Angriffserkennung durch Schwarmintelligenz
Net at Work: Intelligente Abwehr von Schadsoftware
Net at Work, Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, stellte weitere neue Form der intelligenten Abwehr von Spam- und Schadsoftware vor. Diese soll eine sehr schnelle Reaktion auf Bedrohungen erlauben.
Das Projekt Heimdall nutzt dazu die Grundidee der Schwarmintelligenz zur Abwehr von Gefahren: Alle teilnehmenden NoSpamProxy-Instanzen sollen dabei Erfahrungen untereinander teilen– insbesondere im Hinblick auf erkannte Bedrohungen und Anomalien – und so vom Wissen aller profitieren. Zusätzlich entstehen auf diese Weise laut Anbieter neue Möglichkeiten zur mittel- und langfristigen Analyse und Auswertung von Angriffsformen und -mustern.
Konkret bedeute dies, dass NoSpamProxy in E-Mails enthaltene Links sowie Metadaten zu E-Mail-Anhängen von teilnehmenden Nutzern in der in Deutschland gehosteten NoSpamProxy-Cloud anonymisiert sammelt. Dies geschehe nach Zustimmung der Nutzer auf freiwilliger Basis und DSGVO-konform.
Heimdall schütze in zweierlei Hinsicht. Zunächst analysiert Heimdall den E-Mail-Verkehr aller angeschlossenen NoSpamProxy-Instanzen kontinuierlich in Echtzeit und signalisiert verdächtiges oder bösartiges Verhalten. Erkennt die Lösung einen Link oder Anhang als bösartig, steht diese Information sofort allen angeschlossenen Instanzen zur Verfügung, so der Anbieter. Neben dem Austausch der Information untereinander sollen die Instanzen auch von den durch Net at Work automatisiert in die zentrale Datenbasis eingespielten Informationen anderer Hersteller profitieren. NoSpamProxy tausche dazu Indikatoren für Schadwirkung (englisch Indicators of Compromise, kurz IOCs) mit anderen Herstellern gezielt aus. Je mehr Kunden an Heimdall teilnehmen, desto schneller wirke die Schwarmintelligenz. Für jedes eingereichte Set an Metadaten liefert Heimdall in weniger als 200 Millisekunden eine Bewertung, der eine Kette von Indizien zugrunde liegt, so das Versprechen des Anbieters. Eine Erweiterung dieser Indizien soll durch den zweiten Schutzmechanismus erfolgen.
Dieser ergebe sich aus der übergreifenden Analyse der gesammelten Daten nach verdächtigen Trends und Anomalien. So soll die Software beispielsweise sogenannte Zero-Day-Domains, also neue, erstmalig genutzte Domains, sicher als solche erkennen, wenn die Auswertung eines nutzerübergreifenden, langfristigen Bildes des E-Mail-Aufkommens erfolgt. Die bisherigen Analysen haben ergeben, dass Angreifer solche Domains gerne für kurze, aber heftige Phishing-Attacken nutzen. Nur durch den Schwarmansatz und entsprechende Metriken könne Heimdall solche Attacken bereits zu Beginn erkennen und alle angeschlossenen Instanzen automatisiert warnen.
Das Projekt Heimdall ist seit Version 13.0 von NoSpamProxy als Vorschau verfügbar und soll ab Version 14 zum Standardprodukt gehören. Seit Dezember 2019 läuft das Beta-Programm, zu dem Anwender sich registrieren können.
Weitere Informationen stehen unter www.nospamproxy.de zur Verfügung.
Lesen Sie mehr zum Thema
