+++ Produkt-Ticker +++ Kaspersky Lab komplettiert mit seiner maschinenlesbaren Threat-Intelligence-Plattform das Dienstleistungsangebot der Kaspersky Security Intelligence Services. Der Service beinhaltet Feeds mit Bedrohungsinformationen sowie Werzeuge zur Integration der Feeds in die verbreitetsten SIEM-Plattformen (Security-Information- and Event-Management). Damit, so Kaspersky Lab, erhielten große Unternehmen einen Einblick in die aktuelle Cyberbedrohungslandschaft. Zudem könnten interne Sicherheitsabteilungen dank aktuell bereitgestellter Kompromittierungsindikatoren Angriffe schnell identifizieren und abwehren.

Laut einer Studie von Kaspersky Lab hat das schnelle Entdecken eines Cybersicherheitsvorfalls direkte und messbare Auswirkungen auf die anschließenden Wiederherstellungskosten. Demnach belaufen sich die Kosten eines eine Woche lang unentdeckten Vorfalls auf bis zu 1,1 Millionen Dollar. Werde ein solcher Vorfall innerhalb von Stunden entdeckt, müsse man hingegen durchschnittlich weniger als 400.000 Dollar aufwenden.

 

Security Intelligence, so Kaspersky Lab, sei die beste Lösung für eine frühzeitige Identifizierung von Vorfällen. Ein Unternehmen müsse in der Lage sein, einen Angriff über ein ganzes Set an Erkennungsmethoden zu beobachten und zu kontrollieren.

 

Während klassische Präventionstechnik auf Endpoint-Analysen setze, ermöglichten bei der hauseigenen Lösung zusätzliche Sicherheitsstufen die Kontrolle von Angriffen auf weiteren Ebenen. Dafür bieten die Feeds laut Kaspersky Lab Indikatoren gefährlicher Programme mittels Malware-Hashfunktionen, Informationen zu gefährlichen URL-Adressen, Phishing und Command-and-Control-Sites, Angaben zu Mobilgeräte-Bedrohungen sowie nun auch IP-Reputationsdaten zur besseren Identifizierung von Incidents mittels laufend aktualisierter Daten über Command-and-Control-Server sowie Angriffsquellen.

Alle Feeds beinhalten laut Anbieter zusätzliche kontextabhängige Daten, mit denen Unternehmen ihre Algorithmen zur Bedrohungsentdeckung feinjustieren, Prioritäten ihrer Sicherheitsabteilungen definieren und ihre Vorfallreaktion optimieren können. Dazu zählten unter anderem Zeitstempel aufgezeichneter Ereignisse, eine Liste betroffener Länder, verwandte IPs für URL-Adressen- und Domains sowie weitere Informationen.

 

Die Feeds mit Bedrohungsdaten fügen sich laut Kaspersky Lab in bestehende SIEM-Systeme ein. Über die Integration der Bedrohungsdaten könne man die von unterschiedlichen Netzwerkgeräten an das SIEM-System gesendeten Protokolle mit den URL-Feeds von Kaspersky Lab korrelieren. Die Feeds unterstützen neben Splunk ab sofort auch die SIEM-Systeme IBM Qradar und HP Arcsight.

Weitere Informationen finden sich unter www.kaspersky.com/de/enterprise-security/intelligence-services.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.