Mit Schwarmintelligenz gegen Cyberattacken

Im Kampf gegen Spam und Schadsoftware geht der KI- und Big-Data-basierte Service Heimdall neue Wege und profitiert vom Informationsaustausch aller Instanzen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

Heimdall nutzt bei der Spam- und Schadsoftwareabwehr Schwarmintelligenz.

(Bild: Wikipedia.org, https://de.wikipedia.org/wiki/Heimdall)

Von

Anders als der Projektname vermuten lässt, stellt der neue KI- und Big-Data-basierte Service von Net at Work Cyberkriminellen nicht nur einen Torwächter entgegen. Heimdall setzt bei der Verteidigung gegen Spam und Schadsoftware via E-Mail auf Schwarmintelligenz. Alle NoSpamProxy-Instanzen sammeln Informationen und tauschen ihre Aufzeichnungen untereinander aus, vor allem im Hinblick auf erkannte Bedrohungen und Anomalien.

Zusätzlich entstünden so neue Möglichkeiten zur mittel- und langfristigen Analyse und Auswertung von Angriffsformen und -mustern, heißt es seitens Net at Work. NoSpamProxy sammelt anonymisiert Links in E-Mails und Metadaten zu E-Mail-Anhängen von teilnehmenden Kunden in der in Deutschland gehosteten NoSpamProxy-Cloud. Was die Anhänge betrifft, speichert das Tool Metadaten wie Dateinamen, Dateigrößen, den SHA-256-Hashwert und den MIME-Typ.

Heimdall baut seine Abwehr auf zwei Pfeiler auf. Einerseits überwacht die Software den E-Mail-Verkehr aller angeschlossenen NoSpamProxy-Instanzen kontinuierlich in Echtzeit und schlägt bei verdächtigem oder bösartigem Verhalten Alarm. Zeitgleich erhalten alle angeschlossenen Instanzen ebenfalls eine Warnmeldung. Andererseits stehen den Instanzen auch automatisiert in die zentrale Datenbasis eingespielte Informationen anderer Hersteller zur Verfügung. NoSpamProxy tausche dazu Indikatoren für Schadwirkung (Indicators of Compromise) mit anderen Herstellern gezielt aus, heißt es.

Dabei handelt es nicht um alle gesammelten Metadaten, sondern nur die notwendigen Daten etwa Hashwerte von bösartigen Anhängen. Je mehr Kunden teilnähmen, desto schneller wirke die Schwarmintelligenz, erklären die Entwickler. Heimdall bewertet jedes eingereichte Set an Metadaten. Die Bewertung basiert auf einer Kette von Indizien, die der zweite Schutzmechanismus stetig erweitert. Er ergibt sich aus der übergreifenden Analyse der gesammelten Daten nach verdächtigen Trends und Anomalien.

Bereits in der Betaphase arbeitete Heimdall mit den Metadaten der E-Mail-Kommunikation von mehr als 250.000 Nutzern. Der zeitliche Verlauf dient hierbei als wesentlicher Indikator: Alle Abweichungen vom langfristigen Mittel sind lohnende Untersuchungsgebiete. Cyberkriminelle konzentrieren sich beispielsweise auf manche Top-Level-Domains. Entsprechend sind diese als etwas verdächtiger einzustufen.

„Um solche Sachverhalte erkennen zu können, sind große Mengen an realen Metadaten und modernste Analysetechniken notwendig. Mit Heimdall haben wir die Basis dafür geschaffen. Im Schwarm sind wir dem Gros der üblichen Cyberkriminellen deutlich überlegen“, berichtet Dr. Tim Lenzen, Data Analyst bei Net at Work. „Der explizite Fokus auf den deutschsprachigen Raum ermöglicht uns sehr präzise Analysen des Angriffsgeschehens.“

Heimdall lässt sich seit Version 13.0 von NoSpamProxy als Vorschau einsetzen und wird ab Version 14 zum Standardprodukt gehören. Seit Dezember 2019 läuft das Betaprogramm, zu dem Kunden sich registrieren können. Wer Genaueres über die Funktionsweise von Heimdall erfahren möchte, wird auf dem NoSpamProxy-Blog fündig.

(csc)