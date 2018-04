Um im ständigen Wettrennen mit Malware-Autoren, Hackern und Cyberkriminellen nicht hoffnungslos ins Hintertreffen zu geraten, brauchen Firmen nach Ansicht von Bill Conner, CEO bei SonicWall, einen glaubwürdigen, konsistenten und flexibel verwertbaren Strom an Cyber Threat Intelligence - also Informationen, die ihnen helfen, die Lage einzuschätzen und angemessen zu reagieren. Dazu wiederum ist seiner Ansicht nach eine Kombination aus Maschinenlernen, der Weitergabe von Wissen um neue und bevorstehende Gefahren, sowie den Informationen der in Unternehmen vorhandenen Security-Produkte erforderlich.

Das sind nach Ansicht von SonicWall-Chef Conner im Idealfall natürlich die hauseigenen Hardware-Appliances, virtuellen Appliances oder die Client-Software. Sie alle können nun über die Cloud-Plattform SonicWall Capture verwaltet werden. Außerdem dient SonicWall Capture - wie der Name schon nahelegt - auch dazu, ansonsten verteilte Informationen zusammenzuführen, zu analysieren und aufzubereiten.

Steigenden Bedarf für derart umfassende Security-Lösungen sieht Conner im Gespräch mit ChannelPartner verstärkt bei KMU. Das habe gleich mehrere Gründe. "Der Cyberkrieg hat auch kleine und mittlere Unternehmen erreicht", nennt Conner einen davon. Niemand könne sich mehr für zu unbedeutend halten, angegriffen zu werden. Als Beleg verweist er auf den aktuellen Quartalsbericht der hauseigenen Security-Forscher. Demnach hat die Anzahl der von SonicWall-Systemen in dem Umfeld registrieren Malware-Attacken gegenüber dem ersten Quartal 2017 um 250 Prozent zugenommen. Das liegt deutlich über dem weltweiten Durchschnitt. Deutlich darunter liegt die Zunahme der Ransomware-Angriffe. Sie haben sich im Vergleich zum Vorjahr dennoch mehr als verdoppelt.

Der zweite Grund hängt eng mit dem ersten zusammen: Gerade in KMU fehlen Zeit und Expertise, um sich mit der Vielzahl der Attacken sach- und fachgerecht auseinandersetzen zu können. Über 7700 seien das in einem durchschnittlichen mittelständischen Unternehmen pro Quartal. Also, so Conner, brauchen diese Firmen Systeme, die Aufgaben abnehmen, kombinieren und koordinieren.

Und diese Systeme müssten inzwischen auch im Mittelstand hohen Anforderungen genügen, denn ausgefeilte Attacken nähmen rasant zu. Als Beispiel dafür nennt Conner Malware, die verschlüsselt mit dem Kontrollserver kommuniziert. "Seit die bösen Jungs Zertifikate ohne Identitätsnachweis bei Let´s Encrypt bekommen können, ist die Hürde für sie dafür ausgesprochen gering."

Konkurrierende Cloud-Plattformen nur "rudimentär"

Auf andere Cloud-Plattformen von Security Anbietern wie Sophos, Fortinet oder McAfee angesprochen, reagiert Conner unwirsch. Zwar kenne er die nicht alle im Detail, sie seien aber höchstens "rudimentär". Die Plattform von SonicWall hebe sich aufgrund ihrer langen Vorgeschichte und der umfangreichen Eigenentwicklungen auch deshalb von ihnen ab, weil sie nicht nur die Verwaltung von Einzelprodukten erlaube, sondern ein umfassendes Security-Konzept und -Management biete.

Dabei trägt SonicWall auch den Bedenken deutscher und europäischer Kunden Rechnung. "Selbstverständlich" habe man eine Cloud-Instanz in einem Rechenzentrum in Deutschland laufen. Kunden müssten also nicht befürchten, dass die Daten ihrer Security-Systeme den EU-Raum verlassen. Und sie könnten darüber hinaus noch festlegen, was überhaupt übertragen wird. Die umfangreiche Partnerbasis, um die sich seit Sommer 2017 als Michael Berg als Senior Director Channel Sales kümmert, und deren Beziehungen zu den Kunden, schaffe ebenfalls Vertrauen.

"Der Arbeitsspeicher ist das nächste große Schlachtfeld"

Aber Conner nennt auch einige ganz handfeste, technische Gründe, warum er sein Unternehmen im Vorteil sieht. Besondere Trumpfkarte sei hier die zum Patent angemeldeten Technologie SonicWall Real-Time Deep Memory Inspection (RTDMI). Sie bietet Schutz vor infizierten PDF- und Microsoft-Office-Dateien. Ebenfalls hervorzuheben ist laut Conner der Sandbox-Service Advanced Threat Protection (ATP), der ein Kernbestandteil der SonicWall Capture Cloud-Plattform ist.

