Optimierter Ermittlungsprozess durch Ergänzung einzigartiger Angriffsindikatoren / Vereinfachte Kompromittierungsidentifikation mittels MITRE ATT&AK-Anbindung
Mit den aktuellen Versionen der Unternehmenslösungen Kaspersky Endpoint Detection and Response (EDR) [1] und Kaspersky Anti Targeted Attack Platform [2] bietet der Cybersicherheitsexperte neue Funktionalitäten zur Vereinfachung von Ermittlungssprozessen sowie Erweiterung von Threat Hunting. Ergänzt um eine neu geschaffene, von Kaspersky-Experten angelegte und verwaltete Datenbank mit Angriffsindikatoren (Indicators of Attack – IoAs) bieten beide Technologien zusätzlichen Kontext für die Untersuchung cyberkrimineller Aktivitäten. Darüber hinaus werden IoAs nun in der Wissensdatenbank MITRE ATT&CK abgebildet, wodurch Taktiken, Techniken und Verfahren von Cyberkriminellen noch tiefergehender analysiert werden können. Unternehmen sind dadurch in der Lage, komplexe Angriffsvorfälle noch schneller zu untersuchen.
Cybervorfälle im Zusammenhang mit komplexen Bedrohungen können erhebliche Auswirkungen auf Unternehmen haben: Kosten für die Reaktion darauf und prozessuale Wiederherstellungsaktivitäten, die Notwendigkeit, in neue Systeme oder Prozesse zu investieren, die Auswirkungen auf die betriebliche Verfügbarkeit oder gar die Schädigung der eigenen Reputation. Heutzutage müssen Unternehmen nicht nur auf die wachsende Zahl weit verbreiteter schädlicher Programme, sondern auch auf die Zunahme komplexer und zielgerichteter Bedrohungen reagieren. Im Jahr 2018 gaben 41 Prozent [3] der Unternehmen an, bereits Opfer eines zielgerichteten Angriffs geworden zu sein.
Angriffsindikatoren zur Unterstützung des Ermittlungsprozesses
Kaspersky EDR und Kaspersky Anti Targeted Attack verfügen über Funktionen zur Analyse möglicher Kompromitierungsindikatoren (IoCs) wie etwa Hash, Dateiname, Pfad, IP-Adresse oder URL. Zusätzlich bieten neue Funktionen zur Identifizierung von Angriffsindikatoren die Möglichkeit, Taktiken und Techniken der Angreifer zu erkennen – unabhängig von der Malware oder legitimen Software, die bei der Attacke verwendet wurde. Um den Prozess bei der Untersuchung der Telemetrie mehrerer Endpunkte zu vereinfachen, werden Sicherheitsvorfälle mit den einzigartigen IoAs von Kaspersky Lab in Beziehung gesetzt. Im Falle eines IoA-Matchs erscheinen in der Benutzeroberfläche detaillierte Beschreibungen und Empfehlungen zur optimalen Reaktion auf den Angriff.
Kunden können darüber hinaus eigene IoA-Sets – basierend auf ihren internen Erfahrungswerten, dem Wissen über die wichtigsten Bedrohungen und die Spezifika ihrer eigenen IT-Umgebung, erstellen. Alle neuen Vorfälle werden automatisch und in Echtzeit mit der internen Datenbank der Angriffsindikatoren abgeglichen. Dies ermöglicht – mit Rücksicht auf die Besonderheiten der geschützten Infrastruktur – die sofortige, auf fundierten Daten basierenden Ergreifung– reaktiver Maßnahmen und langfristige Erkennungsszenarien.
Anbindung an MITRE ATT&CK-Wissensdatenbank
Kaspersky EDR, die Kaspersky Anti Targeted Attack Platform und MITRE ATT&CK, eine weltweit zugängliche Wissensdatenbank gesammelter, auf realen Beobachtungen basierender Kompromitierungstaktiken und -techniken, ermöglichen es Unternehmen, Angriffe effizienter zu analysieren und zu bewerten. Neu entdeckte Bedrohungen werden automatisch in die Wissensdatenbank aufgenommen und umgehend mit Daten zu externer Intelligence- und Angriffstechniken in Beziehung gesetzt. Denn ein tiefgreifendes Verständnis von Angriffen reduziert zukünftige Risiken und hilft Sicherheitsteams dabei, die Zeit zur Analyse und Reaktion auf Bedrohungen zu verkürzen.
Diese erweiterte Funktionalität ist auch für Unternehmen verfügbar, die Cybersicherheitsüberwachung und -management anbieten. Dabei ermöglicht die neue, mandantenfähige Architektur Managed Security Services Providern (MSSPs), die Infrastruktur mehrerer Clients gleichzeitig zu schützen.
„Professionelle Cyberkriminelle können sich – ohne dabei erkannt zu werden – auf vertrauenswürdigen Objekten aufhalten, Zero-Day-Schwachstellen ausnutzen, legitime Programme, kompromittierte Konten, einzigartige Software oder Social-Engineering-Techniken verwenden oder Insider für ihre Zwecke missbrauchen“, erklärt Sergey Martsynkyan, Head of B2B Product Marketing bei Kaspersky Lab. „Deshalb ist es wichtig, sich nicht ausschließlich auf digitale Hinterlassenschaften von Cyberkriminellen zu beschränken, sondern nach möglichen Spuren ihrer Tätigkeit zu suchen. Um Unternehmen bei dieser Herausforderung zu unterstützen, hat Kaspersky Lab seine Expertise in eine Reihe von IoAs einfließen lassen und mit MITRE ATT&CK abgebildet. Mit mehr Informationen und Verständnis für die Absichten der Angreifer können Unternehmen schneller auf komplexe Bedrohungen reagieren.“
Weitere Informationen zu Kaspersky Endpoint Detection and Response sind verfügbar unter https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr, für Kaspersky Anti Targeted Attack unter https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
[1] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[2] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
[3] IT Security Risks Survey 2018: https://www.kaspersky.com/blog/data-protection-report/23824/
Nützliche Links:
- Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
- Kaspersky Anti Targeted Attack Platform: https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
Kaspersky-Studie „From data boom to data doom: the risks and rewards of protecting personal data“: https://www.kaspersky.com/blog/data-protection-report/23824/
