Ein Schwerpunkt von "Kaspersky Anti Targeted Attack 8.0" liegt laut Anbieter auf neuen Funktionen, um die Bedrohungserkennung zu verbessern und gleichzeitig Alarmmüdigkeit zu reduzieren. Eine neue Anomalie-Erkennung soll verdächtiges Verhalten im Netzwerk identifizieren, indem sie zentrale, in Angriffen häufig missbrauchte Protokolle wie DNS, HTTP und Kerberos analysiert. Statt den gesamten Datenverkehr vollständig zu prüfen, konzentriert sich die Technologie auf protokollspezifische Abweichungen und berücksichtigt Infrastruktur sowie Nutzungsprofile der jeweiligen Organisation. Das soll die Genauigkeit erhöhen und Fehlalarme verringern.

Zusätzliche Transparenz schaffe will die Erkennung von Schatten-IT, die die Nutzung nicht autorisierter öffentlicher Dienste sichtbar macht. Dafür unterstützt die Plattform gemäß Kspersky mehr als 5000 externe Services, darunter gängige Cloud-Storage- und Kollaborationsplattformen. Security-Teams erhielten so einen besseren Überblick über Datenflüsse im Netzwerk und mehr Kontrolle über unternehmensinterne Datenflüsse.

Für tiefergehende Untersuchungen ermöglicht Kaspersky Anti Targeted Attack 8.0 außerdem die nachträgliche Analyse von bereitgestellten Traffic-Kopien. PCAP-Dateien lassen sich manuell oder automatisiert aus anderen Security-Systemen übergeben und anschließend mit aktuellen Erkennungsregeln über mehrere Engines hinweg prüfen, einschließlich Anti-Malware, Sandbox und IDS. Das soll rückblickende Untersuchungen ereichtern, etwa um Bedrohungen aufzudecken, die zum Zeitpunkt eines Vorfalls noch unentdeckt geblieben sind.

Ergänzend kann die Plattform nun sämtliche relevanten Indikatoren aus dem Netzwerkverkehr erfassen – einschließlich Dateinamen, URLs, Hashes sowie jenen von sicheren Objekten –, um Analysten dabei zu unterstützen, potenziell kompromittierte Nutzer und verdächtige Aktivitäten auch dann zu erkennen, wenn Inhalte zunächst als unkritisch eingestuft werden.