Cato Networks stellt einen netzwerkbasierten Schutz vor Ransomware innerhalb der Cato-SASE-Cloud vor. Mithilfe heuristischer Algorithmen und tiefgreifender Netzwerkkenntnis erkennt und verhindert Cato die Ausbreitung von Ransomware im gesamten Unternehmen, ohne Endpoint-Agents einsetzen zu müssen. Infizierte Rechner werden als solche erkannt und sofort isoliert.
„Der Schutz vor Ransomware ist für jeden CISO und CIO zu einer der vordringlichen Aufgaben geworden. Trotzdem bleiben die gewählten Verteidigungsstrategien oftmals anfällig. Sei es, dass Angreifer die Maßnahmen für Endpunktsicherheit umgehen oder Insider sie manipulieren, um Ransomware zu verbreiten“, so Etay Maor, Senior Director of Security Strategy bei Cato Networks. „Durch die Identifizierung von Ransomware anhand der zugrunde liegenden Netzwerkmerkmale haben Sicherheitsteams die Möglichkeit, sich unabhängig vom Bedrohungsvektor schützen.“
Ransomware-Schutz ausdehnen: Vom Endpunkt auf das Netzwerk
Ab sofort untersuchen die selbstlernenden heuristischen Algorithmen von Cato alle SMB-Protokollströme (Server-Message-Block) auf Ransomware. SMB ist das Protokoll, das Windows zur Freigabe von Dateien und Ordnern verwendet.
Die Cato-Forscher haben diese Algorithmen anhand des Data-Warehouse von Cato trainiert und getestet. Es handelt sich dabei um einen riesigen Data-Lake mit End-to-End-Attributen für alle von der Cato-SASE-Cloud verarbeiteten Traffic-Ströme. Da Cato selbst dieses Netzwerk bildet, hat es Einblick in Daten, die normalerweise von Firewalls und NATs blockiert werden. Im Cato-Data-Lake werden über eine Billion Datenströme von allen mit Cato verbundenen Edges gespeichert – das sind Standorte, Benutzer, IoT-Geräte, mit der Cloud verbundene Ressourcen und Internetressourcen.
Nach der abgeschlossenen Trainingsphase untersuchen die heuristischen Algorithmen auf Basis von maschinellem Lernen die SMB-Datenverkehrsströme live auf eine Kombination von Netzwerkattributen, darunter die folgenden:
- Dateieigenschaften wie bestimmte Dateinamen, Dateierweiterungen, Erstellungs- und Änderungsdaten.
- Shared Volumes greifen auf Daten wie Metriken zu Benutzern von Remote-Ordnern zu.
- Netzwerkverhalten, z. B. das Erstellen bestimmter Dateien und bestimmte Bewegungen innerhalb des Netzwerks.
- Zeitintervalle wie beispielsweise die Verschlüsselung ganzer Verzeichnisse in Sekunden.
Wird eine Ransomware identifiziert, blockiert Cato automatisch den SMB-Verkehr vom Ursprungsgerät, verhindert die laterale Fortbewegung im Netz sowie die Verschlüsselung von Dateien und benachrichtigt den Kunden.
Cato stellt eine vielschichtige Strategie zur Ransomware-Abwehr zur Verfügung
Die heutige Ankündigung ist lediglich ein Teil innerhalb der breit angelegten, mehrschichtigen Strategie von Cato zur Malware-Abwehr. Ziel ist es, Angriffe mithilfe des MITRE-ATT&CK-Framework zu unterbrechen. Im Rahmen dieser Strategie beobachten die Cato-Sicherheitsforscher die von Ransomware-Gruppierungen verwendeten Techniken, aktualisieren die Abwehrmaßnahmen von Cato und schützen Unternehmen in Rekordzeit davor, dass Angreifer bekannte Schwachstellen ausnutzen.
Cato Networks
