Dateianhänge werden in einer Vielzahl verschiedener Systemumgebungen ausgeführt und ihr Verhalten analysiert. Stellt sich heraus, dass es sich um Malware handelt, werden die E-Mails in die Quarantäne verschoben und das IT-Sicherheitsteam des Unternehmens benachrichtigt. Diese Engine schützt insbesondere vor Angriffen mit Ransomware und Blended Attacks.

Die URL Rewriting Engine sichert alle Internet-Aufrufe aus E-Mails heraus über die Hornetsecurity Webfilter ab. Dabei werden auch Downloads über die Sandbox Engine analysiert.

An eine E-Mail angehängte Dokumente (z.B. PDF, Microsoft Word oder Excel) können Links enthalten. Diese können jedoch nicht ersetzt werden, da dies die Integrität des Dokumentes verletzen würde. Die Hornetsecurity URL Scanning Engine belässt das Dokument in seiner Originalform und prüft ausschließlich das Ziel dieser Links.

Nicht sofort eindeutig klassifizierbare, aber verdächtige E-Mails werden per Freezing über einen kurzen Zeitraum zurückgehalten. Anschließend erfolgt eine erneute Prüfung mit aktualisierten Signaturen. Dies ermöglicht den Schutz vor allem vor Ransomware, Blended Attacks und Phishing.

Die Targeted Fraud Forensic Engines erkennen gezielte personalisierte Angriffe ohne Malware oder Links. Dabei kommen folgende Erkennungsmechanismen zum Einsatz:

• Intention Recognition System: Alarmierung bei Inhaltsmustern, die auf bösartige Absichten schließen lassen
• Fraud Attempt Analysis: Prüft die Authentizität und Integrität von Metadaten und Mailinhalten
• Identity Spoofing Recognition: Erkennung und Blockierung gefälschter Absender-Identitäten
• Spy-Out Detection: Spionageabwehr von Attacken zur Erlangung schützenswerter Informationen
• Feign Facts Identification: identitätsunabhängige Inhaltsanalyse zur Identifizierung von Nachrichten, die den Empfänger durch Vorspiegelung fingierter Tatsachen zu bestimmten Aktionen bewegen möchten
• Targeted Attack Detection: Erkennung gezielter Angriffe auf einzelne Personen

Stellt sich im Nachhinein heraus, dass eine bereits zugestellte E-Mail doch als potentiell schädlich eingestuft werden muss, erhält das IT-Sicherheitsteam eines Unternehmens sofort nach Bekanntwerden eine Benachrichtigung über Ausmaß und mögliche Gegenmaßnahmen. Dadurch ist eine rasche Eindämmung einer Gefahrenlage möglich.

Eine weitere wichtige Funktion von Hornetsecurity ATP ist die Benachrichtigungsfunktion: Die sogenannten Real Time Alerts informieren Unternehmen in Echtzeit über erfolgte, akute Angriffe und ermöglichen so eine schnelle Einleitung weiterer interner Maßnahmen und juristischer Vorgehensweisen. Hierfür liefert das Benachrichtigungssystem detaillierte Analyseergebnisse. Gleichzeitig können die Sicherheitsbeauftragten der Unternehmen die betroffenen Mitarbeiter sensibilisieren, um weitere Angriffswege per Telefon oder Fax zu erkennen.