sophos intercept xSchon wieder ein Artikel über Ransomware, ja genau. Ransomware ist nun bereits seit ungefähr einem Jahr massiv in den Schlagzeilen, ohne das es bisher einen technischen Schutz dagegen gibt. Oder besser gesagt: gab.

Im Artikel Ransomware fordert Lösegeld hatten wir unter anderem verschiedene Tipps und Ratschläge aufgeführt, wie man sich gegen Ransomware schützen kann. Das sind, neben der eigentlich selbstverständlichen Nutzung von Firewall und Endpoint-Schutz, die bislang üblichen „Best Practices“ zum Schutz der IT-Infrastruktur.

Mit Sophos Intercept X gibt es nun endlich eine Lösung, welche vor Ransomware und Zero-Day-Exploits schützen kann.

Was ist denn Ransomware?

Für alle, die neu in das Thema einsteigen, eine kurze Zusammenfassung: Ransomware ist eine bestimmte Art von Schadsoftware, mit dem Ziel, die Daten eines Nutzers zu verschlüsseln. Die Entschlüsselung der Daten, wird dann nur nach Zahlung eines Lösegelds, üblicherweise in Bitcoins, erfolgen. Wobei nicht garantiert ist, dass nach Zahlung des Lösegeldes auch tatsächlich eine Entschlüsselung der Daten stattfindet.  Andere Begriffe für Ransomware sind Erpressungstrojaner, Kryptotrojaner oder Verschlüsselungstrojaner.

Das Fiese dabei: Ransomware ist unheimlich effektiv, so dass uns Ransomware noch lange begleiten wird. Denn gefährdet ist de facto jeder, egal ob Privatperson oder Unternehmen. In Unternehmen ist die Gefahr natürlich um ein Vielfaches höher. Hier ist bereits ein infizierter Rechner ausreichend, um ALLE Daten, die sich im Zugriff des Benutzers befinden, zu verschlüsseln. Im Zweifelsfall steht das Unternehmen dann still. Wer also bis jetzt nichts dagegen unternommen hat, sollte unbedingt etwas tun.

Wie schützt Sophos Intercept X gegen Ransomware

Intercept-X schützt das System auf mehreren Ebenen. Zum einen werden Techniken verwendet, die eine Infektion des Systems erkennen und diese Infektionen verhindert (Exploit Prevention). Zum anderen wird Ransomware über das Verhalten erkannt. Mittels CryptoGuard werden schadhafte Verschlüsselungsaktivitäten identifiziert. Ransomware wird blockiert, bevor das System geschädigt wird. Bereits schadhaft verschlüsselte Dateien können in ihren Originalzustand zurückversetzt werden. Sophos Intercept X arbeitet dabei signaturlos, so dass auch unbekannte Schadprogramme und Attacken durch Zero-Day-Exploits frühzeitig erkannt und abgewehrt werden können.

Sollt es trotz aller Schutzmaßnahmen eine Schadsoftware in das Netzwerk geschafft haben, dann kommt die Ursachenanalyse („Root Cause Analysis“) zum Tragen. Eine visuelle 360-Grad Analyse der Angriffe zeigt, wo der Angriff stattfand, welche Systemteile betroffen waren und wo er hätte gestoppt werden können. Darüber hinaus werden Handlungsempfehlungen für ähnliche Attacken in der Zukunft zur Verfügung gestellt. Und zu guter Letzt kann mit Sophos Clean eventuell vorhandene Malware erkannt und entfernt werden.

Kurzum: Sophos Intercept X ist aus unserer Sicht ein Muss, um sich effektiv gegen die Bedrohungen von Ransomware zu schützen.

Ergänzung zum bestehenden Virenschutz

Die wichtigste Erkenntnis ist dabei: Sophos Intercept X ist keine standalone-Lösung. Sophos Intercept X ist eine Ergänzung zum bestehenden Virenschutz. Am bestehenden Virenschutz muss dabei, egal von welchem Anbieter, nichts geändert werden. Mit Sophos Intercept X zieht man eine weitere Verteidigungslinie innerhalb der Sicherheitsarchitektur ein. Ziel ist es, einen mehrschichtigen Schutz zu etablieren.

Der mehrschichtige Schutz besteht aus einer Firewall mit IPS, E-Mail- und Web-Gateway als erste Verteidigungslinie. Das ist die klassische Netzwerksicherheit. Hier sollten unbedingt auch Sandboxing-Technologien zum Einsatz kommen. Mit Sandboxing, wie z.B. Sophos Sandstorm, wird moderne Schadsoftware erkannt und abgewehrt.

Die zweite Verteidigungslinie bildet der klassische Endpoint-Schutz. Also das Gerät, an dem der Benutzer arbeitet, wie der Windows-PC, der Mac oder das Smartphone bzw. Tablet. Bei Schadsoftware wie Ransomware ist der Endpoint der Ort, bei dem der maximale Schutz gewährleistet sein muss. Hier kommt mit Sophos Intercept X die dritte Verteidigungslinie zum Tragen. Denn moderne Schädlinge wie Ransomware werden im Zweifelsfall nicht am E-Mail- und Web-Gateway erkannt. Diese werden erst durch das Verhalten am Endpoint erkannt und gestoppt.

Eine vom Kunden gern gestellte Frage: Ist dann überhaupt noch eine Firewall notwendig? Die Frage lautet hier eindeutig „ja, natürlich“. Die Firewall ist, wie schon oben skizziert, die erste Verteidigungslinie gegen netzwerkbasierte Angriffe. Die Sophos UTM-Lösungen können das alles perfekt. Und noch einiges mehr, wie z.B. die E-Mail-Verschlüsselung bereit stellen.

Weitere Informationen zu Sophos Intercept X

Weitere Informationen zu Sophos Intercept X gibt es unter den folgenden Links zu erfahren:

Sophos Intercept X – Landingpage

Sophos Intercept X – Produktseite