Algorithmen auf Basis von maschinellem Lernen erkennen SASE-Cloud mit netzwerkbasiertem Schutz vor Ransomware

Von Bernhard Lück

Anbieter zum Thema

Die Cato SASE Cloud, so Cato Networks, ist ab sofort in der Lage, Ransomware zu erkennen und deren Ausbreitung im Unternehmen zu verhindern. Mithilfe heuristischer Algorithmen und tiefgreifender Netzwerkkenntnis würden infizierte Rechner erkannt und sofort isoliert.

Ransomware blockiert den Zugang zu sensiblen Dateien so lange, bis ein Lösegeld gezahlt wird.
Ransomware blockiert den Zugang zu sensiblen Dateien so lange, bis ein Lösegeld gezahlt wird.
(Bild: © – normalfx – stock.adobe.com)

„Der Schutz vor Ransomware ist für jeden CISO und CIO zu einer der vordringlichen Aufgaben geworden. Trotzdem bleiben die gewählten Verteidigungsstrategien oftmals anfällig. Sei es, dass Angreifer die Maßnahmen für Endpunktsicherheit umgehen oder Insider sie manipulieren, um Ransomware zu verbreiten“, so Etay Maor, Senior Director of Security Strategy bei Cato Networks. „Durch die Identifizierung von Ransomware anhand der zugrunde liegenden Netzwerkmerkmale haben Sicherheitsteams die Möglichkeit, sich unabhängig vom Bedrohungsvektor schützen.“

Ransomware-Schutz ausdehnen: vom Endpunkt auf das Netzwerk

Ab sofort untersuchen die selbstlernenden heuristischen Algorithmen von Cato alle SMB-Protokollströme (Server Message Block) auf Ransomware. SMB ist das Protokoll, das Windows zur Freigabe von Dateien und Ordnern verwendet.

Die Forscher von Cato Networks, so das Unternehmen, haben diese Algorithmen anhand des Data Warehouse von Cato trainiert und getestet. Es handle sich dabei um einen riesigen Data Lake mit End-to-End-Attributen für alle von der Cato SASE Cloud verarbeiteten Traffic-Ströme. Da Cato selbst dieses Netzwerk bildet, habe es Einblick in Daten, die normalerweise von Firewalls und NATs blockiert werden. Im Cato Data Lake seien über eine Billion Datenströme von allen mit Cato verbundenen Edges gespeichert – Standorte, Benutzer, IoT-Geräte, mit der Cloud verbundene Ressourcen und Internetressourcen.

Nach der abgeschlossenen Trainingsphase untersuchen die heuristischen Algorithmen auf Basis von maschinellem Lernen die SMB-Datenverkehrsströme live auf eine Kombination von Netzwerkattributen, darunter die folgenden:

  • Dateieigenschaften wie bestimmte Dateinamen, Dateierweiterungen, Erstellungs- und Änderungsdaten,
  • Shared Volumes greifen auf Daten wie Metriken zu Benutzern von Remote-Ordnern zu,
  • Netzwerkverhalten, z.B. das Erstellen bestimmter Dateien und bestimmte Bewegungen innerhalb des Netzwerks,
  • Zeitintervalle wie beispielsweise die Verschlüsselung ganzer Verzeichnisse in Sekunden.

Wird eine Ransomware identifiziert, könne Cato automatisch den SMB-Verkehr vom Ursprungsgerät blockieren, die laterale Fortbewegung im Netz sowie die Verschlüsselung von Dateien verhindern und den Kunden benachrichtigen.

Vielschichtige Strategie zur Ransomware-Abwehr

Die Sicherheitsfunktionen der SASE Cloud sind Cato zufolge lediglich ein Teil innerhalb der firmeneigenen breit angelegten, mehrschichtigen Strategie zur Malware-Abwehr. Ziel sei es, Angriffe mithilfe des MITRE ATT&CK-Framework zu unterbrechen. Im Rahmen dieser Strategie beobachten die Cato-Sicherheitsforscher die von Ransomware-Gruppierungen verwendeten Techniken und aktualisieren die Abwehrmaßnahmen.

(ID:48482386)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung