Christian/ März 10, 2021/ IT-Security, Netzwerk

Die meisten zielgerichteten Angriffe finden jeher über den Mail-Verkehr statt. Daher ist es nicht verwunderlich, dass das Thema der Mail-Security einen sehr hohen Stellenwert hat. Mail-Gateways wie die Cisco ESA oder cloudbasierte Mail-Gateways sind heute stark gefragt und haben sich in der Vergangenheit sehr wohl bewährt, um die Massen an Spams und Malware die über Email versendet werden zu bewältigen und den User bzw. das eigene Unternehmen zu schützen.

Doch die grosse Innovation ist in den letzten Jahren seltener geworden. Es werden durchaus neue Technologien (wie z.B. DANE) angeboten, doch die wirklich markante Innovation ist wie so oft ferngeblieben. Speziell bei zielgerichteten Attacken scheitert traditionelle Mail-Gateways oft bei der Erkennung. Dies liegt oft darin begründet, dass diese nach Best Effort die «well known bad» versuchen zu eliminieren, aber bei hoch individualisierten Attacken oft daran scheitert.

Hier setzt das innovative Trust-Model an, welches xorlab ActiveGuard zugrunde liegt. Es bedarf keines Vorwissens der «well known bad», da die Plattform anhand der fliessenden Mail-Kommunikation mittels Machine Learning und dynamischer Analyse ein eigenes Trust-Model aufbaut, um so die zielgerichteten und speziell einzigartigen und unbekannten Cyber-Threats deutlich besser erkennen zu können, als traditionelle Mail-Gateways. Mit der Zeit lernt die Plattform so zunehmend mehr über den Kommunikations-Fluss des Unternehmens und erkennt und verhindert gleichermassen zunehmend hochentwickelte Angriffe wie unbekannte dokumentenbasierte Malware oder Zero-Day-Exploits.


 

Proaktive Email Security – was macht xorlab so einzigartig?

 

Doch warum scheitern traditionelle Plattformen hier? Wahrscheinlich daher, dass es zunehmend unmöglich ist, die kommenden Schritte eines zielgerichteten Angriffes auf Grundlage eines vergangenen Angriffsvektors vorherzusehen. Doch was können wir stattdessen tun? Wir sollten unser eigenes Umfeld wohl am besten kennen, mit diesem Wissen ist es am effektivsten, die Angriffsfläche zu minimieren. xorlab ActiveGuard setzt genau hier mit dem Trust-Model und dem Ansatz des proaktiven Mail-Security an, indem es diesen Vektor kennenlernt und minimiert. Jedes Mail, welches über die Plattform läuft, schult die Vertrauensstellung zwischen den beiden Parteien und es lernt die Beziehungen zwischen den kommunizierenden Unternehmen und sogar zwischen den einzelnen dedizierten Personen, welche sich miteinander austauschen.


Social Engineering Attacken – wie schützt xorlab meine High Value Targets besonders?

 

Impersonation Attacken oder «die Chef-Masche», in der man sich die Identität eines VIPs wie z.B. des CEOs oder des CFOs zu eigen macht und so zum Beispiel Zahlungsanweisungen vermeintlich in Auftrag gibt, sind keine Seltenheit. Insbesondere dann, wenn auf der Firmen-Webseite diese Informationen bestens zugänglich gemacht werden. Traditionelle Plattformen scheitern hier daran, da Sie die Relation oft nicht verstehen – denn sind wir mal ehrlich, aus Sicht dieser Plattform ist die Mail als solches ja nicht mit schadhaftem Content befüllt, sondern mit validem Text-Inhalt. Doch eine falsche Zahlung ist und bleibt schadhaft, auch wenn es sich nicht um Malware als solches handelt. Bei ActiveGuard von xorlab können wir unsere High Value Targets genau definieren und entsprechende Listen befüllen. Sollte sich dann der CEO von extern an die Sekretärin wenden, fällt es der Plattform unmittelbar auf und wird dieses Mail entsprechend behandeln.


