Menlo Security erwirbt Votiro, um Unternehmen einfache, KI-gestützte Datensicherheit zu bieten
Blog lesen
Ransomware bleibt weiterhin ein Problem für Unternehmen, da die Arbeitsmodelle von Remote- und Hybridbelegschaften neue Angriffsvektoren eröffnen. Da die meisten Disaster-Recovery- und Business-Continuity-Pläne mittlerweile zuverlässige Strategien zur Datensicherung beinhalten, verwenden Cyber-Angreifer einen kombinierten Ransomware-Ansatz, der sowohl Daten verschlüsselt als auch Daten stiehlt. Das neue Exfiltrationsmodell bedeutet, dass Unternehmen proaktivere Maßnahmen zum Schutz und zur Sicherheit ihrer Daten ergreifen müssen.
Der erste Schritt zum Schutz Ihrer Umgebung besteht darin, zu verstehen, was Dateisanierung ist, wie sie Ransomware-Angriffe begrenzen kann und wo Sie zusätzliche Steuerungen benötigen.
Dateibereinigung ist unter vielen Namen bekannt, darunter Dateirekonstruktion, Inhaltsbereinigung, Inhaltsentwaffnen, Dateireinigung und die Liste geht weiter. Allerdings bezieht sich jeder auf denselben ähnlichen Prozess, bei dem Malware-Bedrohungen begrenzt werden, indem Dateien gescannt, aktiver Inhalt identifiziert, aktiver Code entfernt und die Datei ohne potenziell gefährlichen Code neu erstellt wird.
Eine Möglichkeit, über die Dateibereinigung nachzudenken, ist, sich zu überlegen, wie man Dateien schwärzen würde. Wenn Sie beispielsweise jemandem ein PDF mit sensiblen Informationen senden, können Sie die Redact-Tools nutzen, um Informationen wie Name, Adresse, Geburtsdatum oder Sozialversicherungsnummer zu überblenden.
Datei-Desinfektionstools machen etwas Ähnliches, aber auf der Ebene der Dateimetadaten. Sie verstecken nicht nur den potenziell riskanten Code; sie eliminieren ihn vollständig. Je nachdem, welches Werkzeug man wählt, kann das sowohl gut als auch schlecht sein.
Ein anderer Begriff für den Prozess der Inhaltssanierung ist Content entwaffnen and Reconstruction (CDR). Wie Dateibereinigungslösungen variieren auch CDR-Anbieter in ihrem Ansatz. Für die Zwecke dieses Artikels liegt der Fokus auf der fortschrittlichsten Version von CDR, Level 3. Aus Gründen der Transparenz sind hier die weiteren Ebenen des Inhaltsentwaffnens und der Rekonstruktion aufgeführt:
Verwendet Datei-Konvertierung oder -Transformation, um die Datei sicher zu rendern. Level 1 CDR konvertiert alle Dateien in ein PDF-Dateiformat, wodurch die Möglichkeit ausgeschlossen wird, dass ein Hacker bösartigen Code aktiviert, wenn ein Benutzer auf einen Link klickt oder ein Dokument öffnet. Allerdings wird dadurch ein abgeflachtes Dokument ohne beliebige kritische Funktionen wie Makros erstellt, wodurch die Datei praktisch unbrauchbar wird und die Produktivität negativ beeinflusst wird.
Level 2 CDR zielte darauf ab, Level 1 zu verbessern. Dabei liegt der Fokus darauf, nur bestimmte Arten von Inhalten zu entfernen, wie zum Beispiel eingebettete Objekte oder potenziell aktive Inhalte, um die Sicherheit jeder Datei zu gewährleisten. Die Datei verliert jedoch immer noch Funktionen wie Links, wichtige Makros und Geschäftslogik. Außerdem können dadurch potenziell anfällige Vorlagen im Dokument verbleiben, wodurch Unternehmen weiterhin Angriffen ausgesetzt sind.
Die fortschrittlichste Form eines weiterentwickelten CDR ist Level 3. Bei Menlo Security nutzen wir unsere patentierte Positive Selection®-Technologie, die den Fokus auf eine vorlagenbasierte Rekonstruktion legt und eine vollständige Erhaltung der Funktionen sowie volle Funktionalität ermöglicht. Level 3 CDR baut das Dokument so um, wie es ursprünglich verwendet werden sollte, wobei nur die bekannten sicheren Elemente, positiv ausgewählte Inhalte und die sichere Vorlage übrig bleiben. Das bedeutet, dass der Geschäftsbetrieb wie gewohnt weiterläuft.
Im Gegensatz zu Antivirus verwendet die CDR-Technologie keine Erkennungs- oder Scan-Dateien, um Malware zu identifizieren. Stattdessen zielt die Content-Dekomposition-Technologie darauf ab, die bekannten, sicheren Komponenten einer Datei auf eine saubere Dateivorlage zu rekonstruieren, sodass Malware nirgendwo zu finden ist.
Nehmen wir zum Beispiel die durchschnittliche Methode eines Ransomware-Angriffs: Ein Cyberkrimineller wendet eine Social-Engineering-Taktik an, indem er Endbenutzern E-Mails sendet, in denen er sie auffordert, eine Datei herunterzuladen oder auf einen Link zu klicken, und nutzt diese Aktion dann, um jede beliebige Anzahl von Malware-Typen zu installieren. Einfache CDR-Tools entfernen den gesamten aktiven Inhalt im E-Mail-Anhang sowie beliebige Metadaten, die aktiven Inhalt enthalten. Erweiterte CDR-Tools können dieselben Dateien scannen und nur die bekannten, sicheren Elemente replizieren, sodass kein bösartiger Code in die neue, saubere Version der Datei übertragen wird – während der aktive Inhalt sicher und nutzbar bleibt.
