Die neuen Versionen der Lösungen aus der Kaspersky-Suite „Endpoint Security for Business“ bringt eine ganze Reihe von Neuerungen, darunter erweiterte ML-Erkennungsverfahren (Machine Learning), bessere Einblicke in die Hintergründe von Alarmen, zusätzliche Schutzmechanismen sowie die Integration von EDR-Technik (Endpoint Detection and Response). Ebenfalls neu sind laut Kaspersky-Angaben Features für eine verhaltensbasierte Angriffserkennung, HIPS (Host-Based Intrusion Prevention System) und Exploit-Abwehr.

Kasperskys „Endpoint Security for Business“-Suite umfasst die Lösungen Kaspersky Endpoint Security for Windows 11.0, for Windows Server 10.1, for Linux 10.1, for Mac 10.2 sowie Security for Mobile 10.7 und Security Center 10.5. Der Anbieter nutzt laut eigenem Bekunden zur Aufdeckung verdächtiger Vorfälle eine Kombination aus signaturbasierter Erkennung, Big-Data-Analysen und Machine Learning.

Zum Einsatz kommen assistiertes wie auch unassistieres maschinelles Lernen. Hierbei ersetzt, wie es heute Stand der Technik ist, eine Modellierung von Malware-Verhalten das herkömmliche Erkennen bekannter Signaturen: Die Abwehrlösung erkennt also nicht einfach nur eine Datei, sondern identifiziert das Verhalten einer Datei als Malware.

Solche ML-Ergebnisse sind aus Benutzersicht in der Regel eine „Black Box“: Die Sicherheitslösung sagt: „verdächtig“, ohne aber eine Begründung zu liefern. Deshalb hat Kaspersky seine Benutzeroberfläche komplett neu gestaltet, um die Hintergründe eine Malware-Erkennung besser sichtbar zu machen: Der Anwender erkennt, welche Schutzmechanismen aktiv sind und auf welcher Technik wieviele Funde basieren.

Die Kaspersky-Software macht nun für den Endanwender ersichtlich, woher die Ergebnisse der Warnungen stammen. Bild: Kaspersky Lab

Die Kaspersky-Software macht nun für den Endanwender ersichtlich, woher die Ergebnisse der Warnungen stammen. Bild: Kaspersky Lab

Unter der Haube gibt es laut Kaspersky-Angaben Performance-Verbesserungen: Die Software erfordere nun 30 Prozent weniger Platz auf der Festplatte und unter 100 MByte RAM. Nützlich ist hier der neue sogenannte „Cloud-Modus“: Die Security-Lösung holt sich fehlende Informationen dynamisch aus dem KSN (Kaspersky Security Network) oder – bei abgeschotteten Netzwerken – vom KSN Proxy. Dies soll die RAM-Belastung weiter verringern.

Zugleich hat Kaspersky an seiner Erkennung von Ransomware und dateiloser (Fileless) Malware gearbeitet. Bislang gab es Ransomware-Erkennung für Clients und für Server. Diese hat man nun zusammengefasst, sodass sich alle Mechanismen überall anwenden lassen, so der Security-Anbieter.

Zur Erkennung dateiloser Malware habe man Erkennungsmechanismen eingebaut, um zu klären, wer Credentials abfängt: eine SSO-Lösung (Single Sign-on) oder ein Hacker-Tool wie Mimikatz. Ergänzend gibt es laut dem russischen Anbieter Mechanismen zur Verhaltensanalyse und Exploit-Abwehr. Die Software verwendet ein Scoring zur Bewertung verdächtigen Verhaltens.

Auch das Management der Firewalls von Windows- und Linux-Servern kann die Software nun übernehmen. Zudem gibt es für die Windows-Server-Version nun eine Device-Control-Funktionalität, um zu verhindern, dass bestimmte Aktionen überhaupt ausgeführt werden. Neben dem Security Center lässt sich nun auch die Kaspersky-Lösung für Windows Server in SIEM-Systeme integrieren.

Das ebenfalls neue File Integrity Monitoring dient der Kontrolle, ob bestimmte Dateien oder Ordner manipuliert werden. Was als Manipulation gilt (zum Beispiel der Austausch von DLL-Dateien), muss das Security-Team hierbei vorab selbst definieren. Für erhöhten Schutz gibt es laut Kaspersky-Angaben zudem Heuristiken für Logdateien. Diese seien allerdings separat zu lizenzieren.

Endpoint Security for Business enthält neue Funktionen zur Abwehr von Ransomware. Bild: Kaspersky Lab

Endpoint Security for Business enthält neue Funktionen zur Abwehr von Ransomware. Bild: Kaspersky Lab

Für Windows-Clients bietet Kaspersky nun zudem eine automatische Rollback-Funktion. So lasse sich zum Beispiel nach Entdeckung von Ransomware die Verschlüsselung von Systemdateien rückgängig machen. Dies gelte allerdings nicht für Nutzerdateien auf der Festplatte – diese müsse man weiterhin aus dem Backup rekonstruieren, so der Hersteller gegenüber LANline.

Eine weitere interessante Neuerung: In die Kaspersky-Version 11 ist nun ein EDR-Client eingebettet. Der Windows-Client der Lösung dient damit als EDR-Sensor. Mittels EDR lassen sich zum Beispiel Dateien stoppen und in eine Sandbox verschieben. Das EDR-Werkzeug ist für spezialisierte Incident-Response- und Threat-Hunting-Teams gedacht, um deren Suche nach IoCs (Indicators of Compromise, Angriffsindizien) zu unterstützen. Die Verwendung setzt das Vorhandensein eines EDR-Management-Servers voraus.

Kasperskys Mobility-Management-Lösung ist erhältlich in einer KMU- und einer Enterprise-Ausprägung. In der KMU-Variante soll es laut Angaben des Herstellers ein möglichst umfängliches Mobilgeräte-Management liefern. In der Enterprise-Variante hingegen lasse es sich nun per AppConfig-Unterstützung von außen steuern, also durch EMM-Lösungen (Enterprise-Mobility-Management) wie AirWatch oder MobileIron. Damit erweitere man bestehende EMM-Lösungen um zusätzliche Security-Funktionalität, so Kaspersky.

Kaspersky hat des Weiteren Azure SQL in den Support mit aufgenommen, nützlich für Unternehmen, die die Lösung in Azure hosten wollen. Außerdem skaliere Endpoint Security for Business nun höher: Bis zu 100.000 Endpunkte lassen sich laut Hersteller mit einer einzigen Server-Installation verwalten.

Kaspersky Endpoint Security for Business ist in allen Varianten ab sofort in Deutschland, Österreich und der Schweiz mittels herkömmlicher Lizenzierung und als Abonnement verfügbar. Als Jahreslizenz ohne Rabattstufen startet Kaspersky Endpoint Security for Business bei 16,33 Euro.

Weitere Informationen finden sich unter www.kaspersky.com/de/.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.