Email-Security – ein zielgerichteter Angriffsvektor bei welchem traditionelle Lösungen oft scheitern

Doch warum scheitern traditionelle Plattformen hier? Wahrscheinlich daher, dass es zunehmend unmöglich ist, die kommenden Schritte eines zielgerichteten Angriffes auf Grundlage eines vergangenen Angriffsvektors vorherzusehen. Doch was können wir stattdessen tun? Wir sollten unser eigenes Umfeld wohl am besten kennen, mit diesem Wissen ist es am effektivsten, die Angriffsfläche zu minimieren. xorlab ActiveGuard setzt genau hier mit dem Trust-Model und dem Ansatz des proaktiven Mail-Security an, indem es diesen Vektor kennenlernt und minimiert. Jedes Mail, welches über die Plattform läuft, schult die Vertrauensstellung zwischen den beiden Parteien und es lernt die Beziehungen zwischen den kommunizierenden Unternehmen und sogar zwischen den einzelnen dedizierten Personen, welche sich miteinander austauschen.

Impersonation Attacken oder «die Chef-Masche» (www.tec-bite.ch/die-chef-masche-was-man-gegen-spoofing-mails-machen-kann/), in der man sich die Identität eines VIPs wie z.B. des CEOs oder des CFOs zu eigen macht und so zum Beispiel Zahlungsanweisungen vermeintlich in Auftrag gibt, sind keine Seltenheit. Insbesondere dann, wenn auf der Firmen-Webseite diese Informationen bestens zugänglich gemacht werden. Traditionelle Plattformen scheitern hier daran, da Sie die Relation oft nicht verstehen – denn sind wir mal ehrlich, aus Sicht dieser Plattform ist die Mail als solches ja nicht mit schadhaftem Content befüllt, sondern mit validem Text-Inhalt. Doch eine falsche Zahlung ist und bleibt schadhaft, auch wenn es sich nicht um Malware als solches handelt. Bei ActiveGuard von xorlab können wir unsere High Value Targets genau definieren und entsprechende Listen befüllen. Sollte sich dann der CEO von extern an die Sekretärin wenden, fällt es der Plattform unmittelbar auf und wird dieses Mail entsprechend behandeln.

Neben dem eigentlichen Mail hat sich das Mail-Protokoll als «easy to use» jeher bewährt, wofür es ursprünglich nicht primär vorgesehen war – nämlich um den Austausch von Dokumenten zu bewerkstelligen. Auch wohlbekannt ist, dass angefügte Anhänge oder beigefügte Links schadhaften Content enthalten können. Dokumentbasierte Angriffe stellen sich dabei als eine besondere Herausforderung dar. Virenprüfung anhand von Signaturen, eine Advanced Threat Protection, welche Malware versucht dynamisch zu erkennen oder eine Sandbox, welche den Anhang tatsächlich ausführt und den Output auswertet, bietet heutzutage eigentlich jede Lösung und ist quasi ein Must-Have.

ActiveGuard versteht anhand seines Trust-Models jedoch noch den Kontext und ist so in der Lage feingranulare Entscheidungen zu treffen. Verschlüsselte Anhänge kann die Plattform ebenfalls erkennen und versucht, diese zu entschlüsseln. Das ist in der Hinsicht noch nicht so revolutionär – denn mittels eines Passwort-Wörterbuchs versuchen dies auch viele andere Lösungen. Oft ist das Passwort doch komplexer und vom Absender (speziell, wenn es sich um einen Angriff handelt) im Mail-Body als Klartext oder in einem Screenshot angefügt. ActiveGuard versucht ebenfalls aus dem Mail-Body dieses Passwort zu evaluieren und den Anhang damit zu entschlüsseln und inspizieren.

xorlab läuft in einem Docker-Container auf einem Linux Derivat und bietet so vollste Flexibilität bei der Implementation und dem Betrieb, gepaart mit einem zukunftsweisenden Container-Virtualisierungsansatz. Da ActiveGuard auf den wohlbewährten und weitverbreiteten Postfix Mail Transfer Agent (MTA) setzt, kann schnell und einfach eine nach den eigenen Bedürfnissen zugeschnittene Integration in den Mailflow erfolgen.

So ist zum Beispiel bei der AVANTEC als zentraler Bestandteil bei der Mail-Integration, eine Sternanbindung mit anderen MTAs möglich – das bedeutet, dass Mails bei ActiveGuard angenommen werden, diese zu einem weiteren MTA weitergeleitet werden und anschliessend dieser das Mail zurück an ActiveGuard sendet. So erfolgt in der Regel eine schlagfertige Anbindung mit einem Mailverschlüsselungsgateway wie SEPPmail und bietet auch den Vorteil, dass PGP oder S/MIME verschlüsselte Mails gleich wie nicht verschlüsselte Mails analysiert werden können

Sie werden schnell im Internet fündig werden und erkennen, dass xorlab ein junges Schweizer Startup aus dem Jahre 2015 ist und aus einem ETH-Spinoff entstanden ist. Der Fokus lag in den letzten Jahren sehr auf dem Feature-Set, weshalb heute noch viel auf CLI und Expert-Level in Code konfiguriert werden muss.

Doch meine Erfahrungen mit xorlab in den letzten beiden Jahren ist, dass es nur noch eine Frage der Zeit ist, bis das Produkt eine schlagfertige GUI zur Konfiguration bietet. Es hat sich gezeigt, dass xorlab schnell und flexibel auf die Bedürfnisse der Kunden eingeht und so Features entwickelt und weiterentwickelt, wohingegen traditionelle Anbieter auf Feature Requests deutlich träger reagieren. Vielleicht fehlt an der Oberfläche noch etwas der Feinschliff, aber ich bin der Überzeugung, dass dieser kommen wird.