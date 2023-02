Angriffe über E-Mails sind immer noch einer der ertragreichsten Vektoren, wenn Hacker oder Pentester versuchen, in ein Unternehmen einzudringen. Aus den Reihen von White-Hat-Hackern heißt es daher auch immer wieder: Wenn gar nichts mehr geht, Phishing geht immer. Das Start-up Sublime-Security versucht nach einem Jahr in der privaten Beta, dieser Angriffe jetzt mit einem recht neuen Ansatz Herr zu werden: Mit einer kontrollierten E-Mail-Umgebung, die eine eigene Query-Sprache verwendet und ein Kollaborations-Framework bietet, über das Sicherheitsverantwortliche gemeinsame, aktuelle Erkennungsregeln entwickeln können.

Dafür sammelte das Unternehmen zuletzt annähernd zehn Millionen US-Dollar an Finanzierung ein. Aktuell kann das Framework in Microsoft 365 und Google Workspace integriert werden. Privatpersonen dürfen es kostenlos für ihre eigenen Mailboxen nutzen, sowie eigene Mailserver hosten. Von Sublime Security gehostete Mailserver (Sublime Cloud) kostet nach den ersten 10 Mailboxen allerdings etwas und Unternehmenskunden bezahlen ebenfalls, wenn sie Support und Monitoring für selbst gehostete Mailboxen haben möchten.

Phishing mit domainspezifischer Sprache aufhalten

Co-Gründer Josh Kamdjou war vor der Gründung von Sublime Security selbst ein White-Hat-Hacker. Als Pentester für das Verteidigungsministerium der Vereinigten Staaten machte er die Erfahrung, dass Phishing-Angriffe über E-Mail so gut wie immer funktionierten – selbst wiederholte, kaum abgeänderte Angriffe auf dasselbe Ziel: "Alles, was ich machen musste, war die Infrastruktur durchzuwechseln und die Ausweichmakros von Zeit zu Zeit anzupassen, aber das Verfahren ist über Jahre das gleiche geblieben. Es hat funktioniert. Jedes. Mal." Security-Teams, meint Kamdjou, stünden dem Problem beinahe hilflos gegenüber, weil sie selbst nicht die volle Kontrolle über die E-Mail-Umgebung hätten.

Sublime Security will das jetzt beheben: Das Unternehmen entwickelte im letzten Jahr eine universelle domainspezifische Sprache (DSL) namens Message Query Language (MQL), die über alle E-Mail-Provider hinweg funktionieren soll. Zweck von MQL ist es, Angriffsverhalten in E-Mails zu entdecken. Damit schlagen die Entwickler in dieselbe Kerbe wie YARA, Sigma und osquery. Erste Verhaltensregeln finden sich bereits auf der GitHub-Seite der Sprache, detaillierte Informationen sind in der entsprechenden Dokumentation zu finden.

Kollaboration als Antwort auf die rasende Angriffs-Evolution

Die gemeinsame Sprache bildet den Grundstein für den zweiten Ansatz, den Sublime zur Absicherung von E-Mails verfolgt: Eine Plattform, auf der Regeln für neue Bedrohungen geteilt werden und auf der das Projekt gemeinsam verbessert werden soll. MQL selbst war dabei bereits das Ergebnis eines Community-Projekts. Der universelle Anspruch der Sprache soll vor allen Dingen die schnelle Reaktion auf neue Angriffe – also die Entdeckung, die Entwicklung einer Verteidigung und deren schnelle Implementierung – ermöglichen.

Dabei gibt Kamdjou allerdings auch zu, dass bisher nur wenige Nutzer des Sublime-Frameworks tatsächlich auch aktiv zu dem Projekt beitragen. Dies würde den generellen Charakter der Infosec-Szene widerspiegeln: Die meisten sind stillschweigende Nutznießer, während der Löwenanteil der Arbeit von einigen wenigen geleistet werde. Er blickt dem aber zuversichtlich entgegen, denn das Volumen an (überzeugend) gefälschten E-Mails würde mit der Verfügbarkeit von künstlicher Intelligenz mit Sicherheit stark wachsen. Und je mehr Endnutzer davon betroffen wären, desto wahrscheinlicher sei es, dass diese sich Sublime zuwenden – und zur Plattform beitragen.

(kki)