14 Mrz 2017

+1 Enterprise Intelligence-Service: Unser neuer Röntgenblick für Cyberbedrohungen!

Nachrichten Produkte Sicherheit Technologie

Menschen sind eine interessante Meute. Es liegt in ihrer Natur, sich an dem „Warum“ und „Wie“ von allem und jedem zu versuchen. Und das gilt auch für die Cybersicherheit, sogar in zweifacher Weise: Das Ergründen des „Warums“ und des „Wies“ der Cyberbedrohungen stellt nämlich die Grundlage dar, auf der die Cybersicherheit und somit auch KL basieren.

Für uns bedeutet das Ergründen des „Warums“ und des „Wies“, dass wir jeden Cyberangriff bis aufs kleinste Detail in seine jeweiligen Bestandteile zerlegen, alles analysieren und, sofern notwendig, einen spezifischen Schutz gegen ihn entwickeln. Und es ist immer besser die Initiative zu ergreifen, basierend auf den Fehler anderer, anstatt auf einen Angriff auf das, was wir schützen, zu warten.

Für diese anspruchsvolle Aufgabe haben wir einen Haufen von Intelligence Services für Unternehmen. In dieser Sammlung von Tools für die Cybersorgfalt bieten wir Mitarbeiterschulungen, Security Intelligence-Services, um detaillierte Informationen über entdeckte Angriffe zu sammeln, fachmännische Services für Penetrationstests, Überprüfungen von Anwendungen, Untersuchungen von Zwischenfällen und vieles mehr.

Und jetzt enthält dieses „und vieles mehr“ unseren neuen Service – KTL (Kaspersky Threat Lookup) – das intelligente Mikroskop zerlegt verdächtige Objekte und enthüllt den Ursprung/Verlauf von Cyberangriffen, multivariate Korrelationen und den Gefährdungsgrad für die Infrastruktur des Unternehmens. Ein ganz schöner Röntgenblick für Cyberbedrohungen.

Eigentlich haben schon alle unsere Nutzer eine Lite-Version von diesem Service. Die Sicherheitseinstufung einer Datei kann auch mit unseren Produkten für Privatanwender überprüft werden, aber Unternehmenskunden benötigen eine tiefergehende, gründlichere Analyse der Risiken.

Zunächst einmal kann man KTL nicht nur für die Überprüfung von Dateien benutzen, sondern auch für URLs, IP-Adressen und Domains. Es kann Objekte auf Merkmale von zielgerichteten Angriffen, verhaltensbasierte und statistische Besonderheiten, WHOIS/DNS-Daten, Dateieigenschaften, Download-Ketten und vieles mehr untersuchen.

Genau, es ist so ein bisschen wir eine Suchmaschine, nur dass die Suche auf Cyberbedrohungen beschränkt ist. Engagierte Mitarbeiter brauchen nur die Details eines bestimmten verdächtigen Objekts eingeben und KTL gibt ein umfassendes Bild wieder, einschließlich historischer, geographischer und anderer Aspekte sowie Verbindungen zu anderen Ereignissen und Objekten. Alles in Echtzeit, rund um die Uhr und sieben Tage die Woche.

Die Ergebnisse, die verdächtigen Objekte und andere IOCs (Indicators of Compromise) können in maschinenlesbaren Formaten (STIX, OpenIOC, JSON, Yara, Snort, CSV…) für die Integration in unternehmenseigene SIEM-Systeme exportiert werden.

Und wo bekommt KTL seine Daten her? Da gibt es verschiedene Quellen.

Als erstes haben wir da unser cloudbasiertes KSN, das anonymisierte Signale über die epidemiologische Situation von Hunderten Millionen Nutzern auf der ganzen Welt enthält. Durch das Benutzen schützen sich die Kunden nicht nur (die Teilnahme im KSN erhöht automatisch die Qualität des Schutzes), sondern sie tragen auch etwas zu einer wichtigen humanitären Mission bei: Sie schützen auch andere und senken dadurch das allgemeine Niveau der Cyberbedrohungen im Internet.

Zweitens haben wir noch unsere Technologie, die Netzwerkaktivitäten analysiert, die Spam-Fallen, Botnet-Überwachungen, Web-Crawler, diverse Netzwerksensoren sowie intelligente Roboter beinhalten, was durch maschinelles Lernen unterstützt wird. Und natürlich sind da auch noch die Untersuchungsergebnisse von komplexen, zielgerichteten Angriffen der GReAT Cyber-Ninjas.

Als drittes haben wir dann noch unsere Partner-Softwareentwickler. Übrigens wird deren Rolle mit der Zeit immer wichtiger werden und irgendwann vorherrschend sein. Genau, wir haben große Pläne für die Zukunft, aber ich werde hier jetzt noch nicht ins Detail gehen.

Für den Augenblick: Ein klein wenig über unsere Pläne für die nähere Zukunft…

Wir arbeiten gerade daran, die KTL-Funktionen für die Analyse von verdächtigen Objekten in einer sicheren Umgebung durch eine cloudbasierte Sandbox zu ergänzen.

Zum Beispiel kann eine Datei in die Sandbox platziert und in einer speziellen virtuellen Maschine (mit einem patentierten Protokollierungssystem) ausgeführt werden. Die virtuellen Maschinen sind vollkommen voneinander und von internen Netzwerken isoliert und verfügen zudem über eine begrenzte externe Konnektivität. Die virtuellen Maschinen gleichen physischen Computern, so dass die Objekte sich sicher fühlen und so handeln, wie sie es in der realen Welt tun würden. Die Maschinen verzeichnen dann alle Aktivitäten von dem ausgeführten Objekt (ganz wie unser KATA-Schutz vor zielgerichteten Angriffen). Sämtliche Ergebnisse werden in einem detaillierten Bericht zusammengefasst; hier wird aufgeführt, was die Datei in einer reellen Situation getan hätte, und es wird auch ein Bericht über die gesamte Tragweite des Verhaltens des Risikos beigefügt.

In Vorbereitung befinden sich auch nützliche Tools für die Arbeit mit Metadaten-Dateien und URLs. Bevorstehende Versionen werden Funktionen beinhalten, mit denen verschiedene Metadaten extrahiert und benutzerdefinierte Suchanfragen in diesen Metadaten durchgeführt werden können. Somit wird es ermöglicht, tiefgehende Untersuchungen von Malware basierend auf Ähnlichkeiten bei verschiedenen Parametern durchzuführen, um das Gesamtbild von technisch ausgefeilten Angriffen zu verstehen. Mit Hilfe dieses Tools kann man ihm Befehle geben, wie zum Beispiel: „Finde alle Dateien, die beim Start dieses oder jenes tun“ oder „Finde alle Dateien mit diesem Namen“ oder „Finde Dateien, die von einer Antivirensoftware aufgrund von diesem oder jenem Kriterium entdeckt wurden“ oder „Finde Dateien, dessen Code diese oder jene Zeile enthält“.

Wie man sieht, arbeiten wir an der Entwicklung eines Multifunktions-Cyber-Röntgenblicks, aber ein Teil der Funktionsvielfalt kann bereits jetzt genutzt werden (damit ihr neue nützliche Features empfehlen könnt:).

Weitere Informationen über KTL: hier.