Maliziöse Anhänge – erkennen und davor schützen – das machen andere doch auch!

 

Neben dem eigentlichen Mail hat sich das Mail-Protokoll als «easy to use» jeher bewährt, wofür es ursprünglich nicht primär vorgesehen war – nämlich um den Austausch von Dokumenten zu bewerkstelligen. Auch wohlbekannt ist, dass angefügte Anhänge oder beigefügte Links schadhaften Content enthalten können. Dokumentbasierte Angriffe stellen sich dabei als eine besondere Herausforderung dar. Virenprüfung anhand von Signaturen, eine Advanced Threat Protection, welche Malware versucht dynamisch zu erkennen oder eine Sandbox, welche den Anhang tatsächlich ausführt und den Output auswertet, bietet heutzutage eigentlich jede Lösung und ist quasi ein Must-Have.

ActiveGuard versteht anhand seines Trust-Models jedoch noch den Kontext und ist so in der Lage feingranulare Entscheidungen zu treffen. Verschlüsselte Anhänge kann die Plattform ebenfalls erkennen und versucht, diese zu entschlüsseln. Das ist in der Hinsicht noch nicht so revolutionär – denn mittels eines Passwort-Wörterbuchs versuchen dies auch viele andere Lösungen. Oft ist das Passwort doch komplexer und vom Absender (speziell, wenn es sich um einen Angriff handelt) im Mail-Body als Klartext oder in einem Screenshot angefügt. ActiveGuard versucht ebenfalls aus dem Mail-Body dieses Passwort zu evaluieren und den Anhang damit zu entschlüsseln und inspizieren.


xorlab – volle Flexibilität unter der Haube

xorlab läuft in einem Docker-Container auf einem Linux Derivat und bietet so vollste Flexibilität bei der Implementation und dem Betrieb, gepaart mit einem zukunftsweisenden Container-Virtualisierungsansatz. Da ActiveGuard auf den wohlbewährten und weitverbreiteten Postfix Mail Transfer Agent (MTA) setzt, kann schnell und einfach eine nach den eigenen Bedürfnissen zugeschnittene Integration in den Mailflow erfolgen.

So ist zum Beispiel bei der AVANTEC als zentraler Bestandteil bei der Mail-Integration, eine Sternanbindung mit anderen MTAs möglich – das bedeutet, dass Mails bei ActiveGuard angenommen werden, diese zu einem weiteren MTA weitergeleitet werden und anschliessend dieser das Mail zurück an ActiveGuard sendet. So erfolgt in der Regel eine schlagfertige Anbindung mit einem Mailverschlüsselungsgateway wie SEPPmail und bietet auch den Vorteil, dass PGP oder S/MIME verschlüsselte Mails gleich wie nicht verschlüsselte Mails analysiert werden können


xorlab – ein junges Startup mit Motivation

Sie werden schnell im Internet fündig werden und erkennen, dass xorlab ein junges Schweizer Startup aus dem Jahre 2015 ist und aus einem ETH-Spinoff entstanden ist. Der Fokus lag in den letzten Jahren sehr auf dem Feature-Set, weshalb heute noch viel auf CLI und Expert-Level in Code konfiguriert werden muss.

Doch meine Erfahrungen mit xorlab in den letzten beiden Jahren ist, dass es nur noch eine Frage der Zeit ist, bis das Produkt eine schlagfertige GUI zur Konfiguration bietet. Es hat sich gezeigt, dass xorlab schnell und flexibel auf die Bedürfnisse der Kunden eingeht und so Features entwickelt und weiterentwickelt, wohingegen traditionelle Anbieter auf Feature Requests deutlich träger reagieren. Vielleicht fehlt an der Oberfläche noch etwas der Feinschliff, aber ich bin der Überzeugung, dass dieser kommen wird.

Share this Post