Kaspersky: Threat-Intelligence-Portal mit API-Integration
Bedrohungsinformationen plus Datenschutz
Kaspersky erweiterte Funktionen seines Threat-Intelligence-Portals. Diese stehen registrierten Nutzern über den Community-Zugriff zur Verfügung. Eine API-Integration ermögliche die Verbindung eigener Anwendungen mit dem Dienst. Darüber hinaus biete Kaspersky mit seiner Cloud-Sandbox Nutzern die Möglichkeit, eine begrenzte Anzahl vollständiger Berichte über das Verhalten einer Datei oder einer URL zu erhalten. Ein spezieller Übermittlungsmodus ermögliche es, Dateien so zu prüfen, dass die Ergebnisse, mit Ausnahme von Kaspersky, nicht für andere verfügbar sind.
Investitionen in Threat Intelligence sind eine der Hauptmaßnahmen nach einer Datenschutzverletzung, wie aktuelle Kaspersky-Untersuchungen zeigen - sowohl bei mittelständischen (39 Prozent) als auch großen (41 Prozent) Unternehmen. Für Firmen können jedoch die hohen Kosten kommerzieller Threat-Intelligence-Angebote ein Hindernis für die Einführung sein. Um dieser Tatsache zu entgegnen und Bedrohungsinformationen einer größeren Anzahl von Organisationen zur Verfügung stellen zu können, entwickelt Kaspersky laut eigenen Angaben neue Funktionen, um diesen einen kostenfreien Zugriff auf das Threat-Intelligence-Portal zu bieten.
Laut Anbieter erhalten Nutzer nach der Registrierung eine spezielle API, mit der sie den Service mit benutzerdefinierten Projekten und Lösungen verbinden können. Dadurch seien sie in der Lage, Informationen zu Dateien, Hashes, IP-Adressen und URLs vom Threat-Intelligence-Portal über ihre eigenen Anwendungen zu senden und zu empfangen, ohne den Web-Dienst zu besuchen. Dies erleichtere automatisierte Anfragen zur Überprüfung verdächtiger Objekte.
Alle registrierten Nutzer sollen eine begrenzte Anzahl verdächtiger Dateien und URLs in der hauseigenen Cloud-Sandbox ausführen können, die erweiterte Anti-Umgehungs-Techniken enthält. So erhalten sie laut Kaspersky sowohl eine endgültige Entscheidung über die Gefährlichkeit der Datei und grundlegende Informationen zu riskanten Objekten als auch einen ausführlichen Bericht über die Aktivitäten der Datei, einschließlich deren Verhalten auf bestimmten Websites wie beispielsweise Downloads, JavaScript oder die Ausführung von Adobe Flash.
Das aktualisierte Threat-Intelligence-Portal enthalte einen privaten Übermittlungsmodus, der sicherstellen soll, dass die Analyseergebnisse freigegebener Samples niemandem anderen, auch nicht anderen Community-Mitgliedern, mit Ausnahme von Kaspersky zur Verfügung stehen. Somit sei die Funktionalität des Dienstes auch für Organisationen mit strengen Datenschutzrichtlinien geeignet.
Der Kaspersky-Dienst könne für detailliertere Informationen zu übermittelten Dateien eine statische Analyse durchführen, die Daten zur PE-Dateistruktur (Portable Executable) und zu extrahierten Strings enthält. Das PE-Format bezieht sich laut Kaspersky auf unter Windows ausgeführte Dateien und enthält Informationen darüber, wie das Betriebssystem seinen Code ausführen soll. Basierend auf diesen Analyseergebnissen sollen Sicherheitsforscher die Funktionalität des Objekts identifizieren und, solange es nicht typische Artefakte aufweist, sein schädliches Potenzial ausmachen können, selbst wenn die Malware zuvor unbekannt war.
Außerdem enthalte das Threat-Intelligence-Portal Techniken zur Verhaltenserkennung. Dies soll die Erkennungsraten erhöhen und bei der Identifikation fortgeschrittener Bedrohungen und APTs helfen
Weitere Informationen finden Interessierte unter www.kaspersky.com.
Lesen Sie mehr zum Thema
