsplattform von Zscaler integriert, um maximale Sichtbarkeit von Bedrohungen und mehrstufigen Schutz zu gewährleisten. Da Zscaler als Service bereitgestellt wird, entfallen sowohl der Einsatz und die Verwaltung von Hardware als auch die Aktualisierung von Software.
• Kostspielige Appliances und Backhauling-Verbindungen
• Die Sandbox ist häufig falsch platziert• Benutzer außerhalb Ihres Netzwerks
bleiben ungeschützt
• Bessere Nutzererfahrung und kosteneffizientere Bereitstellung und Verwaltung
• Alle Benutzer erhalten unabhängig von ihrem Standort denselben Umfang von Inline-Schutz
Virenscanner
Bedrohungsdatenbank
Dateitypanalyse
Statische Malware-AnalyseDeformiert?Verschleiert?
Schlechte Dateistruktur?
Malware-DateienautomatischBLOCKIEREN
Vorverarbeitung
Verhaltensanalyse
Verdächtige Dateien
VerdächtigeDateien in der
Sandbox ausführen
Auf schädlichesVerhalten
analysieren
Bedrohungs-datenbank
aktualisieren
Gutartige Dateienautomatisch
PASSIEREN lassen
Malware-DateienautomatischBLOCKIEREN
Gutartige Dateienautomatisch
PASSIEREN lassen
Alle DateienUmfassender Sandbox-Schutz für den gesamten Traffic, einschließlich SSLDank der Verarbeitungsleistung der Zscaler Cloud Sandbox können wir alle verdächtigen und unbekannten Dateien effizient untersuchen. Daten werden über mehrere Sicherheitsmodule hinweg korreliert, um komplexe Bedrohungen zu identifizieren und zu blockieren, die von herkömmlichen Appliances nicht erkannt werden. Durch diese tiefgreifende Sandbox-Verarbeitung optimieren wir die Entdeckung verdächtiger Dateien und verbessern die Nutzererfahrung. Und da die Cloud-Sicherheitsplattform native SSL-Überprüfung enthält, scheitert auch die Taktik, Angriffe hinter Verschlüsselung zu verbergen. Schädliche Dateien werden entsprechend Ihrer festgelegten Richtlinien sofort blockiert, isoliert oder markiert. Dies kann problemlos auf alle Benutzer ausgeweitet werden.
DATENBLATT
Die Zscaler Cloud Sandbox verwendet Intelligenz aus der Cloud, die auf mehr als 100 Mrd. täglich in Spitzenzeiten verarbeiteten Transaktionen und über 120.000 spezifischen Sicherheits-Updates beruht. Jede in der Zscaler-Cloud erkannte Bedrohung wird sofort für alle Kunden blockiert. Die Zscaler Security Cloud isoliert standardmäßig alle ausführbaren Programme und Bibliotheken in der Sandbox, um den Schutz sämtlicher Kunden zu erhöhen. Zscaler berücksichtigt auch die Bedrohungs-Feeds von mehr als 40 Partnern, um sicherzustellen, dass die aktuellste Bedrohungsintelligenz auf die gesamte Cloud angewendet wird. Dadurch wird die Anzahl der Dateien minimiert, die in der Sandbox ausgeführt werden müssen.
Optimierung von Sicherheitsrichtlinien für größeren Schutz und bessere Nutzererfahrung
Die Zscaler Cloud Sandbox bietet:
Integrierten Plattform-Service
• Vorfilterung aller bekannten Bedrohungen anhand der Bedrohungs-Feeds von mehr als 40 Sicherheitspartnern
• Native SSL-Überprüfung zum Schließen von Sicherheitslücken
• APT-Schutz – sowohl für eingehenden als auch ausgehenden Traffic
• Umfassende Forensik – einschließlich Informationen über Benutzer, Standorte, Herkunft und Umgehungsmethoden
Inline-Überprüfung aller verdächtigen und unbekannten Dateien
• Vollständige Analyse von ausführbaren Programmen, Bibliotheken, Office-Dokumenten, Archiven sowie Web- und Mobilinhalten
• Erzwungene Quarantäne für Patient Zero
• Mögliche manuelle Dateiübermittlung über ein Scan-Portal der Sandbox
Einheitliche Richtlinien für alle Benutzer und Standorte
• Definition von globalen Richtlinien von einer einzigen Konsole aus
• Sofortige Durchsetzung von Richtlinienänderungen für alle Benutzer, unabhängig vom Standort
Mit der Zscaler Cloud Sandbox erhalten Sie die Flexibilität, um Ihre Sicherheitsrichtlinien an Ihre eigenen Schutzbedürfnisse anzupassen. Sie können Richtlinien formulieren, die es Ihnen erlauben, Dateien je nach Benutzer, Dateityp und anderen Kriterien in der Sandbox auszuführen. Sie können beispielsweise unbekannte Tabellen, die Ihr CFO herunterzuladen versucht, in die Sandbox verschieben und unter Quarantäne stellen, bevor sie den Laptop des CFO infizieren können.
