Mehr Analysetiefe mit unserem Threat Intelligence Portal

Wir haben eine kostenlose Version unseres Threat Intelligence Portals zur detaillierten Analyse potenzieller Bedrohungen erstellt.

Ich bin mir fast sicher, dass dieser Beitrag für 95 % von Ihnen überhaupt keinen Nutzen haben wird. Den restlichen 5 % kann er jedoch helfen, die Arbeitswoche (und die vielen Arbeitswochenenden) erheblich zu vereinfachen. Wir haben nämlich einige großartige Neuigkeiten für Cybersicherheitsprofis, SOC-Teams, unabhängige Forscher und neugierige Techniker: Die Tools, mit denen unsere Spechte und GReAT-Mitarbeiter täglich die weltweit beste Cyberthreat-Forschung betreiben, sind jetzt alle verfügbar. Die Lite-Version unseres Threat Intelligence-Portals (kurz: TIP) ist sogar kostenlos! Fügen Sie TIP zu Ihren Lesezeichen hinzu!

Das Threat Intelligence Portal löst zwei Hauptprobleme für den heutigen, überlasteten Cybersicherheitsexperten. Erstens: „Welche dieser unzähligen verdächtigen Dateien soll ich zuerst untersuchen?“ Zweitens: „Ok, meine AV-Lösung bestätigt mir, dass die Datei sauber ist. Was ist als nächstes dran?“

Eine kostenlose Version von Kaspersky Threat Intelligence Portal

Im Gegensatz zu den „Klassikern“- Endpoint Security Produkte -, die ein klar definiertes Urteil abgeben, geben die im Threat Intelligence Portal integrierten Analysetools detaillierte Informationen darüber, wie verdächtig eine Datei ist und  welche spezifischen Charakteristiken gefährlich sein können. Es muss sich dabei nicht nur um eine Datei handeln, da auch Hashes, IP-Adressen und URLs eingegeben werden können. All diese Elemente werden von unserer Cloud schnell analysiert und die Ergebnisse auf einem Silbertablett serviert: Was ist (wenn überhaupt) gefährlich, wie häufig kommt eine Infektion vor, gibt es entfernteste Ähnlichkeiten mit schon bekannten Bedrohungen, Entwicklungstools und so weiter. Darüber hinaus werden ausführbare Dateien in unserer patentierten Cloud-Sandbox ausgeführt. Die Ergebnisse werden in wenigen Minuten zur Verfügung gestellt.

Zu diesem Zeitpunkt höre ich die 5 % schreien: „Das ist VirusTotal!“

Jein.

Einerseits ist das Ziel dasselbe: Fachleuten zusätzliche Tools zur Analyse eines konkreten Ereignisses und zum Treffen einer fundierten Entscheidung zur Verfügung zu stellen. Auf der anderen Seite ist unser Ansatz völlig anders.

VirusTotal wurde als einfacher Multiscanner konzipiert. Er vereint verschiedene Antiviren-Engines und füttert sie mit den vom Benutzer hochgeladenen Dateien. Aus diesem Grund wird der Vorwurf „Sie erkennen Datei X nicht“ häufig bei allen Anbietern, einschließlich uns, laut. Jedoch ist es präziser, wenn man sagt, dass wir X mit einem herkömmlichen Dateiscanner nicht erkennen. Wie sich später herausstellt, erkennen wir die Datei erfolgreich mit anderen Tools. Bei VirusTotal wird dies jedoch einfach nicht angezeigt. Sicher, VirusTotal hat neue zusätzliche Tools, aber das Hauptaugenmerk liegt weiterhin auf der breiten Abdeckung von Engines, die eine sehr konservative Technologie verwenden, die vor über 30 Jahren entwickelt wurde.

Als Experten für die eingehende Analyse komplexer Bedrohungen möchten wir diese Analysetiefe der gesamten Fachwelt zur Verfügung zu stellen. Die einzige Engine, die Artefakte im Threat Intelligence Portal analysiert, gehört zu der Firma, die meinen Namen trägt. Und es ist zufällig die Beste auf der Welt. Es kombiniert Dutzende fortschrittlicher Analysetechnologien (siehe hier, hier, und so weiter) und gibt Ihnen dann die Möglichkeit, sich die detaillierten Ergebnisse anzusehen. Im Vergleich zu dem Teil unserer Engine, der in VirusTotal integriert ist, bietet TIP natürlich eine ganz andere Erkennungsstufe.

Darüber hinaus kann es sich lohnen, Dateien mit VirusTotal zu scannen, da das Einholen einer zweiten, dritten und vierten Meinung nie schlecht ist. Es ist jedoch wichtig zu wissen, wie man diese Meinungen richtig gegeneinander abwägt. Falls wir uns jemals dazu entscheiden sollten, das Threat Intelligence Portal um Informationen aus einer Partnerschaft mit anderen Anbietern zu erweitern, wird unsere Sorgfalt besonders streng sein.

Ein weiterer Unterschied zwischen Threat Intelligence Portal und VirusTotal ist … wie soll ich es beschreiben… die eingeschränkte Verbreitung von Informationen. Die auf VirusTotal hochgeladenen Dateien stehen einer Vielzahl von Abonnenten zur Verfügung, wohingegen es auf unserem Threat Intelligence Portal keine Abonnenten gibt, die auf die Dateien anderer Personen zugreifen können.

Zum Thema Abonnements:

Es gibt eine kostenpflichtige Version des Threat Intelligence Portals, die viel umfangreicher ist – auch aufgrund des Zugriffs auf detaillierte Berichte über entdeckte Cyberbedrohungen, die von unseren Top-Analysten verfasst wurden. Und wenn sich herausstellt, dass eine hochgeladene Datei beispielsweise einer bekannten Finanz-Malware ähnelt, sind die aktuellsten und detailliertesten Informationen darüber, wie die Cyber-Bösewichte Opfer angreifen, welche Tools sie verwenden usw. mit der Vollversion des Dienstes direkt aufrufbar.

Tipps