Aktiver Inhalt umfasst:
Fast jede Datei enthält Metadaten. Metadaten gibt es in drei Typen:
Da die Metadaten im digitalen Asset kodiert sind, wissen viele Benutzer nicht, dass sie existieren. Wenn Sie zum Beispiel schon einmal mit einer Excel-Tabelle gearbeitet haben, haben Sie vielleicht die Makrofunktion genutzt. Diese Makros zeichnen Tastenanschläge und Mausklicks auf, sodass Sie die Prozesse wiederholen können, ohne jedes Mal von vorne zu beginnen. Jedes Mal, wenn Sie ein Makro erstellen, haben Sie einige grundlegende Kodierungen vorgenommen.
Bösartige Software funktioniert genauso. In einem herunterladbaren Asset eingebettet, verstecken Cyberkriminelle bösartigen Code, der ausgeführt werden kann, wenn jemand das Dokument öffnet. Dies bedeutet, dass beliebige Metadaten, in denen sich dieser Code verstecken kann, riskant sind.
Traditionell Antivirus erstellt eine Datenbank mit bekannten Virencodes und vergleicht Dateicodes mit dieser Datenbank. Problematisch ist, dass selbst die fortschrittlichsten Tools der künstlichen Intelligenz (KI) nur so viel raten können. Werfen wir einen genaueren Blick auf die Gründe, warum sich die Dateienreinigung von erkennungsbasierten Lösungen unterscheidet:
Ein Antivirus-Schutz, der auf der Erkennung von bösartigem Code basiert, unterliegt einigen Einschränkungen. Erstens benötigt man für eine effektive KI-gestützte Vorhersage von Computervirusmutationen einen unglaublich großen Datensatz. Algorithmen für maschinelles Lernen (ML) sind nur wirksam, wenn sie so viele Daten wie möglich aufnehmen können. Es kann jedoch schwierig sein, so viele Daten zu erfassen und sie angemessen zu kennzeichnen. Damit erkennungsbasierte KI/ML funktioniert, muss man verstehen, wie das Tool die Informationen sammelt und überwacht.
Zweitens: Egal wie viele Daten eine KI sammelt und analysiert, menschliche bösartige Akteure sind immer einen Schritt voraus. KI/ML-erkennungsbasierte Werkzeuge bieten zwar Vorhersagefähigkeiten, können aber nicht wie ein Cyberkrimineller denken. Diese Tools können nur rückwärtsgewandt die Zukunft vorhersagen; sie können nicht kreativ denken wie ein Cyberkrimineller. Mit dem Aufkommen generativer KI-Tools ist dies jedoch möglicherweise nicht immer der Fall.
Mit der Dateisanierung müssen Sie sich nie mehr Gedanken über machen, ob Ihre prädiktiven Analysen Sie im Stich lassen werden. Das liegt daran, dass die Dateibereinigung alle riskanten Elemente in Dateien entfernt, ohne nach spezifischen Indikatoren zu suchen. Während AV allein Tage, Wochen, Monate oder sogar Jahre brauchen kann, um einen versteckten Exploit zu erkennen, stoppt CDR Malware ab Tag null.
Die Dateisanitisierung hinterlässt alle Malware, egal ob es sich um eine bekannte Variante oder etwas völlig Neues handelt. Die Lösung rekonstruiert die Datei ausschließlich mit sicheren Elementen, sodass Sie alle benötigten Informationen ohne beliebige Risiken erhalten. Wenn ein Mitarbeiter versehentlich eine Datei herunterlädt, die ein Cyberkrimineller als Methode zur Auslieferung von Ransomware vorgesehen hat, brauchen Sie sich keine Sorgen zu machen, da der bösartige Code entfernt wurde.
Die Positive Selection® Technologie von Menlo bietet kontinuierliche, proaktive Bedrohungsprävention. Anstatt mit einer veralteten Datenbank zu arbeiten, die neue und innovative Malware übersehen kann, entfernt Menlo alle Elemente, die von Cyberkriminellen als Waffe eingesetzt werden können. Statt sich Sorgen darüber zu machen, welche neuen Phishing-Angriffe sich Cyberkriminelle ausdenken, können Sie beruhigt sein, dass alle Dateien frei von Malware oder Ransomware-Varianten sind, selbst wenn sie gerade erst erstellt wurden. Und das Beste daran: Menlo desinfiziert Dateien in Echtzeit, während sie noch in Bewegung sind, bevor der Benutzer die Datei überhaupt erhält.
Mit Menlo Security müssen sich Sicherheitsteams keine Sorgen mehr über potenzielle falsch-positive Ergebnisse machen, die durch Antivirus verursacht werden, da nur nicht-bösartige Elemente der Datei erhalten geblieben sind. Durch die Beseitigung beliebiger potenzieller versteckter Bedrohungen in Dateien reduziert die Dateibereinigung die Alarmmüdigkeit und gibt Ihrem Sicherheitsteam den Fokus, sich auf andere Bedrohungsvektoren zu konzentrieren.
Wenn Sie Mehr erfahren Über wie Sie mit Menlo loslegen können, vereinbaren Sie noch heute eine Demo mit uns!
Menlo Security
