Meldung

Transparente Angriffe

Mit neuen Versionen von "Endpoint Detection and Response" und "Anti Targeted Attack Platform" bietet Kaspersky Lab neue Funktionen zur Vereinfachung von Ermittlungssprozessen sowie eine Erweiterung des Threat Huntings. Ergänzt um eine neue, von Kaspersky-Experten angelegte und verwaltete Datenbank mit Angriffsindikatoren versprechen beide Produkte zusätzlichen Kontext für die Untersuchung cyberkrimineller Aktivitäten.
Cybervorfälle im Zusammenhang mit komplexen Bedrohungen können erhebliche Auswirkungen auf Unternehmen haben: Kosten für die Reaktion darauf und prozessuale Wiederherstellungsaktivitäten, die Notwendigkeit, in neue Systeme oder Prozesse zu investieren, die Auswirkungen auf die betriebliche Verfügbarkeit oder gar die Schädigung der eigenen Reputation.

Die Produkte "Endpoint Detection and Response" (EDR) und "Anti Targeted Attack" von Kaspersky Lab [1] verfügen über Funktionen zur Analyse möglicher Kompromitierungsindikatoren (Indicators of Compromise, IoCs) wie etwa Hash, Dateiname, Pfad, IP-Adresse oder URL. Zusätzlich bieten neue Funktionen zur Identifizierung von Angriffsindikatoren die Möglichkeit, Taktiken und Techniken der Angreifer zu erkennen – unabhängig von der Malware oder legitimen Software, die bei der Attacke verwendet wurde.

Um den Prozess bei der Untersuchung der Telemetrie mehrerer Endpunkte zu vereinfachen, werden Sicherheitsvorfälle mit den Angriffsindikatoren (Indicators of Attack, IoAs) von Kaspersky Lab in Beziehung gesetzt. Im Fall eines IoA-Matchs erscheinen in der Benutzeroberfläche detaillierte Beschreibungen und Empfehlungen zur optimalen Reaktion auf den Angriff.

Kunden können darüber hinaus eigene IoA-Sets – basierend auf ihren internen Erfahrungswerten, dem Wissen über die wichtigsten Bedrohungen und die Spezifika ihrer eigenen IT-Umgebung, erstellen. Alle neuen Vorfälle werden automatisch und in Echtzeit mit der internen Datenbank der Angriffsindikatoren abgeglichen. Dies ermöglicht – mit Rücksicht auf die Besonderheiten der geschützten Infrastruktur – das unmittelbare, auf fundierten Daten basierenden Ergreifen reaktiver Maßnahmen und langfristige Erkennungsszenarien.

Anbindung an MITRE ATT&CK-Wissensdatenbank

Kaspersky EDR, die Kaspersky Anti Targeted Attack Platform und MITRE ATT&CK, eine weltweit zugängliche Wissensdatenbank gesammelter, auf realen Beobachtungen basierender Kompromitierungstaktiken und -techniken, sollen es Unternehmen ermöglichen, Angriffe effizienter zu analysieren und zu bewerten.

Neu entdeckte Bedrohungen werden automatisch in die Wissensdatenbank aufgenommen und umgehend mit Daten zu externer Intelligence- und Angriffstechniken in Beziehung gesetzt. Denn ein tiefgreifendes Verständnis von Angriffen reduziert zukünftige Risiken und hilft Sicherheitsteams dabei, die Zeit zur Analyse und Reaktion auf Bedrohungen zu verkürzen.

Diese erweiterte Funktionalität ist auch für Unternehmen verfügbar, die Cybersicherheitsüberwachung und -management anbieten. Dabei ermöglicht die neue, mandantenfähige Architektur Managed Security Services Providern (MSSPs), die Infrastruktur mehrerer Clients gleichzeitig zu schützen.
6.06.2019/dr

Tipps & Tools

Sichere RFID-Geldbörse [15.06.2019]

Das ungewollte Auslesen von Chipsätzen auf Basis von NFC- oder RFID-Technologie stellt eine reale Gefahr da. Um hier für mehr Sicherheit zu sorgen, können Sie mit dem praktischen Kartenetui alle Ihre wichtigen Träger von Informationen wie Personalausweis oder Kreditkarten von der Außenwelt abschotten. Insgesamt lassen sich bis zu 15 Karten in dem Portemonnaie aus leichtem Carbon-Material unterbringen. [mehr]

Ausnahmen in Windows Defender setzen [7.06.2019]

Das Verwalten von Dateien und Ordnern unter Windows 10 in Sachen Sicherheitsüberwachung kann etwas gewöhnungsbedürftig sein. Gewünschte Ausnahmen in Windows Defender legen Sie in einem eher versteckten Untermenü fest. Einfacher gestaltet sich dieser Vorgang mit dem kostenfreien Tool "Defender Injector". Das portable Programm hilft beim Festlegen und Verwalten von Ausnahmen für die Prüfung durch Windows Defender. [mehr]

Fachartikel

Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (2) [17.06.2019]

Unter Windows Server 2016 lassen sich Webanwendungen wie Exchange im Internet mit dem Webanwendungsproxy zur Verfügung zu stellen. Dieser fungiert als sichere Schnittstelle vom internen Netzwerk zum Internet und ist somit der legitime Nachfolger des von Microsoft abgekündigten Threat Management Gateway. Als Windows-Server-Bordmittel arbeitet der Webanwendungsproxy zudem oft besser mit den vorhandenen Infrastrukturdiensten zusammen als lizenzpflichtige TMG-Alternativen von Drittanbietern. Im zweiten Teil des Workshops erklären wir, wie Sie das Active Directory passend konfigurieren, Exchange anpassen und ADFS einrichten. [mehr]

Buchbesprechung

Anzeigen