Keine Zero Days mehr

von Christian Walter, swiss made software

31. August 2019 - Das ETH-Spinoff Xorlab will Cyberattacken stoppen, bevor sie ins Rollen kommen. Dafür wurde ein neues Verteidigungskonzept entwickelt.

Das Internet ist ein gefährliches Pflaster. Das ist nicht neu. Was sich aber ändert, ist die Art der Gefahren. Statt normierten Massenangriffen werden die Attacken gezielter. Dies erfordert ein neues Verteidigungskonzept. "Klassische Sicherheitsanbieter setzen auf eine breite Kundenbasis. Erfolgt ein Angriff, analysieren sie die ersten Opfer und impfen dann den Rest. Dabei bleibt ‹Patient Zero› auf der Strecke", so Adrian Kyburz, Head Business Development bei Xorlab. Das ETH-Spin-off verfolgt einen anderen Ansatz und sieht sich damit als Teil einer neuen Generation von Sicherheit­sunternehmen.

"Wir wollen nicht nur bekannte Angriffe stoppen. Wir bieten Sicherheit vor Angriffen, die noch nicht dokumentiert sind", erläutert Kyburz. Damit meint er vor allem Zero Day Exploits sowie massgeschneiderte Phishing-Attacken, ohne allerdings klassische Mail-Gateway-Funktionen wie Spam oder Content Filtering zu vernachlässigen.

Xorlab ist damit gleichzeitig Boutique und massenkompatibel. Boutique, da Zero Days genauso selten wie gefährlich sind und massenkompatibel, da selbst mass­geschneiderte Phishing-Attacken mit den entsprechenden Darknet-Tools heute automatisiert werden können.


Schlauer als die Malware

Angefangen hat die Xorlab-Geschichte 2015, als die Gründer Matthias Ganz und Antonio Barresi einen Emulator entwickelten, um sich mit dem Problem der Zero Days auseinanderzusetzen. Hierbei wird Malware in einer virtualisierten Umgebung getestet, so dass sie keinen Schaden anrichten kann, wenn sich der Verdacht bestätigt. Das ist nicht neu. Allerdings gibt es mittlerweile Malware, die merkt, wenn sie in einer Sandbox läuft und deshalb stillhält. Xorlabs Ansatz ist anders: Anstatt die Ausführung des Schadcodes beispielsweise in Excel zuzulassen und die Ergebnisse auszuwerten, wird die Software in der Sandbox neu kompiliert, aber mit zusätzlichen internen Checks versehen.

Ein elektronischer Stromkreis ist dafür ein gutes Bild: Jeder Prozess hat eine "richtige" Schaltung – es werden die gleichen Verbindungen geschlossen. Schadcode hingegen tut nur oberflächlich so, schaltet intern aber andere Verbindungen. Xorlab merkt das und stoppt den Angriff, bevor er beginnt.

Mit dieser Lösung konnten Kunden wie Julius Bär gewonnen werden. Schnell stellte sich dann die Frage, ob sich die hauseigene Philosophie auch auf andere Probleme anwenden liesse, wie zum Beispiel Makro-basierte Angriffe oder personalisierte Phishing-Attacken.

Dieser Anspruch kombiniert mit der wachsenden Sensibilisierung der Nutzer auf verdächtige E-Mails bildete das Fundament für den Schritt vom Mail-Gateway zur vollumfänglichen E-Mail-Security-Plattform. "Viele Unternehmen haben im Mail Client mittlerweile einen Meldebutton für verdächtige Mails. Der Nutzer klickt darauf, wenn ihm ein Mail verdächtig vorkommt." Doch damit stieg auch das Volumen der gemeldeten Mails.


Sensibilisierung heisst Mehraufwand

Gemäss Gartners "Fighting Phishing – 2020 Foresight" steigt durch die Einführung eines solchen Buttons die Anzahl als gefährlich gemeldeter Mails um den Faktor acht. Bei 5000 Mitarbeitern also von 500 auf 4000 Mails im Monat. Zwar sind hier 80 bis 90 Prozent harmlos, sie müssen aber trotzdem geprüft werden. Dazu Adrian Kyburz: "Gemäss unseren Kunden liegt der Prüfaufwand je Mail bei etwa zwei Minuten – also etwa 133 Stunden oder etwas mehr als einer Arbeitswoche im Monat. Das können wir abfangen".

Und das Interesse scheint da zu sein. "Wir starten jetzt ein Projekt mit einer Grossbank", so Kyburz. Nicht schlecht für ein Start-up mit neun Mitarbeitern, das seit 2015 am Markt ist. Xorlab will jetzt den Fokus aufs Wachstum legen. Kapital ist vorhanden: Im letzten Jahr konnten 1,9 Millionen Franken von Schweizer Investoren aufgenommen werden. Jetzt gilt es, den nächsten Schritt zu machen.

Copyright by Swiss IT Media 2019