CheckPoint schützt Mails vor Zero-Day-Attacken

CheckPoint bietet für Anwender von Office 365 Mail mit SandBlast Cloud einen Cloud-basierten Malwareschutz vor bekannten und auch vor unbekannten Bedrohungen. Mit der SandBlast-Familie bietet das Unternehmen bereits ein breites Portfolio an Lösungen für On-Premises installierte Software. Alleinstellungsmerkmal dieser Lösung ist, dass hier auch Malware erkannt wird, die auf Prozessor-Ebene agiert und damit für herkömmliche Sicherheitslösungen unsichtbar ist.

“E-Mail ist nach wie vor der wichtige Einfallstor und Angriffsvektor für Hacker”, erklärt Orli Gan, Head of Threat Prevention Product Management Check Point, im Gespräch mit silicon.de. Laut Studien sollen immerhin 12 Prozent aller infizierten Anhänge von Nutzern in Unternehmen geöffnet werden. Und hier soll die demnächst verfügbare Cloud-Lösung ganz besonders zuverlässigen Schutz bieten.

Weil immer mehr Anwender das Cloud-Angebot von Microsoft als Mail-Lösung einsetzen, habe sich CheckPoint entschieden, hier mit dem Angebot zu starten. Nach und nach werde CheckPoint jedoch den Support auch auf andere Produkte und Dienste wie etwa die gesamte Office-365-Suite und Google Mail ausdehnen.

SandBlast-Cloud liefert für die Anwender Office 365 auf mehrere Ebenen Schutz vor bekannten wie unbekannten Bedrohungen. Ergänzt wird dieser Schutz zudem mit Antivirus- und URL-Reputationsschutz, über die bekannte Bedrohungen ausgefiltert werden. URLs, die auf bösartige Web-Seiten verweisen, werden gesperrt und der Anwender bekommt eine Nachricht angezeigt, dass die URL auf eine unsichere Domain verweist.

“Worauf wir aber besonderen Wert gelegt haben, ist der Schutz vor unbekannten Bedrohungen”, erklärt Gan. Dabei kommt eine, in diesem Fall Cloud-basierte Emulations-Engine zum Einsatz. So prüft Sandblast Cloud die Anhänge von Mails, in Formaten wie PDF, ZIP-Files, Excel oder Word auf verdächtige Komponenten wie etwa Makros. Ist das der Fall, bekommt der Anwender eine Information, dass er einen verdächtigen Anhang bekommen hat. Das bietet die Lösung für mehr als 40 Datei-Typen.

“In aller Regel, sollten solche Dokumente keine derartigen Funktionen enthalten”, ergänzt Gan. Sollte ein Anwender tatsächlich aber ein Dokument mit einem Makro per Mail empfangen wollen, kann er das Original-Dokument über die CheckPoint-Lösung anfordern. “Das Dokument wird dann in der Sandbox geöffnet und auf Malware getestet, was etwa zwei bis drei Minuten dauern kann”, so Gan. Erst wenn sich gezeigt hat, dass die Funktionen legitim sind, kann der Nutzer das Dokument öffnen.

Unter Microsoft Office Word (2003 bis 2013) und Adobe PDF kann Sandblast Cloud in diesem Fall sogar die schädlichen Komponenten deaktivieren und dem Nutzer das bereinigte Dokument weiterleiten.

Bei der Erkennung von Zero-Day-Attacken nutzte CheckPoint laut Gan mehr als 30 verschiedene Engines, die mehrere Millionen Parameter wie zum Beispiel API-Calls und andere Funktionen abgleichen, die auf Malware hinweisen. Um diese Analyse umsetzen zu können, setze CheckPoint Machine Learning und künstliche Intelligenz ein. “Je mehr Malware-Samples wir identifizieren und Analysieren, desto besser wird Engine”, ergänzt Gan.

Ein Geo-Locking, also, dass ein Nutzer bestimmte Dokumente beispielsweise nur in seinem Heimatland öffnen und verschicken darf, sei geplant, werde es jedoch erst in einer der folgenden Versionen geben, so die CheckPoint-Managerin.

In der Industrie bislang einzigartig, sei die Fähigkeit von Sandblast Cloud, Angriffe zu erkennen, die auf CPU-Level stattfinden. Ein Beispiel dafür ist das so genannte Return Oriented Programming (ROB). “Hacker arbeiten damit nicht mit eigenem Code, sondern kapern Code, der bereits im Memory des Prozessors ist und bauen so eine eigene Logik auf”, erklärt Gan. ROB-Attacken machten sicher nicht die Mehrzahl der Angriffe aus, dafür seien die wenigen Attacken auf dieser Ebene umso gefährlicher. “Alleine die Existenz einer ROB-Chain in einer Mail ist daher ein 100-prozentiges Erkennungsmerkmal für Malware”, erklärt Gan, für Angreifer gebe es keine Möglichkeit, sich hier an den Malware-Filtern der CheckPoint-Lösung vorbei zu schmuggeln.

CheckPoint habe das weltweit verfügbare Produkt so bepreist, dass es auch für kleinere Unternehmen erschwinglich ist. Auch die Installation laufe sehr einfach ab. Ein Anwender müsse lediglich die nötigen Anmelde-Informationen für Office 365 Mail angeben. SandBlast-Cloud ist in kürze allgemein Verfügbar.