Der digitale Wandel erschwert es nach Meinung von Kaspersky Labs den IT-Sicherheitsteams in Unternehmen, die Sicherheit des eigenen Netzwerks unter Kontrolle zu halten. Laut der Umfrage „Corporate IT Security Risks“, die der IT-Sicherheitsanbieter in Zusammenarbeit mit B2B International erstellt hat und in deren Rahmen im März und April 2017 5.274 Fach- und Führungskräfte in kleinen, mittleren und Großunternehmen aus 30 Ländern zu IT-Sicherheitsthemen und aufgetretenen Sicherheitsvorfällen befragt wurden, gehen 48 Prozent davon aus, dass Angreifer sie möglicherweise schon einmal gehackt haben. Kaspersky interpretiert diese Aussage so, dass Unternehmen teils keine Kenntnis über Sicherheitsvorfälle im eigenen Netzwerk haben.

Mit der neuen, hauseigenen Plattform Threat Management and Defense will der Security-Anbieter daher Unternehmen dabei helfen, ihre Netzwerke transparenter zu gestalten und dabei gleichzeitig die Reaktionszeiten auf Sicherheitsvorfälle zu reduzieren. Dazu vereint und stärkt Kaspersky nach eigenen Angaben die Funktionen der hauseigenen Lösungen Anti Targeted Attack, Cybersecurity Services und Endpoint Detection und Response (EDR) in einer einzigen Plattform.

Anti Targeted Attack soll dabei versteckte Gefahren erkennen. Denn Angreifer können, so Kaspersky, über eine gezielte Attacke in kritische Systeme eindringen, dort teils jahrelang unentdeckt bleiben und irreparable Schäden verursachen. Begünstigt werde dieser Umstand davon, dass Unternehmen vor der Herausforderung stehen, einzelne Symptome eines Cybervorfalls nicht falsch zu interpretieren. Eine vollumfängliche Untersuchung führe in der Regel zu einer zielführenden Diagnose.

Über ein neu gestaltetes Dashboard sollen Sicherheitsteams außerdem den Status periodischer Überprüfungen, aktuelle Ereignisse und Informationen über Sicherheitsvorfälle erhalten, mit denen sie den nächsten Schritt im Vorfallreaktionszyklus sachkundig definieren können. Bild: Kaspersky

Als Teil der „Threat Management and Defense“-Plattform umfasse Anti Targeted Attack Untersuchungstechniken, über die sich noch unbekannte Gefahren und gezielte Angriffe aufdecken lassen. Hierfür setze der Service im Unternehmensnetz gefundene Kompromittierungsindikatoren (Indicators of Compromise, IOC) zueinander in Beziehung, um auf diese Weise Hinweise auf einen mutmaßlichen Vorfall zu erhalten.

Des Weiteren verwende die Lösung aktuelle Techniken, um eine hohe Genauigkeit bei der Entdeckung zu erzielen. Dazu zählen der Einsatz von Machine-Learning-Algorithmen und -Gefahrenanalysen, eine fortschrittliche Sandbox-Technik sowie die Analyse des Datenverkehrs, so der Security-Anbieter. Die Analyse basiere auf Metadaten, die aus der Telemetrie von Endpoint- und Netzwerk-Sensoren und der weltweiten Threat Intelligence des Kaspersky Security Networks (KSN) gewonnen werden.

Über ein neu gestaltetes Dashboard sollen Sicherheitsteams außerdem den Status periodischer Überprüfungen, aktuelle Ereignisse und Informationen über Sicherheitsvorfälle erhalten, mit denen sie den nächsten Schritt im Vorfallreaktionszyklus sachkundig definieren können.

Schließlich, so der Hersteller, kommen auf Unternehmen, die zu spät auf einen komplexen Sicherheitsvorfall reagieren, mögliche Folgekosten zu, die bis in Millionenhöhe reichen können. Mit EDR beschleunige die zweite Komponente der neuen Kaspersky-Plattform jedoch die Vorfallreaktionsprozesse und steigere hierbei die Qualität bei der Untersuchung von Sicherheitsvorfällen.

Darüber hinaus soll die Lösung durch Aggregation und Visualisierung der wichtigsten, an den Endpoints gesammelten Forensikdaten eine bessere Sichtbarkeit bieten. Der automatische Remote-Einsatz der wichtigsten Funktionen sorge zudem für eine effiziente Vorfallreaktion. Damit lassen sich ohne manuelle Eingriffe und in einem vorgegebenen Zeitrahmen infizierte Systeme aus der Ferne reinigen, so der Sicherheitsanbieter.

EDR biete dabei drei Möglichkeiten: Es stellt verdächtige Daten unter Quarantäne, verschiebt sie zur weiteren Analyse in eine Sandbox oder löscht sie. Eine weitere Option sei die Isolierung eines bestimmten Endpoints vom Netzwerk.

Die Kaspersky Cybersecurity Services sollen eine Reihe von Angeboten zur schnellen Vorfallreaktion (Incident Response Service) und zur proaktiven Bewertung und Behebung des Schadens (Targeted Attack Discovery) bündeln. Auch sei es möglich, auf externes Expertenwissen zuzugreifen (Treat Intelligence).

Die Lösungen Anti Targeted Attack, EDR und Cybersecurity Services sind einzeln verfügbar. Im Rahmen der Threat Management Platform lassen sie sich jedoch gemeinsam verwalten und sollen IT-Sicherheitsteams dabei helfen, den kompletten Zyklus des Gefahren-Managements zu automatisieren. Mit den drei Komponenten können Unternehmen laut Hersteller einen strategischen Ansatz zur Erkennung komplexer Angriffe auf ihre IT-Infrastruktur entwickeln.

Weitere Informationen finden sich unter www.kaspersky.de.

Timo Scheibe ist Redakteur bei der LANline.