SophosLabs – was machen die eigentlich genau?

Technologie

Früher konzentrierten sich Anti-Malware-Unternehmen primär darauf, die Signaturen der Schadsoftware zu identifizieren. Dann reagierten Angreifer mit polymorphen Attacken, die einzigartige Versionen von Malware für jeden Computer, den sie infizieren, generieren, wodurch die statische Erkennung weniger effektiv wurde.

Einige polymorphe Attacken sind leicht zu verhindern. So kann eine E-Mail-Filterung nahezu immer Angriffe verhindern, die über E-Mail-Anhänge verbreitet werden. Heute bestehen die gefährlichsten Angriffe jedoch aus komplexen Ketten von Angriffskomponenten, die breit im Internet verstreut sind. Und wie im Bericht von diesem Jahr zu lesen ist, haben sie leistungsstarke neue Techniken entwickelt, die einer Erkennung widerstehen.

Als Reaktion darauf setzen wir auf mehrere integrierte Schutzebenen. So investieren wir stark in die Erkennung und Blockierung von Webseiten, die Exploit-Kits und schädliche Inhalte hosten. Wir haben Schutzebenen erstellt, die auf das Erkennen von einigen bestimmten Exploit-Kit-Komponenten abzielen, einschließlich verschleierte JavaScripts-Umleitungen, ausgenutzte Java JARs und infizierte Dokumente. Für sich alleine kann keine einzelne Ebene perfekt sein, jedoch zusammengenommen sind sie extrem effektiv. Und die Labs arbeiten daran, noch besser zu werden.

Beispielsweise konzentrieren wir uns auf kontextbasierte Erkennungsmechanismen, die Informationen zu heruntergeladenen Dateien mit den Webseiten, von denen sie stammen, kombinieren. Einzeln genommen ist eine Datei oder ihre Quelle unter Umständen noch nicht auffällig genug, um markiert zu werden. Im Zusammenhang betrachtet zeigen sich häufig geschickte Muster, die mit Bedrohungen zusammenhängen – und auf die unsere Software reagiert, ohne False Positives zu riskieren.

Für den seltenen Fall, dass jede Schutzebene versagt, haben wir eine weitere abschließende Schutzebene hinzugefügt, die Laufzeiterkennung. Wir halten nach Signalen Ausschau, die unter Umständen von Malware ausgeführt werden. Verhält sich ein Programm zum Beispiel seltsam, anders als seriöse Programme? Wir kombinieren dies Verhalten mit vorherigen Analysen der ausführbaren Datei. Eine Datei, die beim Herunterladen vielleicht nur ein wenig suspekt war, verhält sich u. U. so, dass wir argwöhnischer werden und sie direkt blockieren.

Neue Versionen unserer Netzwerk-Security Appliance verwenden ähnliche Techniken zum Blockieren von Geräten, die ein Verhalten aufweisen, das auf eine Malware-Infektion hinweist, z. B. Geräte, die unter der Kontrolle von Botnets zu stehen scheinen. Sophos UTM 9.2 inspiziert nicht nur Netzwerkpakete und identifiziert Endpoints, die versuchen, illegale Domänen zu erreichen, sondern erkennt auch schädliche Konfigurationsdateien, die von Botnets über HTTP an infizierte Endpoints weitergeleitet werden.

Da infizierte C&C-Webserver und Malware sich mit halsbrecherischer Geschwindigkeit ändern, stellen Sophos-Produkte nun selbstverständlich sofortige Cloud-basierte Updates bereit.

Die SophosLabs verwalten mittlerweile eine massive Menge an Daten, die erforderlich ist, um den Angreifern von heute stets voraus zu sein. Wir erfassen täglich Milliarden von Datenpunkten von Millionen Endpoints weltweit. Wir haben eine hochmoderne, große Dateninfrastruktur aufgebaut, mit der wir diese Daten schnell in Wissen umwandeln können. Dazu zählt auch, dass wir die riesigen Mengen an Informationen aus geschützten Endpoints und Servern in Beziehung setzen müssen, um aufkommende Angriffe zu erkennen, sowie das Sammeln von Binärdateien, URLs und Telemetrie, um einen besseren Schutz entwickeln können.

Für die Techniker unter Ihnen, unsere Infrastruktur baut auf Hadoop auf. Diese Open-Source-Software basiert auf Ideen, die bei Google und Yahoo entwickelt wurden. Sie ist für Unternehmen, die sofort kolossale Mengen an Daten analysieren müssen, Unternehmen wie Facebook, Twitter, eBay und – richtig, Sophos.

Leave a Reply

Your email address will not be published.