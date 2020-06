Bedrohungen richtig einordnen

Die neue Threat-Intelligence-Lösung "Kaspersky Threat Attribution Engine" soll Security-Operations-Center-Analysten und Incident-Response-Experten dabei helfen, neue Malware-Samples bereits bekannten APT-Gruppen zuzuordnen. Mithilfe proprietärer Methodik gleicht die Neuvorstellung den identifizierten schädlichen Code mit einer der größten Malware-Datenbanken der Branche ab und ordnet ihn auf Grundlage der festgestellten Ähnlichkeiten einer APT-Gruppe oder Kampagne zu.

Um festzustellen, ob eine akute Bedrohung mit einer bekannten APT-Gruppe oder -Kampagne in Verbindung steht und um welche es sich dabei handelt, zerlegt die "Kaspersky Threat Attribution Engine" [1] eine neu gefundene bösartige Datei automatisiert in binäre Kleinsteile. Im Anschluss vergleicht sie diese mit den bereits dokumentierten 60.000 APT-bezogenen Dateien. Für eine genauere Attribution bezieht die Lösung darüber hinaus eine umfangreiche Datenbank mit Dateien auf der Whitelist mit ein. Dadurch wird die Qualität der Malware-Klassifizierung und -Identifizierung von Angriffen laut Abbieter verbessert und die Reaktion auf Vorfälle erleichtert.



Je nachdem, wie sehr eine analysierte Datei den dokumentierten Beispielen in der Datenbank ähnelt, berechnet das Werkzeug ihren Reputationswert, benennt die mögliche Herkunft und den Angreifer mit einer Kurzbeschreibung. Darüber hinaus werden Links zu privaten und öffentlichen Informationen über bereits bestehende Kampagnen gleicher Art zur Verfügung gestellt. Abonnenten erhalten zudem einen dedizierten Report mit weiteren Informationen zu Taktiken, Techniken und Verfahren des identifizierten Bedrohungsakteurs sowie weiterer Schritte, um auf eine entsprechende Attacke zu reagieren. Kaspersky Threat Attribution Engine ist so konzipiert, dass sie sich direkt im Netzwerk eines Unternehmens und nicht in einer Cloudumgebung eines Drittanbieters einsetzen lässt.