Kaspersky stellt Threat Attribution Engine vor
Angriffszuordnung in APT-Gruppen
Das Cybersicherheitsunternehmen Kaspersky hat seine neue Threat-Intelligence-Lösung „Threat Attribution Engine“ vorgestellt. Diese soll SOC-Analysten (Security Operations Center) und Incident-Response-Experten dabei helfen, neue Malware-Samples bereits bekannten APT-Gruppen (Advanced Persistent Threat) zuzuordnen.
Mit Hilfe proprietärer Methodik gleiche die Lösung den identifizierten schädlichen Code mit einer Malware-Datenbank ab und ordne diesen auf Grundlage der festgestellten Ähnlichkeiten einer APT-Gruppe oder Kampagne zu. Die daraus gewonnenen Informationen sollen Sicherheitsexperten dabei unterstützen, risikoreiche Bedrohungen gegenüber weniger schwerwiegenden Vorfällen zu priorisieren.
Die Identifizierung der Hintermänner eines Angriffs ist eine anspruchsvolle Aufgabe, die sowohl umfassende Threat-Intelligence-Kenntnisse als auch die Fähigkeit der entsprechenden Einordnung bestimmter Bedrohungen erfordert. Laut Kaspersky automatisiert die Threat Attribution Engine nun diese Klassifizierung und Identifizierung von Bedrohungen.
Um festzustellen, ob eine akute Bedrohung mit einer bekannten APT-Gruppe oder -Kampagne in Verbindung steht und um welche es sich dabei handelt, zerlegt die Threat Attribution Engine eine neu gefundene bösartige Datei automatisiert in binäre Kleinsteile, so der Anbieter. Im Anschluss vergleiche sie diese mit den bereits von Kaspersky dokumentierten 60.000 APT-bezogenen Dateien. Für eine genauere Attribution soll die Lösung darüber hinaus eine umfangreiche Datenbank mit Dateien auf der Whitelist miteinbeziehen. Dadurch erfolge eine Verbesserung der Qualität der Malware-Klassifizierung und -Identifizierung von Angriffen.
Je nachdem, wie sehr eine analysierte Datei den dokumentierten Beispielen in der Datenbank ähnelt, berechne die Threat Attribution Engine den Reputationswert, benenne die mögliche Herkunft und den Angreifer mit einer Kurzbeschreibung. Darüber hinaus stellt die Lösung Links zu privaten und öffentlichen Informationen über bereits bestehende Kampagnen gleicher Art zur Verfügung.
Threat Attribution Engine sei so konzipiert, dass der Einsatz direkt im Netzwerk eines Nutzers und nicht in einer Cloud-Umgebung eines Drittanbieters erfolgt. Dieser Ansatz soll die Kontrolle über Nutzung und Teilung eigener Daten gewährleisten.
Zusätzlich zu den sofort einsatzbereiten, verfügbaren Bedrohungsinformationen können Nutzer laut Kaspersky eine eigene Datenbank erstellen und diese um Malware-Informationen erweitern, identifiziert von Analysten innerhalb des eigenen Unternehmens. Auf diese Weise lerne die Threat Attribution Engine, Malware analog zu den in der Datenbank eines Nutzers vorhandenen Informationen zuzuordnen.
Weitere Informationen stehen unter www.kaspersky.de zur Verfügung.
Lesen Sie mehr zum Thema
