SonicWall mit neuer Technologie: Real-Time Deep Memory Inspection

SonicWall hat mit einer neuen Capture Cloud Engine hunderte Malware-Varianten identifiziert, die von keiner anderen Sandboxing-Technologie zuvor entdeckt wurden. Mit einer noch nicht angekündigten, zum Patent angemeldeten Technologie haben Forscher eine Methode für die Erkennung und Eindämmung von Sicherheitsgefahren mittels Deep-Memory-Erkennung in Echtzeit entwickelt.

Die neue SonicWall Capture Cloud Real-Time Deep Memory Inspection (RTDMITM) Technologie und Engine befinden sich seit mehreren Monaten im Einsatz und haben bereits hunderte von Malware-Varianten entdeckt, die herkömmlichen Sandbox-Technologien bislang entgangen waren. Die neue Technologie ergänzt die Plattform von SonicWall für die automatisierte Schwachstellen-Erkennung und -Prävention. SonicWall RTDMI umfasst eine Technologie und einen (zum Patent angemeldeten) Prozess, die von der SonicWall Capture Cloud genutzt werden, um selbst komplexeste, neuartige Bedrohungen wie beispielsweise künftige Meltdown-Schwachstellen zu erkennen und zu beheben.

Anzeige

Zu den Highlights von RTDMI gehören:

  • Dank Deep Memory-Technologie in Echtzeit proaktive Erkennung und Blockierung unbekannter Malware, die auf möglichst große Verbreitung ausgelegt ist
  • Erkennung und Blockierung von verschleierter Malware, die kein schädliches Verhalten zeigt, sondern es durch Verschlüsselung verbirgt
  • Zwingt Malware dazu, sich im Arbeitsspeicher zu “zeigen”
  • Identifizierung und Eindämmung komplexer Angriffe, bei denen sich der Schadcode nur für weniger als 100 Nanosekunden zu erkennen gibt.

Meltdown eindämmen

Am 3. Januar 2018 wurde eine neue Prozessor-Schwachstelle namens Meltdown vom Google Project Zero Security-Team veröffentlicht. Bei Ausnutzung der Schwachstelle erhalten Angreifer Zugang zu sensiblen Daten wie Passwörtern, Verschlüsselungen, Log-in-Cookies oder VPN-Zugangsdaten, die in geschützten Bereichen moderner Prozessoren liegen. Forscher des SonicWall Capture Labs haben nachgewiesen, dass die SonicWall RTDMI-Technologie auch bei künftigen, auf Meltdown basierenden Schwachstellen wirksam ist. Dies gelingt, indem die Engine die Instruction- und Memory-Nutzung in Echtzeit analysiert.

Funktionsweise der SonicWall Real-Time Deep Memory Inspection

SonicWall hat die RTDMI-Engine in die SonicWall Capture Cloud-Plattform integriert. Zu dieser Plattform gehören Next-Generation-Firewalls, Funktionen für WLAN-, E-Mail- und mobile Sicherheit sowie Lösungen für Fernzugriff, Cloud und IoT.

Die RTDMI-Technologie von SonicWall entdeckt und blockiert auch Schadcode, der kein auffälliges Verhalten zeigt und seine Wirkungsweise durch Verschlüsselung verschleiert. Da die Malware gezwungen wird, sich im Speicher zu enttarnen, kann die RTDMI-Engine sowohl Massenmarkt-Gefahren und Zero-Day-Exploits als auch unbekannten Schadcode proaktiv erkennen und abwehren. Die Sandbox-Engines führen Dateien in einer virtuellen Umgebung aus, erfassen ihre Aktivitäten, suchen nach schädlichem Verhalten und versuchen Korrelationen herzustellen. Die Korrelation und Bewertung der Aktivitäten und Verhaltensweisen erkennt auch falsch-positive sowie falsch-negative Ergebnisse.

Heutige Schadcode-Urheber nutzen fortschrittliche Methoden wie individuelle Verschlüsselung, Verschleierung und Verpackung. Außerdem können sie sich in Sandbox-Umgebungen als gutartig tarnen und verbergen somit ihr Schadenspotenzial. Diese Methoden werden von komplexen Angriffsarten genutzt, die sich nur dann offenbaren, wenn sie gerade ablaufen. In den meisten Fällen ist dann eine Echtzeit-Analyse mit Hilfe statischer Erkennungsmethoden unmöglich.

Die Forscher von SonicWall Capture Labs nutzen verschiedene Deep-Learning-Techniken, um Code-Blöcke von mehreren hundert Terabyte an Schadcode und zugehörigen hochwertigen Metadaten von extrahierten Funktionen zu analysieren. Die Kombination dieser Erkenntnisse führte zur Entwicklung der RTDMI-Lösung. „Sandboxing ist häufig unwirksam bei der Analyse von Malware der neuesten Generation. Die RTDMI-Technologie von SonicWall ist sehr schnell und präzise und kann komplexe Angriffe auch dann aufdecken, wenn die am stärksten verborgenen Bereiche des Schadcodes für weniger als 100 Nanosekunden sichtbar sind“, erklärt John Gmuender, CTO von SonicWall.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Die Evolution des DPI (Deep-Packet Inspection)

Bereits 2004 beschritten Forscher des SonicWall CaptureLabs neue Wege, indem sie Machine Learning für die Analyse von Cyber-Bedrohungen nutzten. Die Erkenntnisse und Innovationen daraus führten zur patentierten Reassembly Free Deep Packet Inspection-Technologie, bei der Daten ohne die Notwendigkeit einer erneuten Zusammenstellung untersucht und in Echtzeit abgewehrt werden können. Dadurch entsteht eine Lösung mit niedriger Latenz und hohem Durchsatz ohne Beeinträchtigung des Arbeitsspeichers. Inzwischen verstärkt die Machine-Learning-Technologie von SonicWall die Schutzfunktion der Capture Cloud-Plattform.

sonicwall.com/de-de/

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.