ATP im Detail: Freezing

Geschätzte Lesedauer: < 1 min

Verdächtige E-Mails werden kurz „eingefroren“ was man allgemein als Freezing bezeichnet. Dabei erhalten die Filtersysteme ein größeres Zeitfenster, denn nach Ablauf der Freezings wird dann ein erneuter Scan mit aktualisierten Signaturen und Fingerprints durchgeführt.

E-Mails die Eingefroren wurden lassen sich in wenigen Minuten in einer Sandbox einer genaueren Untersuchung unterziehen und mit einer MD5-Prüfsumme versehen. Diese gleicht dann „eingefrorene“ E-Mails mit gleicher Art ab. Durch das Freezing-Verfahren kann man sogar Rückschlüsse auf die Intention des Absenders durch Indizien wie eine hohe Frequenz und große Summen von Empfängern feststellen.

War dieser Artikel hilfreich?
Dislike 0
Views: 9