Meldung

Malware-Untersuchung vor Ort

Die Sandboxing-Technologie von Kaspersky kann künftig auch in Kundennetzwerken eingesetzt werden. Die Umgebung unterstützt Sicherheitsexperten dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben. Die eigene IT-Umgebung soll sich dabei realitätsnah nachbilden lassen.
Um Unternehmen bei der genaueren und zeitnahen Analyse fortschrittlicher Bedrohungen zu unterstützen, können die Sandboxing-Technologien von Kaspersky [1] nun auch in den Organisationen der Kunden implementiert werden. Die Kaspersky Research Sandbox simuliert das System der Organisation mit zufälligen Parametern, wie Nutzer- und Computername, IP-Adresse oder dergleichen, und imitiert eine aktiv genutzte Anwenderumgebung, so dass Malware nicht erkennen kann, dass sie auf einer virtuellen Maschine läuft.

Daten bleiben im Unternehmen

Kaspersky Research Sandbox wurde aus dem internen Sandboxing-System heraus entwickelt, das von den firmeneigenen Anti-Malware-Forschern verwendet wird. Nun sind diese Technologien auch für Kunden als isolierte Vor-Ort-Installation (on-premise) verfügbar. So verlassen alle analysierten Dateien den Unternehmensbereich nicht; damit ist die Umgebung insbesondere auch für Unternehmen und Organisationen mit strikten Datenfreigabebeschränkungen geeignet.

Die Kaspersky Research Sandbox verfügt über eine spezielle API (Programmierschnittstelle) zur Integration mit anderen Sicherheitslösungen, so dass eine verdächtige Datei automatisch zur Analyse gesendet werden kann. Die Ergebnisse der Analyse können auch in das Aufgabenverwaltungssystem eines SOC exportiert werden. Diese Automatisierung von sich wiederholenden Aufgaben verkürzt die Zeit, die für die Untersuchung von Vorfällen notwendig ist.

Da die Software im Netzwerk des Kunden installiert wird, bietet sie mehr Möglichkeiten zur Spiegelung seiner Betriebsumgebung. Jetzt können virtuelle Maschinen aus der Kaspersky Research Sandbox mit dem internen Netzwerk einer Organisation verbunden werden. Dadurch kann sie Malware entdecken, die nur in einer bestimmten Infrastruktur ausgeführt wird und ein besseres Verständnis der dahinterliegenden Absichten erhalten.

Realitätsnahe Simulation der IT-Umgebung

Darüber hinaus können Sicherheitsanalysten mit spezieller vorinstallierter Software ihre Windows-Version einrichten, um ihre Unternehmensumgebung vollständig zu simulieren. Es vereinfacht die Erkennung von umgebungsbezogenen Bedrohungen durch eine Organisation, wie zum Beispiel eine kürzlich entdeckte Malware, die bei Angriffen auf Industrieunternehmen eingesetzt wurde. Kaspersky Research Sandbox unterstützt auch Android OS zur Erkennung mobiler Malware.

Die Kaspersky Research Sandbox stellt detaillierte Berichte zur Dateiausführung zur Verfügung. Die Berichte enthalten Execution Maps und eine erweiterte Liste der vom analysierten Objekt ausgeführten Ereignisse, einschließlich seiner Netzwerk- und Systemaktivitäten mit Screenshots sowie eine Liste heruntergeladener und modifizierter Dateien. Wenn Incident-Response-Verantwortliche genau wissen, was jede einzelne Malware bewirkt, können sie die erforderlichen Maßnahmen zum Schutz des Unternehmens vor der Bedrohung ergreifen. Zudem können SOC- und CERT-Analysten YARA-Regeln erstellen, um analysierte Dateien mit ihnen abzugleichen.

Die Kaspersky Research Sandbox kann in das Kaspersky Private Security Network (KPSN) integriert werden. Damit gewinnen Unternehmen Einblicke in das Verhalten eines Objekts. Darüber hinaus erhalten sie über die Kaspersky-Threat-Intelligence-Datenbank - installiert im Datencenter des Kunden - Informationen über die Reputation heruntergeladener Dateien oder URLs, mit denen die Malware kommuniziert hat.

Die Kaspersky Research Sandbox ist Teil des Kaspersky-Produktportfolios für Sicherheitsexperten. Dieses umfasst Kaspersky Threat Attribution Engine, Kaspersky CyberTrace und Kaspersky Threat Data Feeds. Dieses Angebot hilft Organisationen bei der Validierung und Untersuchung fortschrittlicher Bedrohungen und erleichtert die Reaktion auf Vorfälle, indem es relevante Bedrohungsinformationen bereitstellt.
7.07.2020/dr

Tipps & Tools

Sicherheitslücke in GRUB2 entdeckt [4.08.2020]

Eclypsium-Forscher haben eine Schwachstelle namens "BootHole" im GRUB2-Bootloader entdeckt. Durch die Sicherheitslücke könne ein Angreifer den UEFI Secure Boot umgehen und eigenen Code ausführen, um Kontrolle über ein Gerät zu erhalten. Fast alle signierten Versionen von GRUB2 seien anfällig, was bedeutet, dass praktisch jede Linux-Distribution betroffen ist. [mehr]

Privacy Shield nicht zulässig [21.07.2020]

Der Europäische Gerichtshof hat die "Privacy Shield"-Vereinbarung zwischen der EU und USA für ungültig erklärt. Damit ist für Unternehmen die Datenübertragung persönlicher Daten ihrer Kunden über den Atlantik in vielen Fällen nicht erlaubt. Dennoch genehmigt das Gericht die Übertragung von Daten auf Grundlage sogenannter Standardvertragsklauseln. [mehr]

Fachartikel

Unvorhergesehenen Ereignissen besser begegnen [5.08.2020]

Was haben ein kleines Familienunternehmen, ein mittelständischer Betrieb und ein großer Konzern gemeinsam? Sie alle müssen mit unvorhersehbaren Ereignissen rechnen, die in Betriebsunterbrechungen, -ausfällen und Produktivitätsstopps ihrer Mitarbeiter resultieren können – sei es durch Naturkatastrophen oder eine Downtime bei modernen Telekommunikationstechnologien. Für Unternehmen heißt das: Vorsicht vor Nachsicht walten lassen. Doch wie bereiten sie sich am besten auf das Unvorhersehbare vor? Der Fachartikel gibt darauf eine Antwort. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen