Suchen

Threat Intelligence von Kaspersky Erst einordnen, dann abwehren

Autor: Melanie Staudacher

Mit der Threat Attribution Engine ordnet Kaspersky neue Cyberangriffe bereits bekannten APT-Gruppen zu. Durch die folgende Analyse der Schadsoftware sollen Unternehmen die Bedrohungen effizienter identifizieren, klassifizieren und entsprechend darauf reagieren können.

Firmen zum Thema

Neue Malware-Samples werden mit bestehenden Bedrohungen gleicher Art verglichen, um sie besser abwehren zu können.
Neue Malware-Samples werden mit bestehenden Bedrohungen gleicher Art verglichen, um sie besser abwehren zu können.
(Bild: Fredio - stock.adobe.com)

Advanced Persistent Threat (APTs) bleiben oft lange Zeit unentdeckt und können enormen Schaden anrichten. Für Unternehmen ist es aber wichtig, die Gefahr früh zu erkennen und einzuschätzen, um entsprechende Gegenmaßnahmen einleiten zu können.

Die Engine

Die Threat-Intelligence-Lösung ist eine Weiterentwicklung eines bislang intern verwendeten Tools, das Kaspersky jetzt für Unternehmen aufgebohrt hat. Sie wird vom Global Research and Analysis Team des russischen Security-Anbieters genutzt und kam schon gegen bekannte Attacken wie Shadowhammer, Lightspy und Shadowpad zum Einsatz. Ziel ist es, neue Malware-Samples bereits bekannten APT-Gruppen zuzuordnen, um Einblicke in die Herkunft der bösartigen Software und ihrer möglichen Autoren zu erhalten. Damit sollen Sicherheitsexperten risikoreiche Bedrohungen gegenüber weniger schwerwiegenden Vorfällen priorisieren können.

Wie funktioniert’s?

Um festzustellen, ob eine akute Sicherheitsbedrohung mit einem bereits bekannten APT in Verbindung steht und um welche Art von Angriff es sich genau handelt, zerpflückt die Lösung die identifizierte Datei in kleinste Teile, um sie mit den Dateien aus der Datenbank zu vergleichen. Zur genaueren Analyse kommt eine Whitelist hinzu, die nur vertrauenswürdige und autorisierte Verbindungsanfragen genehmigt. Zudem können Sicherheitsteams Akteure und Objekte manuell zu ihren Datenbanken hinzufügen, wodurch sich die Lösung weiterentwickelt.

Abhängig davon, wie sehr eine analysierte Schaddatei den Beispielen in der Datenbank ähnelt, berechnet Kaspersky Threat Attribution Engine einen Reputationswert, also die Höhe der Vertrauenswürdigkeit dafür. Außerdem benennt die Lösung die mögliche Herkunft und den Verursacher der Schaddatei sowie Links zu privaten und öffentlichen Informationen über bereits bestehende APTs derselben Art. Kunden mit einem Abonnement für das Kaspersky APT Intelligence Reporting erhalten darüber hinaus einen Report mit weiteren Informationen zu Techniken und Verfahren des identifizierten Angreifers sowie Empfehlungen zu geeigneten Maßnahmen.

Die Kaspersky Threat Attribution Engine ist so konzipiert, dass sie direkt im Netzwerk des Kunden und nicht in einer Cloud-Umgebung eines Drittanbieters eingesetzt werden kann. Dadurch soll die Kontrolle über die Nutzung und Teilung der Daten gewährleistet werden.

(ID:46666290)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH