Die russische Security-Spezialistin Kaspersky Lab mit Zentrale in Moskau vervollständigt mit ihrer maschinenlesbaren Threat-Intelligence-Plattform das Dienstleistungsangebot der Kaspersky Security Intelligence Services. Der Service beinhaltet gemäss den Angaben Feeds mit Bedrohungsinformationen sowie Werzeuge zur Integration der Feeds in die verbreitetsten SIEM-Plattformen (Security-Information- and Event-Management).
Grosse Unternehmen sollen damit einen Einblick in die aktuelle Cyberbedrohungslandschaft erhalten, verspricht Kaspersky Lab. Zudem könnten interne Sicherheitsabteilungen dank aktuell bereitgestellter Kompromittierungsindikatoren Angriffe schnell identifizieren und abwehren.
Einer Studie von Kaspersky Lab zufolge hat das schnelle Entdecken eines Cybersicherheitsvorfalls direkte und messbare Auswirkungen auf die anschliessenden Wiederherstellungskosten. Demnach belaufen sich die Kosten eines eine Woche lang unentdeckten Vorfalls auf bis zu 1,1 Millionen Dollar. Werde ein solcher Vorfall innerhalb von Stunden entdeckt, müsse man hingegen durchschnittlich weniger als 400.000 Dollar aufwenden. Security Intelligence sei dabei die beste Lösung für eine frühzeitige Identifizierung von Vorfällen. Ein Unternehmen müsse in der Lage sein, einen Angriff über ein ganzes Set an Erkennungsmethoden zu beobachten und zu kontrollieren.
Während klassische Präventionstechnik auf Endpoint-Analysen setze, ermöglichten bei der eigenen Lösung zusätzliche Sicherheitsstufen die Kontrolle von Angriffen auf weiteren Ebenen, postuliert das Moskauer Unternehmen. Dafür sollen die Feeds Indikatoren gefährlicher Programme mittels Malware-Hashfunktionen, Informationen zu gefährlichen URL-Adressen, Phishing und Command-and-Control-Sites, Angaben zu Mobilgeräte-Bedrohungen sowie nun auch IP-Reputationsdaten zur besseren Identifizierung von Incidents mittels laufend aktualisierter Daten über Command-and-Control-Server sowie Angriffsquellen liefern. Alle Feeds beinhalten demnach zusätzliche kontextabhängige Daten, mit denen Unternehmen ihre Algorithmen zur Bedrohungsentdeckung feinjustieren, Prioritäten ihrer Sicherheitsabteilungen definieren und ihre Vorfallreaktion optimieren können. Dazu zählten unter anderem Zeitstempel aufgezeichneter Ereignisse, eine Liste betroffener Länder, verwandte IPs für URL-Adressen- und Domains sowie weitere Informationen.
Die Feeds mit Bedrohungsdaten fügen sich laut den Angaben von Kaspersky Lab in bestehende SIEM-Systeme ein. Über die Integration der Bedrohungsdaten könne man die von unterschiedlichen Netzwerkgeräten an das SIEM-System gesendeten Protokolle mit den URL-Feeds von Kaspersky Lab korrelieren. Die Feeds unterstützen neben Splunk ab sofort auch die SIEM-Systeme IBM Qradar und HP Arcsight.
www.kaspersky.com/de/enterprise-security/intelligence-services
Der Online-Stellenmarkt für ICT Professionals