Hold and sandbox all files from suspicious destinations
Only allow .exe file downloads for IT Helpdesk
Allow Word and PDF file downloads, but also sandbox
Alle Dateien verdächtigen Ursprungs festhalten
Download von .exe-Dateien nur für IT-Helpdesk erlauben
Herunterladen von Word- und PDF-Dateien erlauben, aber ebenfalls in der Sandbox ausführen
DATENBLATT
Vollständige Einsicht in die Analysen der Zscaler Cloud Sandbox
CryptoLocker-Angriff: Vor und nach der Zscaler Cloud Sandbox
Eine internationale Bank hatte gerade erst mit der Evaluierung der Zscaler Cloud Sandbox begonnen und eine Minimaleinführung eingeleitet, als sie zum ersten Mal von CryptoLocker angegriffen wurde. Innerhalb von sechs Stunden wurden 352 mit CryptoLocker infizierte E-Mails an Mitarbeiter gesendet. Im Verlauf des Angriffs konnten sich 114 E-Mails den veralteten Kontrollen der Bank entziehen. Neun Mitarbeiter klickten den in den E-Mails eingebetteten Link an und luden die Malware-Daten herunter. Obwohl Sie vielleicht annehmen, dass die hohen Kosten von Ransomware auf Lösegeldforderungen zurückzuführen sind, sollten Sie auch den Produktivitätsaufwand bedenken:
Ransomware-Angriff vor Zscaler
• Neun Mitarbeitern wurden die Konten gesperrt, während ihre Geräte und Profile neu eingerichtet wurden
• 6.769 gemeinsam genutzte Netzdateien mussten aus dem Backup wiederhergestellt werden
• 11 IBM-Ressourcen mussten wiederhergestellt werden, eine Aufgabe, die 121 Stunden dauerte
• Neun CERT-Ressourcen (Computer Emergency Response Team) mussten wiederhergestellt werden, was 108 Stunden in Anspruch nahm
• Innerhalb von fünf Tagen fanden vier Vorstandstreffen statt
• 45 Stunden Managementzeit wurden dafür investiert
Ransomware-Angriff nach Zscaler
Weniger als eine Woche nach dem ersten Angriff erlebte die Bank einen weiteren CryptoLocker-Angriff. Zu diesem Zeitpunkt hatte die Bank die Zscaler Cloud Sandbox für alle Benutzer aktiviert. Innerhalb von sechs Stunden trafen 5.405 infizierte E-Mails ein, von denen 169 in den Posteingang der Benutzer gelangten. 11 betroffene Mitarbeiter klickten den Link in der infizierten E-Mail an. Dieses Mal gab es jedoch keine einzige Infektion.
Die Zscaler Cloud Sandbox stellt Organisationen, die detaillierte Malware-Analysen benötigen, ein ausführliches Reporting aller erkannten Vorfälle zur Verfügung. Zur Unterstützung von internen Untersuchungen können Sie wesentliche Indicators of Compromise (IOC) einsehen und Ihre Logs zur weiteren Optimierung Ihrer Sicherheitsbemühungen an einen Security Information and Event Manager (SIEM) weiterleiten.
Wir haben sie eingeschaltet und sie hat einfach funktioniert.
– Zscaler-Kunde aus dem Bankwesen
„“
Malware Severity
Attempts evasion
Callback behaviorAnalysis screenshot
Details of files dropped
Einstufung von Malware
Umgehungsversuche
Callback-VerhaltenAnalyse-Screenshot
Details zu gestoppten Dateien
© 2020 Zscaler, Inc. Alle Rechte vorbehalten. Zscaler™, Nanolog™, Zscaler Internet Access™, and Zscaler Private Access™ sind Markenzeichen oder eingetragene Markenzeichen von Zscaler, Inc. in den Vereinigten Staaten und/oder anderen Ländern. Alle anderen Markenzeichen sind Eigentum ihrer jeweiligen Besitzer.
