Damit Unternehmen cyberkriminelle Aktivitäten besser untersuchen können, hat Kaspersky Labs seine Unternehmenslösungen Endpoint Detection and Response (EDR) und Anti Targeted Attack Platform um neue Funktionen ergänzt. Beide Lösungen erhalten laut Hersteller neue Funktionen zur Vereinfachung von Ermittlungsprozessen sowie die Erweiterung um Threat Hunting.

Ergänzt um eine neu geschaffene und von Kaspersky-Experten angelegte und verwaltete Datenbank mit Angriffsindikatoren (Indicators of Attack, IoAs) sollen die Techniken einen zusätzlichen Kontext für die Untersuchung von cyberkriminellen Aktivitäten bieten. Darüber hinaus bildet der Sicherheitsanbieter nach eigenen Angaben IoAs nun in der Wissensdatenbank Mitre Att&ck ab, sodass sich Taktiken, Techniken und Verfahren von Cyberkriminellen noch tiefergehender analysieren lassen.

Endpoint Detection and Response und Anti Targeted Attack verfügen nach Bekunden des Sicherheitsanbieters über Funktionen zur Analyse möglicher Kompromittierungsindikatoren (Indicators of Compromise, IoCs), etwa Hash, Dateiname, Pfad, IP-Adresse oder URL. Zusätzlich stellt Kaspersky nun neue Funktionen zur Identifizierung von Angriffsindikatoren bereit, die es ermöglichen, Taktiken und Techniken der Angreifer zu erkennen – unabhängig von der Malware oder legitimen Software, die dieser verwendet hat.

Um die Untersuchung der Telemetrie mehrere Endpunkte zu vereinfachen, setzt Kaspersky diese mit den hauseigenen IoAs in Beziehung. Im Falle einer Übereinstimmung sollen in der Benutzeroberfläche detaillierte Beschreibungen und Empfehlungen zur optimalen Reaktion auf den Angriff erscheinen. Auch sei es möglich, eigene IoA-Sets, basierend auf internen Erfahrungswerten, dem Wissen über die wichtigsten Bedrohungen und die Spezifika der eigenen IT-Umgebung zu erstellen.

Alle neuen Vorfälle gleichen die Lösungen automatisch und in Echtzeit mit der internen Datenbank der Angriffsindikatoren ab, so Kaspersky weiter. Auf diese Weise liefert der Hersteller nach eigenen Angaben unter Berücksichtigung der Besonderheiten der geschützten Infrastruktur sofortige, auf fundierten Daten basierende Reaktionsmaßnahmen und langfristige Erkennungsszenarien.

Weitere Informationen finden sich unter www.kaspersky.com.

Timo Scheibe ist Redakteur bei der LANline.