24.05.2017

EXP – Endpoint eXploit Prevention

Ransomware & Co. einfach den Riegel vorschieben

Tradition ist gut und notwendig. Das gilt auch für IT-Sicherheitslösungen – ohne die Erfahrungen der letzten Jahrzehnte wären Infrastrukturen bei weitem nicht so gut geschützt. Das alleinige Vertrauen auf Tradition ist aber eine Sackgasse. Neue Wege schieben modernen Hackerangriffen einen Riegel vor. Um Hackern auch mit neuartigen Angriffen wie Ransomware, Zero-Day-Exploits oder Stealth-Attacken keine Chance zu geben, bildet Sophos Central Endpoint Intercept X einen effektiven Next-Gen-Schutz, der ohne Aufwand in die bestehende IT-Security-Architektur beliebiger Anbieter eingebunden werden kann.

Die Lösung umfasst vier systemkritische Sicherheitskomponenten:

  1. Signaturlose Threat- und Exploit-Erkennung
  2. CryptoGuard
  3. Root Cause Analytics
  4. Sophos Clean

Signaturlose Threat- und Exploit-Erkennung

Schutz gegen Malware und Hacker, der Zero-Day-Exploits, unbekannte und speicherresistente Attacken sowie Threat-Varianten ohne File-Scanning blockiert, bietet diese Komponente.

  • überwacht Prozesse und erkennt Versuche, Exploit-Techniken anzuwenden, z.B. Buffer Overflow oder Code Injection
  • verhindert das Ausnutzen der Verwundbarkeit in unsicheren/ungepatchten Anwendungen
  • keine Performanceeinbußen

CryptoGuard

CryptoGurad ist eine Anti-Ransomware-Innovation, die schadhafte Verschlüsselungsaktivitäten identifiziert und unterbricht sowie Ransomware blockiert, bevor das System geschädigt wird. Bereits schadhaft verschlüsselte Dateien können in ihren Originalzustand zurückversetzt werden.

Sobald ein Dokument zum Schreiben geöffnet wird, wird automatisch eine Sicherheitskopie angelegt. Es handelt sich dabei nicht um die MS Volume Shadow Copies; es werden zwar dieselben Mechanismen verwendet, die Dateien aber speziell gesichert gespeichert, sodass Ransomware diese nicht löschen kann, wie das in manchen Fällen mit Volume Shadow Copies passiert. Wenn dann aber festgestellt wird, dass eine Datei wesentlich geändert wurde, also sich z.B. der Dateityp ändert, dann wird dies als Verschlüsselung erkannt.

Anschließend passieren mehrere Dinge:

  • Dem Prozess wird der Zugriff auf das Dateisystem entzogen bzw.
  • die Originaldateien aus den Sicherheitskopien werden wiederhergestellt,
  • das Endpoint Management in SEC oder Sophos Central informiert,
  • der Heartbeat-Status wir in rot geändert,
  • es werden Informationen zur Ursachenanalyse gesammelt,
  • Sophos Clean startet mit Scan und Bereinigung.

Wenn man sich den Fall anschaut, bei dem ein Remote-Client auf einen Fileserver oder ein freigegebenes Share zugreift, so greift CryptoGuard hier ebenfalls ein. Dies funktioniert auf Windows-64Bit-Clients und Servern sowie auf OS X ab Q2/2017.

Wenn ein Remote-Client also anfängt, Dateien zu verschlüsseln, dann wird bei Verschlüsselung mehrerer Dateien innerhalb eines Zeitfensters dem Remote-Client ebenfalls der Schreibzugriff auf das Dateisystem entzogen.

Dann werden die Originaldateien aus den Sicherheitskopien wiederhergestellt.

Root Cause Analytics

Diese Komponente erstellt eine visuelle 360-Grad Analyse der Angriffe, die zeigt, wo der Angriff stattfand, welche Systemteile betroffen waren und wo er hätte gestoppt werden können. Zudem werden Handlungsempfehlungen für ähnliche Attacken in der Zukunft zur Verfügung gestellt.

Sophos Clean

Die Sophos-Clean-Technologie (ehemals Hitman Pro) erkennt und entfernt Spyware und tief ins System eingebettete Malware.

  • signaturloser On-Demand-Malwarescanner
  • forensische Erkennung bisher unbekannter Malware
  • nutzt Verhaltensanalyse und Cloudintelligenz (Internetverbindung notwendig)
  • entfernt persistente Malware
  • ersetzt infizierte Windows-Ressourcen durch sichere Originalversionen

Zwei Wege, um die Lösung zu integrieren

Zum einen können Sie Intercept X nutzen, welches ein Teil von Sophos Central ist, zum anderen die eXploit Prevention, welche on-premises direkt beim Kunden installiert werden kann. Zwischen den beiden Lösungen gibt es einige Feature-Unterschiede: Beispielsweise ist Root Cause Analytics nicht in eXploit Prevention enthalten und die Clean-Funktion muss manuell angestoßen werden.

Gerne beraten wir Sie ausführlicher zum Sophos-Ransomware-Schutz. Rufen Sie uns an und schützen Sie Ihr Unternehmen noch heute!

Alexander Held
Teamleiter Vertrieb Network and Security

Unsere Blogs