Sophos hat eine neue Version seiner Endpoint-Security-Lösung Intercept X vorgestellt. Diese basiert nun laut Hersteller auf einem Deep-Learning-Ansatz, also der Verwendung von neuronalen Netzen zur selbstlernenden Bedrohungserkennung. Zudem biete die Software eine verbesserte Hacker-Abwehr, Anwendungs-Lockdowns und erweiterten Ransomware-Schutz.

Das Deep-Learning-Modell erkennt laut Sophos-Angaben bekannte und unbekannte Malware sowie potenziell unerwünschte Programme (PUPs), bevor sie ausgeführt werden können. Die Pointe des Deep-Learning-Ansatzes: Signaturen sind dabei nicht erforderlich, da die Software selbstlernend agiert. Das Trainingsmodell, so betont der Hersteller, sei kleiner als 20 MByte und benötige nur selten Updates

Mit Deep Learning, so Sophos, setze man auf eine Weiterentwicklung des Machine Learnings (ML) mit einem hoch skalierbaren Erkennungsmodell, das die gesamte erkennbare Bedrohungslandschaft erlernen könne. Da die Software Milliarden von Stichproben verarbeiten könne, ermögliche Deep Learning im Vergleich zum herkömmlichen Machine Learning nochmals genauere Vorhersagen – und dies zudem schneller und mit weit weniger Fehlalarmen.

„Bei den ursprünglichen Machine-Learning-Modellen müssen Analyseexperten die Attribute vorgeben, mit denen das Modell trainiert wird, wodurch ein subjektives menschliches Element vorhanden bleibt“, erläutert Tony Palmer, Senior Validation Analyst bei der Enterprise Strategy Group (ESG). „Mit zunehmendem Dateninput werden diese Modelle zudem immer komplexer und erreichen Gigabyte-Größe, was sie behäbig und langsam macht. Außerdem weisen sie erhebliche Fehlalarmraten auf, die die Produktivität der IT bremsen.“ So müsse ein Security-Team mühsam herausfinden, was nun tatsächlie Malware ist und was legitime Software.

„Dagegen lernt das neuronale Deep-Learning-Netz von Intercept X aus Erfahrung und stellt Korrelationen zwischen beobachtetem Verhalten und Malware her“, so der ESG-Analyst weiter. Untersuchungen im ESG-Lab haben laut Palmer ergeben, dass das neuronale Netzmodell gut skalierbar ist und umso intelligenter wird, je mehr Daten es erhält. Diese ermögliche eine hohe Erkennungsrate ohne Abstriche bei der Administrations- oder System-Performance.

Die neue Version von Intercept X enthält laut Sophos-Angaben zudem eine Reihe weiterer Verbesserungen, darunter Mechanismen zur Abwehr von Identitätsdiebstahl bei Angriffen etwa mittels Mimikatz und eine Erkennung des Missbrauchs von APCs (Application Procedure Calls). Die Lösung erkenne nun remote durchgeführte reflektive DLL-Injektion, durch die Angreifer sich zwischen den auf dem System laufenden Prozessen bewegen können, und verhindere eine Ausweitung von Privilegien, ein Standardschritt bei gezielten Angriffen. Zudem verhindere Intercept X den Missbrauch von PowerShell aus dem Browser heraus und biete Lockdown-Mechainismen für vom Browser geladene HTML-Anwendungen.

Weitere Informationen finden sich unter www.sophos.de/interceptx.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.