Zscaler, Inc.120 Holger Way
San Jose, CA+1 408 533 0288
www.zscaler.com
DATENBLATT
Der Cloud-Effekt: Die Zscaler Cloud Sandbox im Vergleich zu anderen
Da die Zscaler Cloud Sandbox in die weltweit größte Security Cloud integriert ist, kann sie vor Zero-Day-Bedrohungen in einem Umfang schützen, der mit Appliance-basierten Produkten oder anderen Cloud-Lösungen unmöglich ist.
Im März 2016 wurden bei einem Zscaler-Kunden aus der Luftfahrtindustrie neue Angriffsversuche entdeckt. Die Zscaler Cloud Sandbox analysierte und blockierte die Bedrohungen und blockierte sie anschließend innerhalb von 30 Sekunden für alle 15 Millionen weltweiten Benutzer der Zscaler-Cloud. Wie schnell können Appliance-basierte Sandboxen das bewerkstelligen?
Die Cloud-Sicherheitsplattform von ZscalerZscaler stellt sicher, dass mehr als 15 Millionen Mitarbeiter in über 5.000 Unternehmen und Behörden weltweit vor Cyberangriffen und Datenverletzungen geschützt sind und gleichzeitig Unternehmens- und Regulierungsrichtlinien einhalten. Unsere preisgekrönte Cloud-Sicherheitsplattform vermittelt jedem Benutzer auf jedem Gerät und von jedem Standort aus eine sichere und produktive Web-Erfahrung. Wir verlagern die Sicherheit effektiv in das Internet-Backbone, operieren in mehr als 150 Rechenzentren rund um den Globus und ermöglichen es Organisationen, die Vorteile von Cloud- und Mobil-Computing dank einzigartigem, kompromisslosem Schutz und Höchstleistung voll auszuschöpfen. Weitere Informationen unter www.zcaler.com
Mit Zscaler haben wir ein leistungsstarkes Produkt gefunden.
– Zscaler-Kunde aus der Luftfahrtindustrie
„“
Ransomware Malware (Nymaim)
Infostealer Trojaner (Banload)
Innerhalb von 30 Sekunden nach der Erstentdeckung wurde die Malware für alle 15 Millionen Benutzer der Zscaler-Cloud blockiert
Zeit [GMT]
Dienstag, 26. April 15:48:24 2016
Dienstag, 26. April 16:19:01 2016
Dienstag, 26. April 16:20:01 2016
Richtlinienaktion
Quarantäne
Blockieren
Blockieren
MD5
59b1bceb22f55510dbe919a394e858f5
59b1bceb22f55510dbe919a394e858f5
59b1bceb22f55510dbe919a394e858f5
Zeit [GMT]
Dienstag, 15. März 12:39:13 2016
Dienstag, 15. März 12:40:41 2016
Dienstag, 15. März 12:50:05 2016
Dienstag, 15. März 13:05:47 2016
Dienstag, 15. März 13:05:57 2016
Dienstag, 15. März 13:06:08 2016
Dienstag, 15. März 13:06:14 2016
Richtlinienaktion
Quarantäne
Blockieren
Blockieren
Blockieren
Blockieren
Blockieren
Blockieren
MD5
e1a1387c22b095cdb3195fa7c6eb0595
e1a1387c22b095cdb3195fa7c6eb0595
e1a1387c22b095cdb3195fa7c6eb0595
e1a1387c22b095cdb3195fa7c6eb0595
e1a1387c22b095cdb3195fa7c6eb0595
e1a1387c22b095cdb3195fa7c6eb0595
e1a1387c22b095cdb3195fa7c6eb0595
Besserer Schutz
Stellen sie eine voll integrierte Sandbox-Lösung bereit, die den gesamten Traffic, einschließlich SSL, ohne Leistungseinbußen überprüfen kann
Argumente für die Zscaler Cloud Sandbox
Einfach skalierbar
Befreien Sie sich von kostspieligen Gateway-basierten Architekturen. Weiten Sie den Schutz aus der Cloud mühelos auf alle Benutzer und Standorte aus
Cloud-Intelligenz
Geben Sie Ihrer Sandbox die Leistungsstärke und Transparenz der weltgrößten Security Cloud
Kosteneffizient
Minimieren Sie die Kosten für IT-Beschaffung und -Verwaltung durch einen Schutz, der problemlos mit Ihren Anforderungen wächst
Sofortige Aktivierung der Zscaler Cloud SandboxWenn Sie die preisgekrönte Cloud-Sicherheitsplattform von Zscaler bereits nutzen, sind Sie möglicherweise nur einen Klick vom Aktivieren der Zscaler Cloud Sandbox entfernt.
