Deep-Memory-Erkennung in Echtzeit

Neue Technologie von SonicWall schützt auch vor Meltdown-Lücke

, Milpitas, SonicWall | Autor: Herbert Wieler

Neue Technologie von SonicWall schützt auch vor Meltdown-Lücke

Capture Cloud Real-Time Deep Memory Inspection (RTDMITM)

SonicWall hat mit einer neuen Capture Cloud Engine hunderte Malware-Varianten identifiziert, die von keiner anderen Sandboxing-Technologie zuvor entdeckt wurden. Mit einer noch nicht angekündigten, zum Patent angemeldeten Technologie haben die Security Forscher der SonicWall Capture Labs eine fortschrittliche Methode für die Erkennung und Eindämmung von Sicherheitsgefahren mittels Deep-Memory-Erkennung in Echtzeit entwickelt.

Bill Conner, CEO SonicWall

„Cyber-Kriminelle waren der Sicherheitsbranche bislang um mehrere Nasenlängen voraus und konnten schwer zu entdeckenden Schadcode erschaffen“, erklärt Bill Conner, Präsident und CEO von SonicWall. „Unsere neue Real-Time Deep Memory Inspection-Technologie basiert auf unserer langjährigen Erfahrung mit Machine Learning und wird dazu beitragen, die Balance wieder herzustellen und dadurch einige der erfolgreichsten Angriffsvektoren auszuschalten. Diese jüngste Erweiterung unserer Capture Cloud-Plattform unterstreicht unsere führende Marktstellung.“

Neue Capture Cloud-Plattform basiert auf Expertise und Innovationen von SonicWall bei Machine Learning und Künstlicher Intelligenz

Die neue SonicWall Capture Cloud Real-Time Deep Memory Inspection (RTDMITM) Technologie und Engine befinden sich seit mehreren Monaten im Einsatz und haben bereits hunderte von Malware-Varianten entdeckt, die herkömmlichen Sandbox-Technologien bislang entgangen waren.

„Die Technologie stellt einen Meilenstein im Hinblick auf Entwicklung, Umsetzung und Innovation dar“, kommentiert General Michael Hayden, Principal bei der Chertoff Group, einem internationalen Beratungsunternehmen für Security- und Risikomanagement. „Dass diese Technologie bereits jetzt, in einer verhältnismäßig frühen Entwicklungsphase neuer Angriffsvarianten, zur Verfügung steht, ist ein großer Vorteil – sowohl für die Sicherheitsbranche als auch für Wirtschaft und öffentliche Hand.”

Die neue Technologie ergänzt die Plattform von SonicWall für die automatisierte Schwachstellen-Erkennung und -Prävention. SonicWall RTDMI umfasst eine Technologie und einen (zum Patent angemeldeten) Prozess, die von der SonicWall Capture Cloud genutzt werden, um selbst komplexeste, neuartige Bedrohungen wie beispielsweise künftige Meltdown-Schwachstellen zu erkennen und zu beheben.

Zu den Highlights von RTDMI gehören:

  • Dank Deep Memory-Technologie in Echtzeit proaktive Erkennung und Blockierung unbekannter Malware, die auf möglichst große Verbreitung ausgelegt ist
  • Erkennung und Blockierung von verschleierter Malware, die kein schädliches Verhalten zeigt, sondern es durch Verschlüsselung verbirgt
  • Zwingt Malware dazu, sich im Arbeitsspeicher zu “zeigen”
  • Identifizierung und Eindämmung komplexer Angriffe, bei denen sich der Schadcode nur für weniger als 100 Nanosekunden zu erkennen gibt.

Meltdown eindämmen

Am 3. Januar 2018 wurde eine neue Prozessor-Schwachstelle namens Meltdown vom Google Project Zero Security-Team veröffentlicht. Bei Ausnutzung der Schwachstelle erhalten Angreifer Zugang zu sensiblen Daten wie Passwörtern, Verschlüsselungen, Log-in-Cookies oder VPN-Zugangsdaten, die in geschützten Bereichen moderner Prozessoren liegen. Forscher des SonicWall Capture Labs haben nachgewiesen, dass die SonicWall RTDMI-Technologie auch bei künftigen, auf Meltdown basierenden Schwachstellen wirksam ist. Dies gelingt, indem die Engine die Instruction- und Memory-Nutzung in Echtzeit analysiert.

