Kaspersky warnt vor Attacken auf Firmen

Sensoren auf allen Layern

von - 18.03.2016
Kasperskys Anti Targeted Attack Platform überwacht den Netzverkehr im Unternehmen in Echtzeit und kombiniert das mit einer Metadaten-Analyse, einer Objekt-Sandbox zum Isolieren verdächtiger Dateien und einer Endpoint-Verhaltensanalyse der Anwender. Die Bedrohungsanalyse korreliert also mehrere Einflussfaktoren miteinander, um neue Malware, Ransomware, Crimeware und die besonders gefährlichen Advanced Persistent Threats zu erkennen.
Advanced persistent Threats
Advanced Persistent Threats: Selten, aber brandgefährlich und schädlich.
(Quelle: Kaspersky )
Im Einzelnen:
  • Netzwerksensoren überwachen den Netz-Traffic, um Frühindikatoren zu erkennen, die auf einen Angriff hindeuten (Anomalien. Musterabweichungen etc.).
  • E-Mail-Sensoren sollen potentiell schädliche Objekte aus Mail-Anhängen entfernen.
  • Endpoint-Sensoren (light agents) sammeln Informationen über netzwerkaktive Prozesse, die von den Endanwendern (Endpoints) des Unternehmens ausgeführt werden.
  • Websensoren machen potenziell gefährliche Objekte im Webverkehr unschädlich und verwenden dafür das ICAP-Protokoll. Dadurch werden Angriffe vereitelt, die bereits durch den bloßen Besuch einer infizierten Webseite starten.
Kasperskys Sandbox-Technologie ist eine Art Hochsicherheitslabor für besonders gefährliche Viren. Sandboxen stellen eine isolierte, virtualisierte Umgebung bereit, wo Sicherheitsexperten verdächtige Objekte, die Netzwerk-, Mail- und Websensoren identifiziert haben, dynamisch untersuchen können. Stellt sich ein Objekt im isolierten Sandbox-Test als Schädling heraus, kann er trotzdem keinen Schaden im System anrichten.
Der Targeted Attack Analyzer kombiniert die Daten der Netzwerk- und Endpoint-Sensoren und vergleicht sie mit der "Baseline", also den typischen Mustern, um verdächtige Aktivitäten aufzuspüren. Durch die Korrelation mehrerer Faktoren wird ungewöhnliches, abweichendes Verhalten transparent. Ein einfacher Virenscanner wäre nicht in der Lage, solch komplexe Angriffe aufzudecken.
Viele Unternehmen sind im Besitz der Daten und "Incidents", nutzen sie aber nicht für die Prävention, sagt Oleg Glebov. Das sei ein teurer Fehler. Das Zeitalter der Produkte gehe zu Ende, die Ära der Plattformen breche an. Das war auf der CeBIT oft zu hören und gilt auch für die Sicherheit. Kaspersky komplettiert seine neue Plattform mit dem Beratungs- und Dienstleistungsangebot "Security Intelligence Services".
Verwandte Themen