Real-Time Deep Memory Inspection
SonicWall schützt vor Speicher-basierten Angriffen und Zero-Day Malware
Echtzeit-Schutz vor gefährlichen PDF- und Microsoft Office-Dateien
Das Security Unternehmen SonicWall hat die Funktionen der zum Patent angemeldeten Technologie SonicWall Real-Time Deep Memory Inspection (RTDMITM) erweitert. Sie bietet nun Echtzeit-Schutz vor gefährlichen PDF- und Microsoft Office-Dateien. Der Sandbox-Service SonicWall Capture Advanced Threat Protection (ATP) hat mit Hilfe der RTDMI-Technologie seit Januar 2018 bereits über 3.500 neue Angriffsvarianten entdeckt. ATP ist ein Kernbestandteil der SonicWall Capture Cloud-Plattform.
„Cyberkriminelle sind extrem agil bei der Ausnutzung von Schwachstellen in Technologien und Benutzerverhalten“, sagt Bill Conner, President und CEO von SonicWall. „Der Arbeitsspeicher ist das nächste große Schlachtfeld, auf dem Unternehmen Cyberkriminelle bekämpfen müssen. Ansonsten bleibt ein entscheidender Angriffsvektor für moderne Cyberattacken offen.“
Die im Februar 2018 vorgestellte RTDMI-Technologie wird von der SonicWall Capture Cloud genutzt, um Cybergefahren wie Speicher-basierte Angriffe zu identifizieren und abzuwehren. Sie erkennt und blockiert unbekannte, auf möglichst breite Verbreitung ausgelegte Malware – einschließlich schädlicher PDF- und Microsoft Office-Dateien – in Echtzeit.
SonicWall Capture RTDMITM Technologie hat bereits über 3.500 neue Angriffsvarianten erkannt
„Attacken nutzen ausgeklügelte und proprietäre Verschlüsselungstechniken, um sich im Speicher zu verstecken“, erklärt John Gmuender, CTO von SonicWall. „Daher müssen Unternehmen aktiv auch die Angriffe entdecken und blockieren, die nur für bis zu 100 Nanosekunden sichtbar sind. Immer mehr Schadprogramme, Ransomware und andere fortgeschrittene Bedrohungen werden in den kommenden Monaten und Jahren diesen Ansatz verwenden.“
Der SonicWall Cyber Threat Report 2018 zeigt, dass Cyberkriminelle weiterhin das Vertrauen der Anwender in PDFs und Microsoft Office-Programme ausnutzen. Sie stellten fünf der zehn am häufigsten angegriffenen Applikationen im Jahr 2017 dar. Aufgrund von Verschleierungstechniken können viele herkömmliche Firewalls und Antivirenlösungen nicht effektiv erkennen, ob die genutzten Dateien Malware enthalten.
RTDMI ist bereits für SonicWall-Kunden mit aktiven Abonnements für SonicWall ATP- und SonicWall E-Mail-Security-Lösungen im Einsatz.
Die Wirkungsweise von RTDMI
Als wichtiger Bestandteil des Sandbox-Dienstes SonicWall Capture ATP identifiziert und blockiert RTDMI auch Malware, die kein schädliches Verhalten zeigt oder sich per Verschlüsselung maskiert. Da diese gezwungen wird, sich im Speicher zu enttarnen, kann RTDMI sowohl Zero-Day-Exploits als auch unbekannten Schadcode proaktiv abwehren. Dazu nutzt sie Speicher-basierte Inspection-Techniken. RTDMI analysiert auch Dateien dynamisch über eine proprietäre Exploit Detection-Technologie in Kombination mit Static Inspection. So erkennt RTDMI viele schädliche Dokumenttypen. Dazu gehören:
- Gefährliche Flash-basierte Microsoft Office-Dokumente
- Dynamic Data Exchange-basierte (DDE) Exploits und Malware in Office-Dateien
- Microsoft Office- und PDF-Dateien, die Malware oder andere gefährliche ausführbare Programme enthalten
- Bösartige Shellcode-basierte und Multi-Layer-Dateien
- Schädliche Makro-basierte Dateien
- PDF-Dokumente mit „JavaScript Infectors“
- JavaScript-basierte Exploits in PDF-Dokumenten
- „Phishing-artige” PDF-Dokumente mit Links zu Phishing oder Malware enthaltenden Websites
Anfang des Jahres haben Security Forscher von SonicWall Capture Labs nachgewiesen, dass die SonicWall RTDMI-Technologie — insbesondere durch Echtzeit-Analyse von Befehls- und Speichernutzungsmustern — effektiv vor künftigen Exploits auf Basis der Meltdown-Sicherheitslücke schützt. Die Prozessor-Schwachstelle, die im Januar 2018 öffentlich bekannt wurde, könnte einem Angreifer den Zugang zu sensiblen Informationen wie Passwörtern, E-Mails und Dokumenten innerhalb eigentlich geschützter Speicherregionen moderner Prozessoren ermöglichen.
Aktuelle Daten zu Cybergefahren
Damit Unternehmen ihre Daten, Netzwerke, Kunden und Marken besser schützen können, bietet das SonicWall Security Center neue Echtzeit-Messwerte zu Cyberangriffen und Threat Intelligence. Die Threat Meters stellen aktuell laufende Angriffe in verschiedenen Ländern sowie das Ursprungsland der Attacken dar. Zudem werden Malware, Intrusions, Ransomware, verschlüsselte Bedrohungen, Spam, Phishing und Zero-Day-Gefahren verfolgt.
In Ergänzung zu den Analysen im SonicWall Cyber Threat Report 2018 stellt das SonicWall Security Center Ranglisten für Bedrohungen nach Größenordnung und Trends auf – monatlich und jährlich. Damit können Unternehmen fundiertere Entscheidungen treffen. Die SonicWall Capture Cloud-Plattform hat im ersten Quartal 2018 mehr als 49.800 neue Angriffsvarianten erkannt. Die neue SonicWall RTDMI Technologie hat dabei 3.500 bislang unbekannte Varianten identifiziert. Allein im ersten Quartal 2018 wurde jeder SonicWall-Kunde durchschnittlich mit folgenden Gefahren konfrontiert:
- 7.739 Malware-Angriffe – eine Steigerung zum Vorjahr von 151 Prozent
- 173 Ransomware-Angriffe – eine Steigerung zum Vorjahr von 226 Prozent
- 335 verschlüsselte Cyberattacken – eine Steigerung zum Vorjahr von 430 Prozent
- 963 Phishing-Attacken – eine Steigerung zum Vorjahr von 15 Prozent
“Organisationen sind besser dafür gerüstet, ihre Netzwerke und Daten zu beschützen, wenn sie das Ausmaß und die spezifischen Typen der Cyberattacken kennen, denen sie sich gegenüber sehen”, sagt Conner. “SonicWall wird auch in Zukunft Kunden und Partner mit direkt verwertbaren Echtzeit-Bedrohungsanalysen ausstatten, damit sie im Wettkampf mit den Cyberkriminellen auch fortgeschrittene Angriffsvarianten abfangen können.” Das SonicWall Security Center sammelt Informationen von mehr als einer Million Capture Threat Network-Sensoren weltweit. Dazu gehören aktive SonicWall Firewalls, E-Mail-Security-Lösungen, Endpoint Security Devices, Honeypots, Content-Filter-Systeme und Multi‐Engine Capture ATP Sandbox-Umgebungen.