Lesetipp: Experte: "Spectre" und "Meltdown" erst der Anfang

"Der Arbeitsspeicher ist das nächste große Schlachtfeld, auf dem Unternehmen Cyberkriminelle bekämpfen müssen. Ansonsten bleibt ein entscheidender Angriffsvektor für moderne Cyberattacken offen", so Conner auch in Hinblick auf die Spectre und Meltdown genannten, hardwarenahen Sicherheitslücken. Damit steht der Manager nicht alleine. Unabhängige Experten haben bereits Befürchtungen geäußert, dass künftig weitere, ähnliche Schwachstellen aufgedeckt werden, Hersteller sehen eine grundsätzliche Problematik beim Kampf gegen solche Lücken gerade in KMU.

Auf diesem Schlachtfeld will SonicWall mit RTDMI siegreich bleiben. Es ist Teil des Sandbox-Dienstes SonicWall Capture ATP identifiziert und blockiert auch Malware, die zunächst kein gefährliches Verhalten zeigt oder sich per Verschlüsselung tarnt. Doch auch sie ist spätestens im Speicher gezeungen, ihre wahren Absichten preiszugeben. Dort greift dann RTDMI und kann laut SonicWall Zero-Day-Exploits ebenso wie unbekannten Schadcode abwehren.

Kooperation mit Sentinal One: SonicWall Capture Client

Ein weiteres Differenzierungsmerkmal von SonicWall ist aus der im September 2017 bekanntgegebenPartnerschaft mit Sentinel One hervorgegangen. Mit dem SonicWall Capture Client bietet der Hersteller nun auch Software zum Schutz von Endgeräten an. Besonderheit ist die Fähigkeit, auf frühere Systemzustände zurückzugehen (Rollback). Das sieht Conner gerade in KMU als probates Mittel, um Ransomware-Angriffe abzuwehren.

Lesetipp: SonicWall führt neues MSSP-Programm ein

Die im Februar 2018 vorgestellte RTDMI-Technologie wird von der SonicWall Capture Cloud genutzt, um Cybergefahren wie Speicher-basierte Angriffe zu identifizieren und abzuwehren. Sie erkennt und blockiert unbekannte, auf möglichst breite Verbreitung ausgelegte Malware - einschließlich schädlicher PDF- und Microsoft Office-Dateien - in Echtzeit.

Als Bestandteil des Sandbox-Dienstes SonicWall Capture ATP identifiziert und blockiert RTDMI auch Malware, die kein schädliches Verhalten zeigt oder sich per Verschlüsselung maskiert. Da diese gezwungen wird, sich im Speicher zu enttarnen, kann RTDMI sowohl Zero-Day-Exploits als auch unbekannten Schadcode proaktiv abwehren. Dazu nutzt sie Speicher-basierte Inspection-Techniken. RTDMI analysiert auch Dateien dynamisch über eine proprietäre Exploit Detection-Technologie in Kombination mit Static Inspection.

Weitere, kommende SonicWall-Produkte

Neben der Capture Cloud Platform hat das Unternehmen auch eine Reihe als virtueller Appliances konzipierter Firewalls angekündigt und Aktualisierungen für seine Firewalls vorgestellt. Auch eine Web Application Firewall (WAF) erweitert demnächst das Portfolio. Sie basiert auf älteren SonicWall-Produkten, wurde aber entsprechend erweitert, damit das Unternehmen auch ein Angebot für das Marktsegment CASB (Cloud Access Security Broker) hat. Darin zusammengefasst Anbieter werden derzeit hoch bewertet, weil sie den Zugriff auf die zunehmende Zahl in Firmen genutzter Cloud-Dienste absichern können - und zwar nicht nur den Zugriff aus dem Firmennetzwerk heraus, sondern auch von mobilen Geräten.

Diesbezüglich hatte sich zuletzt McAfee im November 2017 mit der Übernahme von Skyhigh Networks verstärkt. Ein Kaufbetrag wurde nicht genannt, Beobachter schätzten ihn jedoch auf einen sehr hohen dreistelligen Millionenbetrag. Symantec ist in dem Segment seit der Übernahme von Blue Coat im November 2015 vertreten, Cisco seit Sommer 2016 durch den Kauf von CloudLock.