EDR-Technologie von Sophos - IT-BUSINESS

koko-tech.blogspot.com

Eine neue, besonders hartnäckige Malware fordert IT-Spezialisten heraus: Glupteba legt es darauf an, möglichst lange im Verborgenen zu bleiben und ausführlich Informationen zu sammeln, um seine Techniken weiter zu verfeinern. Sophos reagiert darauf mit Endpoint Detection and Response (EDR) basierend auf Deep Learning.

Glupteba, ein Wurm, der sich auf Verschleierung und Tarnung konzentriert und dessen Infektionszahlen seit Jahresbeginn stetig gestiegen sind, beschäftigt die Sicherheitsexperten bei Sophos. Das Forschungs- und Entwicklungsteam Sophos Labs analysierte in dem Bericht „Glupteba malware hides in plain sight“ die neue Malware, die sich vor der Erkennung auf infizierten Geräten schützen kann und bietet eine proaktive Lösung.

Die Herausforderung

Das Gefährliche an Glupteba ist, dass diese Malware nicht nur darauf abzielt, möglichst viele Daten zu stehlen, sondern auch große Anstrengungen unternimmt, um sich selbst und seine Komponenten vor den Nutzern eines infizierten Geräts oder der Sicherheitssoftware zu schützen. So versucht die Malware, die in Windows integrierte Schutzmaßnahmen sowie Sicherheits- oder Analysetools zu beenden, um möglichst lange unentdeckt zu bleiben. Sobald der Bot eingerichtet und konfiguriert ist, wird ein Überwachungsprozess dafür installiert. Wenn dieser feststellt, dass ein Treiber oder eine Komponente abgestürzt ist, versucht er, die Daten neu zu installieren und auszuführen.

Michael Veit, Technology Evangelist und EDR-Experte bei Sophos. (Bild: Sophos)

Traditionelle Schutzlösungen sind laut Michael Veit, Technology Evangelist bei Sophos, nicht in der Lage, Netzwerke vor einer solchen Angriffsart zu schützen. Zwar bilden Web, Device und App Control, Firewalls, Signaturen und Heuristiken die essenzielle Schutzschicht, um Viren zu stoppen und abzuwehren, können diese jedoch nicht in jedem Fall frühzeitig genug erkennen.

Live Discover and live response

Ziel von Endpoint Detection and Response (EDR) ist es, verdächtige Aktivitäten von Angreifern, die noch keinen Exploit gemacht oder noch keine Dateien verschlüsselt haben, zu erkennen. Die Lösung wurde speziell für IT Security Operations und Threat Hunting entwickelt und soll mittels Verhaltenserkennung und KI-Unterstützung verborgene Bedrohungen aufspüren und verhindern, dass sich Würmer in Systeme einfressen können. Die Besonderheit ist die „absolute Überwachung aller Prozesse“ auf allen verschiedenen Systemen.

Mit der Lösung Intercept X Advanced with EDR von Sophos, können individuell anpassbare SQL-Abfragen erstellt werden, die auf Endpoint- und Serverdaten von bis zu 90 Tagen zurückgreifen. Abfragen können beispielsweise sein, warum ein System langsam läuft, welche Geräte über bekannte Schwachstellen, unbekannte Dienste oder nicht autorisierte Browser-Erweiterungen verfügen. Außerdem kann herausgefunden werden, ob auf dem System Programme ausgeführt werden, die entfernt werden sollten, Prozesse versuchen, eine Netzwerkverbindung über Nicht-Standardports herzustellen und ob in letzter Zeit Dateien oder Registry-Schlüssel geändert wurden.

Wenn ein System als möglicherweise böse enttarnt wird, wird es im Netzwerk automatisch isoliert. Ferner können Administratoren per Remote-Zugriff über eine zentrale Cloud-Management-Konsole gezielte Schutzmaßnahmen ergreifen und mögliche Fehlalarme vermeiden.

Ergänzendes zum Thema

EDR ist das neue SIEM

Wo ist Sophos abgeblieben?

Deep Learning

Technologien wie Deep Learning seien rückwärtsgewandt, so Veit. „In den letzten 30 Jahre, die wir bereits Anti-Virus machen, haben wir in unser Deep-Learning-Modell mit gesammelten Daten gefüttert. Auf diese Weise können wir sehen, ob ein unbekanntes Programm eher einem Schadprogramm oder einem guten Programm ähnelt.“

Mit Deep Learning können Endgeräte vor noch unbekannten Bedrohungen geschützt werden. Die von der Funktionsweise des menschlichen Gehirns inspirierte Weiterentwicklung des Machine Learnings basiert auf riesigen Datenmengen, aus denen ein effektives Modell erstellt wird. Bei Sophos Labs liefern täglich mehr als 100 Millionen Endpoints Telemetriedaten und wöchentlich werden 2,8 Millionen neue Malware-Samples analysiert. Durch diese Analysen können Vorhersagen getroffen und bessere Datenkennzeichnungen erfolgen. Laut eigenen Angaben schafft es die Sophos-Technologie in weniger als 20 Millisekunden, Millionen von Eigenschaften aus einer Datei zu extrahieren, eine Tiefenanalyse durchzuführen und zu ermitteln, ob eine Datei unbedenklich oder schädlich ist.