Neue Erkennungstechnologien, mehr Netzwerktransparenz und Integrationen für schnellere Analysen und Reaktionen
Kaspersky kündigt ein umfangreiches Update für Kaspersky Anti Targeted Attack 8.0[1] an und erweitert damit die Network Detection and Response-Fähigkeiten der Lösung. Zu den Neuerungen zählen eine optimierte Anomalie-Erkennung im Netzwerkverkehr, mehr Transparenz über Schatten-IT sowie die nachträgliche Analyse von Netzwerkdaten (PCAP). Darüber hinaus baut Kaspersky Integrationen unter anderem mit E-Mail-Schutz, Endpoint-Schutz, Managed Detection and Response (MDR) sowie Check Point Firewalls aus, um Analysen zu beschleunigen und Abwehrmaßnahmen schneller umzusetzen.
Mit der fortschreitenden Auflösung klassischer Netzwerkgrenzen und einer immer größer werdenden Angriffsfläche steigen die Anforderungen von Sicherheitsteams an die Absicherung des Netzwerkverkehrs. Um diesen Herausforderungen zu begegnen, enthält Kaspersky Anti Targeted Attack 8.0 neue Erkennungstechnologien, erweiterte Netzwerktransparenz sowie eine engere Einbindung in das Sicherheitsökosystem von Kaspersky und in Drittanbieter-Umgebungen.
Ein Schwerpunkt liegt auf neuen Funktionen, um die Bedrohungserkennung zu verbessern und gleichzeitig Alarmmüdigkeit zu reduzieren. Eine neue Anomalie-Erkennung identifiziert verdächtiges Verhalten im Netzwerk, indem sie zentrale, in Angriffen häufig missbrauchte Protokolle wie DNS, HTTP und Kerberos analysiert. Statt den gesamten Datenverkehr vollständig zu prüfen, konzentriert sich die Technologie auf protokollspezifische Abweichungen und berücksichtigt Infrastruktur sowie Nutzungsprofile der jeweiligen Organisation. Das erhöht die Genauigkeit und kann Fehlalarme verringern.
Zusätzliche Transparenz schafft die Erkennung von Schatten-IT, die die Nutzung nicht autorisierter öffentlicher Dienste sichtbar macht. Dafür unterstützt Kaspersky Anti Targeted Attack 8.0 mehr als 5.000 externe Services, darunter gängige Cloud-Storage- und Kollaborationsplattformen. Security-Teams erhalten so einen besseren Überblick über Datenflüsse im Netzwerk und mehr Kontrolle über unternehmensinterne Datenflüsse.
Für tiefergehende Untersuchungen ermöglicht Kaspersky Anti Targeted Attack 8.0 außerdem die nachträgliche Analyse von bereitgestellten Traffic-Kopien. PCAP-Dateien lassen sich manuell oder automatisiert aus anderen Security-Systemen übergeben und anschließend mit aktuellen Erkennungsregeln über mehrere Engines hinweg prüfen, einschließlich Anti-Malware, Sandbox und IDS. Das erleichtert rückblickende Untersuchungen, etwa um Bedrohungen aufzudecken, die zum Zeitpunkt eines Vorfalls noch unentdeckt geblieben sind.
Ergänzend kann die Lösung nun sämtliche relevanten Indikatoren aus dem Netzwerkverkehr erfassen – einschließlich Dateinamen, URLs, Hashes sowie jenen von sicheren Objekten –, um Analysten dabei zu unterstützen, potenziell kompromittierte Nutzer und verdächtige Aktivitäten auch dann zu erkennen, wenn Inhalte zunächst als unkritisch eingestuft werden.
Darüber hinaus stärkt Kaspersky Anti Targeted Attack 8.0 die Einbindung in bestehende Security-Prozesse, um Analysen zu beschleunigen und Reaktionszeiten zu verkürzen. So ermöglicht die Integration mit Kaspersky Security for Mail Server das dynamische Prüfen passwortgeschützter E-Mail-Anhänge in der Sandbox; erweiterte Warnmeldungen liefern zusätzliche Transparenz über die von der Mail-Sicherheitslösung ausgeführten Maßnahmen – etwa das Blockieren oder Löschen verdächtiger Inhalte.
Für Organisationen, die MDR einsetzen, fungiert Kaspersky Anti Targeted Attack 8.0 als Netzwerksensor und stellt Telemetrie-Daten direkt in der MDR-Cloud bereit. MDR-Analysten können zusätzlichen Kontext aus Kaspersky Anti Targeted Attack 8.0 direkt über die MDR-Oberfläche anfordern, ohne Kunden einzubinden und so die Einordnung und Bearbeitung von Vorfällen beschleunigen.
Auch die Analyse von Endpoint-Funden wird unterstützt. Kaspersky Endpoint Security kann verdächtige Dateien automatisiert an die Sandbox von Kaspersky Anti Targeted Attack 8.0 übermitteln. So lassen sich Auffälligkeiten tiefergehend überprüfen und bestätigte Befunde schneller in Reaktionsmaßnahmen überführen.
Zur Stärkung aktiver Abwehrmaßnahmen führt Version 8.0 zudem neue Schnittstellen zu Check Point NGFW (Check Point Next-Generation-Firewalls) ein; basierend auf erkannten schädlichen Netzwerkaktivitäten kann die Lösung automatisiert Blockierregeln generieren und diese nahezu in Echtzeit auf Firewall-Ebene durchsetzen.
„Kaspersky Anti Targeted Attack 8.0 wurde entwickelt, um ein hohes Maß an Transparenz zu schaffen – für eine proaktive Bedrohungserkennung, tiefere Analysen und fundierte Entscheidungen in der Reaktion durch fortschrittliche Analyseverfahren und die enge Integration mit Endpoint-Schutz, E-Mail-Sicherheit, Managed Detection and Response sowie weiteren Produkten und Services“, sagt Ilya Markelov, Head of Unified Platform Product Line bei Kaspersky. „Im Rahmen unserer langfristigen Entwicklungsstrategie planen wir, Kaspersky Anti Targeted Attack in zukünftigen Versionen auf die Open Single Management Platform zu überführen. Das ermöglicht die Einbindung in mehrere Kaspersky-Lösungen und Drittanbieter-Komponenten über eine einheitliche Web-Konsole – mit Unterstützung für NDR, EDR, SIEM, XDR und weitere Bausteine innerhalb eines konsistenten Security-Ökosystems.“
Weitere Informationen zu Kaspersky Anti Targeted Attack sind verfügbar unter https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
[1] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
Nützliche Links:
- Kaspersky Anti Targeted Attack 8.0: https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
