Kaspersky Lab komplettiert mit seiner maschinenlesbaren Threat-Intelligence-Plattform das Dienstleistungsangebot der Kaspersky Security Intelligence Services. Der maschinenlesbare Threat-Intelligence-Service beinhaltet Feeds mit Bedrohungsinformationen sowie Tools zur Integration der Feeds in die verbreitetsten SIEM-Plattformen. Damit erhalten große Unternehmen einen Einblick in die aktuelle Cyberbedrohungslandschaft. Zudem verfügen interne Sicherheitsabteilungen dank aktuell bereitgestellter Kompromittierungsindikatoren über eine Möglichkeit, verschiedenste Cyberattacken schnell zu identifizieren und abzuwehren. Innerhalb der neuen Feeds zu Indikatoren über Malware für Desktops und mobile Geräte wurden die schadhaften URLs zudem um Daten über die IP-Reputation erweitert.
Laut einer aktuellen Studie von Kaspersky Lab hat das schnelle Entdecken eines Cybersicherheitsvorfalls direkte und messbare Auswirkungen auf die anschließenden Wiederherstellungskosten. Demnach belaufen sich die Kosten eines eine Woche lang unentdeckten Cybersicherheitsvorfall auf bis zu 1,1 Millionen US-Dollar. Wird ein solcher Vorfall innerhalb von Stunden entdeckt, müssen durchschnittlich weniger als 400.000 US-Dollar aufgewendet werden. Eine effiziente Strategie zur Entdeckung von Cybersicherheitsvorfällen macht sich somit bezahlt und kann über zeitgemäße Konzepte wie der Einrichtung einer internen Sicherheitsabteilung mit durchgesetzt werden.
Daten-Feeds sorgen für ein zusätzliches Niveau an Cybersicherheit
Security Intelligence ist die beste Lösung für eine frühzeitige Identifizierung von Cybervorfällen. Ein Unternehmen muss in der Lage sein, einen Angriff über ein ganzes Set an Erkennungsmethoden beobachten und kontrollieren zu können. Während klassische Präventionstechniken auf Analyseaktivitäten auf Endpoint-Ebene setzen, ermöglichen zusätzliche Sicherheitsstufen die Kontrolle von Attacken auf weiteren Ebenen. Hierfür sind die Feeds von Kaspersky Lab geeignet:
- Indikatoren gefährlicher Programme mittels Malware-Hashfunktionen: über regelmäßige Feed-Updates erhalten Unternehmen einen fundierten Einblick in die aktuelle Bedrohungslandschaft nahezu in Echtzeit.
- Gefährliche URL-Adressen, Phishing und Command-and-Control-URLs: dieser Datenstrom kann erste Hinweise liefern, ob Aktivitäten im Netzwerk regulär stattfinden oder ob es sich um eine sehr gut getarnte Cyberattacke handelt. Diese Feeds beinhalten Daten über URL-Adressen, die mit Malware, Phishing oder Botnetz-Operationen gegen PCs und mobile Geräte in Verbindung gebracht werden können. Es stehen maskierte und nicht maskierten Datensätze zur Verfügung.
- Mobile Bedrohungen: ein speziell für die Telekommunikationsbranche zugeschnittenes Paket, das Informationen über die jüngsten Schadprogramme für mobile Geräte enthält – über einen Datensatz von Datei-Hashfunktionen.
- IP-Reputationsdaten: dieser Feed unterstützt die Identifizierung aktiver Cybersicherheitsvorfälle mittels weltweiten und laufend aktualisierten Daten über Command-and-Control-Server sowie Quellen von Cyberattacken.
Alle Feeds beinhalten zusätzliche kontextabhängige Daten, mit denen Unternehmen ihre Algorithmen zur Bedrohungsentdeckung feinjustieren, Prioritäten ihrer Sicherheitsabteilungen definieren und ihre Vorfallreaktion optimieren können. Dazu zählen unter anderem Zeitstempel aufgezeichneter Ereignisse, eine Liste betroffener Länder, verwandte IPs für URL-Adressen- und Domains sowie weitere Informationen.
Integration: Unterstützung von SIEM-Lösungen
Die Feeds mit Bedrohungsdaten von Kaspersky Lab fügen sich in bestehende SIEM-Systeme ein. Über die Integration der Bedrohungsdaten können die von unterschiedlichen Netzwerkgeräten an das SIEM-System gesendeten Protokolle mit den URL-Feeds von Kaspersky Lab korreliert werden. Die Kaspersky-Feeds mit Bedrohungsinformationen unterstützen neben Splunk ab sofort auch die SIEM-Systeme IBM QRadar und HP ArcSight.
„Threat Intelligence ist der Kern unserer Arbeit“, so Holger Suhl, General Manager DACH bei Kaspersky Lab. „In einigen Fällen ist es einfacher, die Kaspersky-Feeds mit Bedrohungsinformationen in die SIEM-Lösung des Kunden zu integrieren, als die bereits vorhandene Anti-Malware-Produkte zu ändern. Mit den Feeds können sich unsere Kunden von Kaspersky Lab schützen lassen, ohne signifikante Änderungen bei ihren Sicherheitssystemen vornehmen zu müssen. Threat Intelligence ist mehr als nur Prävention: wir liefern maschinenlesbare Daten, die die Sicherheitsabteilung eines Unternehmens mit der Fähigkeit ausstattet, hochentwickelte und zielgerichtete Angriffe identifizieren und beseitigen zu können.“
Kaspersky Lab arbeitet zudem an der Ausweitung seiner maschinenlesbaren Threat Intelligence für weitere Plattformen auf Enterprise-Ebene.
