Anti-Spam-Cloud: Projekt Heimdall gegen Cyberattacken

Mit dem Projekt Heimdall, einer Anti-Spam-Cloud, möchte Net at Work Cyberkriminellen einen KI- sowie Big Data-basierten Service vorstellen, der zur Verteidigung auf Schwarmintelligenz setzt. Durch teilnehmende NoSpamProxy-Kundinnen und –Kunden können schon jetzt, während der Beta-Phase, Metadaten gesammelt und ausgewertet werden, sodass ein proaktiver Schutz vor Phishing, Spam und weiteren Bedrohungen entsteht. Wie das Projekt Heimdall die Spam-Rate senken möchte, erklären wir im heutigen Beitrag.

Anti-Spam-Cloud: Das Projekt Heimdall

Das Paderborner Unternehmen Net at Work ist der Entwickler der Secure-E-Mail-Gateway-Lösung NoSpamProxy. Mit dem Projekt Heimdall, aktuell in der Beta-Phase befindlich, stellt Net at Work eine recht neue Form intelligenter Spam-Abwehr vor: Mit Schwarmintelligenz sollen schnelle Reaktionen auf Bedrohungen wie Spam oder Schadsoftware möglich sein.

Anti-Spam-Cloud mit Schwarmintelligenz

Bereits seit Ende 2019 ist Projekt Heimdall als Beta in NoSpamProxy inklusive, ab Version 14 soll Heimdall fester Bestandteil sein. In der Zwischenzeit existieren immer mehr NoSpamProxy-Instanzen, die der Anti-Spam-Cloud dienlich sind: NoSpamProxy sammelt in anonymisierter Form Links aus den E-Mails, außerdem Metadaten zu den Anhängen der Teilnehmenden. Dies geschieht DSGVO-konform und ausschließlich nach Zustimmung der Nutzenden. Wie im NoSpamProxy-Blog berichtet wird, „werden der Dateiname, Dateigrößen, der SHA-256-Hashwert, der MIME-Typ (wie durch NoSpamProxy erkannt) sowie die Transaktions-ID erfasst.“

Auch das Ziel, das mit dem Projekt Heimdall angestrebt wird, wird in diesem Beitrag klar: „Das Ziel von Projekt Heimdall ist der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann.“

Heimdall soll zweifach schützen

Der E-Mail-Verkehr sämtlicher angeschlossenen NoSpamProxy-Instanzen wird in Echtzeit analysiert; verdächtiges oder gar bösartiges Verhalten direkt signalisiert. Werden Links oder Anhänge als bösartig erkannt, so ist diese Information sofort für alle integrierten Instanzen erkennbar. Dieser interne Austausch ist nicht alles, sondern Net at Work spielt Informationen anderer Hersteller in die zentrale Datenbasis, sodass Nutzer*innen auch von diesen profitieren. Dafür werden sogenannte IOCs (Indicators of Compromise; Indikatoren für Schadwirkung) mit anderen Herstellern gezielt ausgetauscht. Klar: Je mehr Teilnehmer*innen sich an Heimdall beteiligen, umso zügiger kann die Schwarmintelligenz zu wirken beginnen.

Der zweite Schutzmechanismus ergibt sich aus der Analyse gesammelter Daten nach verdächtig anmutenden Trends oder Anomalien. Ein Beispiel soll dies verdeutlichen: Neue Domains, die erstmalig genutzt werden sollen und als Zero-Day-Domain bezeichnet werden, lassen sich durch das Auswerten von nutzerübergreifenden, langfristigen Bildern des E-Mail-Aufkommens sicher als solche erkennen. Bisherige Analysen zeigten bereits, dass solche Zero-Day-Domains gerne für kurze, aber sehr massive Phishing-Attacken missbraucht werden. Der Schwarmansatz sowie entsprechende Metriken erlauben es, dass Heimdall derartige Attacken schon zu Beginn erkennt und sämtliche angeschlossenen Instanzen automatisiert warnen kann.

Mit der Anti-Spam-Cloud zur intelligenten E-Mail-Sicherheit

Im NoSpamProxy-Blog wird regelmäßig zu Projekt Heimdall berichtet. So wurden die hauseigenen Security-Experten darauf aufmerksam, dass Heimdall ein erhöhtes Aufkommen an Phishing-Angriffen zu verzeichnen hatte, die den URL-Shortener bit.ly nutzten.

Auch dass der gefürchtete Trojaner Emotet nun verschlüsselte Archivformate für seine Verbreitung nutzt, konnte mit Heimdall zügig erkannt werden, wie in diesem Blogbeitrag dargelegt wird. Das Gefährliche an Emotet ist seine Wandelbarkeit: Der Trojaner nutzt immer neue Verbreitungswege und schon oft gelang es den Emotet-Machern, einfache Schutzmechanismen gängiger Malware-Erkennungsprogramme auszuhebeln. Der oben verlinkte Blogbeitrag zeigt anhand von Grafiken sehr anschaulich, wie Heimdall arbeitet und wie die gesammelten Informationen allen NoSpamProxy-Instanzen in Echtzeit zugutekommen.

Anti-Spam-Cloud und Schwarmintelligenz: Die Zukunft?

Beim Projekt Heimdall wird auf KI gesetzt – ein Trend, der zweifelsohne Zukunft hat in der Malware-Erkennung und im Umgang mit Spam. Doch auch die Schwarmintelligenz ist eine der Stärken von Heimdall: Die DSGVO-konforme, freiwillige und anonymisierte Echtzeit-Analyse erlaubt das sofortige Erkennen jedweder Auffälligkeiten. Da alle freiwillig teilnehmenden NoSpamProxy-Instanzen angeschlossen sind, gibt es eine riesige Datenmenge, die analysiert wird – und so zu aussagekräftigen Ergebnissen führen kann. Jedem einzelnen Nutzenden ist geholfen, bei etwaigen Auffälligkeiten werden Nutzende automatisiert gewarnt.

In einer Zeit, in der ohnehin jeder mit allem vernetzt ist (oder dies in absehbarer Zukunft womöglich sein wird), erscheint eben dieser Ansatz sehr sinnvoll: Auffälligkeiten und Abweichungen von der Norm können sehr zügig aufgespürt werden. Dies spendiert nicht nur einzelnen Teilnehmenden Handlungsspielraum, sondern schafft – nicht zuletzt durch den Austausch mit anderen Herstellern – eine sicherere Basis, von der jede/r Internetnutzer*in profitiert.