Cato mit ML gegen Erpressungstrojaner

SASE-Plattform wehrt Ransomware ab

22. Juni 2022, 12:30 Uhr | Wilhelm Greiner
LANline-Cartoon Cloud Security
© Wolfgang Traub

Cato Networks, Anbieter einer globalen SASE-Infrastruktur (Secure Access Service Edge), hat seine SASE Cloud um netzwerkbasierten Schutz vor Ransomware erweitert. Mittels heuristischer Algorithmen und tiefgreifender Netzwerkkenntnis, so Cato, erkenne und verhindere die Security-Plattform die Ausbreitung von Ransomware in Unternehmen, ohne dass dazu Endpunktagenten zum Einsatz kommen müssten. Die Software erkenne und isoliere infizierte Rechner automatisch.

Ab sofort untersuchen laut Cato selbstlernende heuristische Algorithmen alle Datenströme des Network-Filesharing-Protokolls SMB (Server Message Block) auf Ransomware. Trainiert und getestet haben Catos Forscher diese Algorithmen anhand des hauseigenen Data Lakes mit Attributen aller von der Cato SASE Cloud verarbeiteten Datenströme.

Da der Anbieter selbst dieses Netzwerk betreibt, hat er Einblick in Daten, die normalerweise hinter Firewalls und NAT (Network Address Translation) verborgen sind. Im Data Lake sind nach Cato-Angaben über eine Billion Datenströme von allen angebundenen Edge-Endpunkten gespeichert – also von Standorten, Benutzern, IoT-Geräten, mit der Cloud verbundenen Ressourcen und Internetressourcen.  

Nach der Trainingsphase untersuchen die Algorithmen auf Basis von maschinellem Lernen (ML) die SMB-Datenverkehrsströme live auf eine Kombination von Netzwerkattributen. Dazu zählen Dateieigenschaften wie bestimmte Dateinamen, Dateierweiterungen, Erstellungs- und Änderungsdaten; Daten wie Metriken zu Benutzern von Remote-Ordnern, etwa das Erstellen bestimmter Dateien und bestimmte Bewegungen innerhalb des Netzwerks; außerdem Zeitintervalle wie beispielsweise die Verschlüsselung ganzer Verzeichnisse in Sekunden. Identifizieren die Algorithmen Ransomware, blockiert Cato nach eigenen Angaben automatisch den SMB-Verkehr vom Ursprungsgerät, verhindert die laterale Fortbewegung im Netz sowie die Verschlüsselung von Dateien und benachrichtigt das Anwenderunternehmen.

Die Neuerung ist laut Cato Teil einer umfassenderen Anti-Malware-Strategie. Ziel ist es laut Anbieterangaben, Angriffe mithilfe des Mitre-Att&ck-Framework zu unterbinden. Dazu beobachten die Sicherheitsforscher die Vorgehensweisen der Ransomware-Gruppierungen und aktualisieren die Abwehrmaßnahmen, um Unternehmen davor zu schützen, dass Angreifer bekannte Schwachstellen ausnutzen.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

Verwandte Artikel

Cato Networks

Anti-Ransomware

Ransomware