Mit seinen neuen „Threat Hunting Services“ will der Security-Spezialist Kaspersky Lab einen effizienten Schutz vor zielgerichteten Angriffen bieten. Das Angebot besteht aus den zwei Expertendiensten Managed Protection und Targeted Attack Discovery. Damit, so Kaspersky, erhalte man die Expertise, um fortgeschrittene Bedrohungen zu erkennen und zu analysieren. Auch dateilose Bedrohungen und Angriffe, die nicht durch Malware verursacht werden, könne man damit aufspüren.

Wird ein Vorfall nicht innerhalb einer Woche entdeckt, kann sich der finanzielle Verlust mehr als verdoppeln, warnt Kaspersky mit Verweis auf seine aktuelle „Global IT Security Risks Survey 2017“. Schnelle Bedrohungserkennung erfordere jedoch Ressourcen und Fähigkeiten, über die nur erfahrene SOC-Teams verfügen.

Denn Kriminelle, mahnt Kaspersky im Einklang mit anderen Security-Anbietern, nutzen zunehmend anspruchsvolle Toolkits. Zudem finde man auch Angriffe, für die nicht Malware, sondern legitime Betriebssystem-Tools zum Einsatz kommen.

Vor diesem Hintergrund sollen die Threat Hunting Services großen Unternehmen dauerhaften Zugriff auf das Expertenwissen von Kasperskys Spezialisten geben. Damit könne ein Unternehmen die proaktive Suche und Analyse verdächtiger Aktivitäten auslagern, und SOC-Teams erhielten zusätzliche Ressourcen und Expertise.

Das erste der beiden neuen Angebote, Managed Protection, dient der proaktiven Erkennung komplexer Bedrohungen im Unternehmensnetz. Das Abo-Angebot basiert auf den lokal installierten Kaspersky-Lösungen Endpoint Security for Business und der Anti-Targeted Attack Platform. Nach einer ersten Analyse der gesammelten Metadaten aus dem Unternehmensnetzwerk prüfen Experten laut Kaspersky Lab etwaige Anomalien und untersuchen Ereignisprotokolle im Betriebssystem sowie erkannte verdächtige Verhaltensweisen. Eine mehrstufige Analyse helfe bei der Untersuchung von Incidents, selbst wenn Cyberkriminelle ihre Spuren entfernt haben, um die Forensik zu erschweren.

Ergänzend gesellt sich mit Targeted Attack Discovery ein Analysedienst dazu, der Spuren zielgerichteter Angriffe in der Infrastruktur in Echtzeit oder nach einem Angriff erkennen soll. Experten untersuchen dabei laut Kaspersky-Angaben den Zusammenhang zwischen den Daten, die im Unternehmensnetzwerk gesammelt wurden, mit Bedrohungsinformationen (Threat Intelligence) aus frei verfügbaren wie auch privaten Datenbanken. So könne man verdächtige Aktivitäten aufspüren, potenzielle Störquellen identifizieren und kompromittierte Geräte erkennen.

Zum Dienst gehören zudem ein Aktionsplan zur Wiederherstellung nach einem Vorfall und Empfehlungen für die Informationssicherheit. Jedes Unternehmen kann Targeted Attack Discovery unabhängig von der verwendeten Software-Infrastrukturplattform nutzen, betont Kaspersky.

Die neuen Services von Kaspersky Lab sind weltweit verfügbar. Weitere Informationen finden sich unter www.kaspersky.com/de.

 

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.