Funktionsweise der SonicWall Real-Time Deep Memory Inspection

SonicWall hat die RTDMI-Engine in die SonicWall Capture Cloud-Plattform integriert. Zu dieser Plattform gehören Next-Generation-Firewalls, Funktionen für WLAN-, E-Mail- und mobile Sicherheit sowie Lösungen für Fernzugriff, Cloud und IoT.

Die RTDMI-Technologie von SonicWall entdeckt und blockiert auch Schadcode, der kein auffälliges Verhalten zeigt und seine Wirkungsweise durch Verschlüsselung verschleiert. Da die Malware gezwungen wird, sich im Speicher zu enttarnen, kann die RTDMI-Engine sowohl Massenmarkt-Gefahren und Zero-Day-Exploits als auch unbekannten Schadcode proaktiv erkennen und abwehren. Die Sandbox-Engines führen Dateien in einer virtuellen Umgebung aus, erfassen ihre Aktivitäten, suchen nach schädlichem Verhalten und versuchen Korrelationen herzustellen. Die Korrelation und Bewertung der Aktivitäten und Verhaltensweisen erkennt auch falsch-positive sowie falsch-negative Ergebnisse.

Heutige Schadcode-Urheber nutzen fortschrittliche Methoden wie individuelle Verschlüsselung, Verschleierung und Verpackung. Außerdem können sie sich in Sandbox-Umgebungen als gutartig tarnen und verbergen somit ihr Schadenspotenzial. Diese Methoden werden von komplexen Angriffsarten genutzt, die sich nur dann offenbaren, wenn sie gerade ablaufen. In den meisten Fällen ist dann eine Echtzeit-Analyse mit Hilfe statischer Erkennungsmethoden unmöglich.

Die Security Forscher von SonicWall Capture Labs nutzen verschiedene Deep-Learning-Techniken, um Code-Blöcke von mehreren hundert Terabyte an Schadcode und zugehörigen hochwertigen Metadaten von extrahierten Funktionen zu analysieren. Die Kombination dieser Erkenntnisse führte zur Entwicklung der RTDMI-Lösung. „Sandboxing ist häufig unwirksam bei der Analyse von Malware der neuesten Generation. Die RTDMI-Technologie von SonicWall ist sehr schnell und präzise und kann komplexe Angriffe auch dann aufdecken, wenn die am stärksten verborgenen Bereiche des Schadcodes für weniger als 100 Nanosekunden sichtbar sind“, erklärt John Gmuender, CTO von SonicWall.

Die Evolution des DPI (Deep-Packet Inspection)

Bereits 2004 beschritten Forscher des SonicWall CaptureLabs neue Wege, indem sie Machine Learning für die Analyse von Cyber-Bedrohungen nutzten. Die Erkenntnisse und Innovationen daraus führten zur patentierten Reassembly Free Deep Packet Inspection-Technologie, bei der Daten ohne die Notwendigkeit einer erneuten Zusammenstellung untersucht und in Echtzeit abgewehrt werden können. Dadurch entsteht eine Lösung mit niedriger Latenz und hohem Durchsatz ohne Beeinträchtigung des Arbeitsspeichers. Inzwischen verstärkt die Machine-Learning-Technologie von SonicWall die Schutzfunktion der Capture Cloud-Plattform.

“Vor mehr als zehn Jahren waren wir die Vorreiter bei Reassembly-freier, Deep-Packet-Erkennung in der Sicherheitsbranche. Dadurch haben sich die Geschwindigkeit und Wirksamkeit bei der Erkennung und Eindämmung fortschrittlicher Bedrohungen in Echtzeit erhöht”, so Gmuender. “Die Kombination unserer langjährigen Erfahrung bei Machine Learning und Künstlicher Intelligenz mit unserer fortschrittlichen Cloud-Technologie ermöglicht uns, auch unsere Partner und Kunden von deren Mehrwert profitieren zu lassen. Wir werden dies auch bei künftigen Innovationen in der Schwachstellen-Erkennung und -Prävention so fortführen. Die Verbindung unseres umfassenden Security-Knowhows mit den Erfahrungen und Innovationen bei Künstlicher Intelligenz hilft uns, auch weiterhin eine offensive Haltung im Kampf gegen Cyber-Bedrohungen einzunehmen.”