Sophos’ neue Lösung Intercept X for Server soll Server-Systemen mittels Deep Learning Schutz vor den sich stetig weiterentwickelnden Bedrohungen und Angriffen bieten. Hauseigene neuronale Netzwerke werden laut Bekunden des Security-Spezialisten mit Hunderten von Millionen an Samples geschult, um nach Attributen bösartigen Codes zu suchen und so neuartige Malware-Angriffe zu verhindern.

Untersuchungen der SophosLabs haben laut dem Hersteller gezeigt, dass 75 Prozent der in einem Unternehmen gefundenen Malware zuvor unbekannt war. Ein besonders beliebtes Angriffsziel sei dabei das Herzstück der Unternehmens-IT, also der Server-Bestand.

Angreifer verwenden die infiltrierten Server laut Sophos-Angaben zum Beispiel als Proxies, um Datenverkehr auf bösartige Websites umzuleiten mit dem Ziel, Cryptomining-Software auf Server-Farmen oder Cloud-Instanzen zu installieren. Die Kriminellen erzeugen in diesem Angriffsszenario Kryptowährungen, indem sie dem betroffenen Unternehmen IT-Ressourcen stehlen (CPU, Arbeitsspeicher, Strom oder auch Cloud-Rechenleistung).

Zur Angrifsabwehr nutzt Intercept X for Server laut Sophos-Angaben Deep Learning in den „Deep Neuronal Networks“ von Intercept X, um neue und bisher unbekannte Malware sowie unerwünschte Anwendungen zu erkennen. Nach der Implementierung identifiziere und aktualisiere die Lösung kritische Attribute ständig, um gutartige und Malware-Payloads genauer unterscheiden zu können. Damit sei die Software in der Lage, selbst fortschrittlichere Angriffstechniken zu blockieren, die versuchen, den herkömmlichen Virenschutz zu umgehen.

Ergänzend bietet die Software laut Sophos „Credential Theft Protection“ (Mechanismen, um den Diebstahl von Authentifizierungskennwörtern aus Speicher, Registry und lokalem Speicher zu verhindern) sowie Schutz vor „Code Cave Utilization“ (also Erkennung von bösartigem Code, der in legitimen Anwendungen zum Einsatz kommt). Exploit-Schutzfunktionen sollen zugleich verhindern, dass ein Angreifer bekannte Schwachstellen ausnutzt. Die Software schütze dabei vor Browser-, Plug-in- oder Java-basierten Exploit-Kits, selbst wenn die Server nicht vollständig gepatcht sind. Hinzu geselle sich ein MBR-Schutz (Master Boot Record): WipeGuard erweitere die Anti-Ransomware-Technik von Intercept X und verhindere Ransomware-Varianten oder Schadcode, die auf den MBR abzielen.

RCA-Technik (Root Cause Analysis) liefert laut Sophos forensische Details darüber, wie ein Angriff zustande kam, worauf er sich richtete und welche Systeme er betraf. Die Software gebe hier auch Empfehlungen, was nach einer Analyse des Angriffs zu tun ist. Sie schützt laut Hersteller auch Server, die in der Public Cloud laufen (Microsoft Azure, Amazon Web Services).

Intercept X for Server ist bei registrierten Sophos-Partnern weltweit erhältlich. Weitere Informationen finden sich unter www.sophos.de.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.