Kaspersky Anti Targeted Attack 8.0

Protokollbasierte Anomalieerkennung statt Vollinspektion

Sicherheitsteams stehen zunehmend vor der Herausforderung, relevante Bedrohungssignale aus einem wachsenden Datenvolumen herauszufiltern. Kaspersky Anti Targeted Attack 8.0 begegnet dem mit einer überarbeiteten Anomalieerkennung, die sich auf Protokolle konzentriert, die in Angriffen regelmäßig missbraucht werden – darunter DNS, HTTP und Kerberos. Anstatt den gesamten Netzwerkverkehr vollständig zu prüfen, analysiert die Technologie protokollspezifische Abweichungen unter Berücksichtigung der jeweiligen Infrastruktur und des Nutzungsprofils einer Organisation. Das Ziel: höhere Erkennungsgenauigkeit bei gleichzeitig reduzierten Fehlalarmen und damit weniger Alarmmüdigkeit in den Sicherheitsteams.

Schatten-IT im Blick: Mehr als 5.000 externe Dienste erfasst

Ein weiteres Merkmal der neuen Version ist die erweiterte Erkennung von Schatten-IT. Die Plattform erkennt nun die Nutzung von mehr als 5.000 nicht autorisierten externen Diensten – darunter verbreitete Cloud-Speicher- und Kollaborationsplattformen. Security-Teams erhalten damit einen detaillierteren Überblick darüber, welche Daten das Unternehmensnetz in Richtung welcher Dienste verlassen, ohne dass diese offiziell freigegeben wurden. Das verbessert nicht nur die Netzwerktransparenz, sondern unterstützt auch die Einhaltung interner Datenschutzrichtlinien.

Rückwirkende Analyse: PCAP-Dateien nachträglich auswerten

Für forensische Untersuchungen bietet Kaspersky Anti Targeted Attack 8.0 die Möglichkeit, gespeicherte Netzwerkdaten im PCAP-Format nachträglich zu analysieren. Die Dateien können manuell oder automatisiert aus anderen Sicherheitssystemen übergeben und anschließend mit aktuellen Erkennungsregeln über mehrere Analyse-Engines geprüft werden – darunter Anti-Malware, Sandbox und Intrusion-Detection-System. Das erleichtert rückblickende Untersuchungen, etwa um Bedrohungen aufzudecken, die zum Zeitpunkt eines Vorfalls noch nicht erkannt werden konnten. Ergänzend erfasst die Lösung alle relevanten Indikatoren aus dem Netzwerkverkehr, einschließlich Dateinamen, URLs und Hashwerten, um Analysten bei der Identifikation kompromittierter Nutzer zu unterstützen.

Engere Einbindung in bestehende Sicherheitsprozesse

Ein Schwerpunkt des Updates liegt auf der Integration mit anderen Sicherheitslösungen. Die Anbindung an Kaspersky Security for Mail Server ermöglicht es, passwortgeschützte E-Mail-Anhänge dynamisch in der Sandbox zu prüfen. Erweiterte Warnmeldungen informieren dabei über die von der Mail-Sicherheitslösung ausgeführten Maßnahmen, etwa das Blockieren oder Löschen verdächtiger Inhalte.

Organisationen, die den Managed-Detection-and-Response-Dienst (MDR) nutzen, können Kaspersky Anti Targeted Attack 8.0 als Netzwerksensor einsetzen: Die Plattform stellt Telemetriedaten direkt in der MDR-Cloud bereit, und MDR-Analysten können über die MDR-Oberfläche zusätzlichen Kontext anfordern, ohne die betroffene Organisation direkt einbeziehen zu müssen. Das verkürzt die Zeit von der Erkennung bis zur Einordnung eines Vorfalls.

Auch die Endpoint-Integration wird ausgebaut: Kaspersky Endpoint Security kann verdächtige Dateien automatisiert an die Sandbox der Plattform übermitteln, um Auffälligkeiten tiefergehend zu untersuchen und bestätigte Befunde schneller in Gegenmaßnahmen zu überführen.

Automatisierte Firewall-Regeln über Check-Point-Schnittstelle

Neu in Version 8.0 ist außerdem eine Schnittstelle zu Check Point Next-Generation-Firewalls (NGFW). Auf Basis erkannter schädlicher Netzwerkaktivitäten kann die Plattform automatisiert Blockierregeln generieren und diese nahezu in Echtzeit auf Firewall-Ebene durchsetzen. Das verkürzt den Weg von der Erkennung zur aktiven Abwehr einer Bedrohung.

„Kaspersky Anti Targeted Attack 8.0 wurde entwickelt, um ein hohes Maß an Transparenz zu schaffen – für eine proaktive Bedrohungserkennung, tiefere Analysen und fundierte Entscheidungen bei der Reaktion durch fortschrittliche Analyseverfahren und die enge Integration mit Endpoint-Schutz, E-Mail-Sicherheit und Managed Detection and Response“, erklärt Ilya Markelov, Head of Unified Platform Product Line bei Kaspersky. Mit Blick auf künftige Entwicklungen kündigt das Unternehmen an, die Plattform in späteren Versionen in die Open Single Management Platform zu integrieren. Das soll eine einheitliche Web-Konsole ermöglichen, über die NDR, EDR, SIEM, XDR und weitere Bausteine innerhalb eines gemeinsamen Sicherheitsökosystems verwaltet werden können.

Weitere Informationen zu Kaspersky Anti Targeted Attack sind verfügbar unter: https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

Protocol-based anomaly detection instead of full inspection

Security teams are increasingly faced with the challenge of filtering out relevant threat signals from a growing volume of data. Kaspersky Anti Targeted Attack 8.0 addresses this with a revised anomaly detection system that focuses on protocols that are regularly abused in attacks, including DNS, HTTP, and Kerberos. Instead of checking all network traffic in its entirety, the technology analyzes protocol-specific deviations, taking into account the respective infrastructure and usage profile of an organization. The goal: higher detection accuracy with fewer false alarms, thereby reducing alarm fatigue among security teams.

Shadow IT in view: More than 5,000 external services recorded

Another feature of the new version is enhanced shadow IT detection. The platform now detects the use of more than 5,000 unauthorized external services, including popular cloud storage and collaboration platforms. This gives security teams a more detailed overview of which data is leaving the corporate network for which services without having been officially approved. This not only improves network transparency, but also supports compliance with internal data protection guidelines.

Retrospective analysis: Evaluate PCAP files retrospectively

For forensic investigations, Kaspersky Anti Targeted Attack 8.0 offers the option of retrospectively analyzing stored network data in PCAP format. The files can be transferred manually or automatically from other security systems and then checked using the latest detection rules across multiple analysis engines, including anti-malware, sandbox, and intrusion detection systems. This facilitates retrospective investigations, for example to uncover threats that could not be detected at the time of an incident. In addition, the solution captures all relevant indicators from network traffic, including file names, URLs, and hash values, to help analysts identify compromised users.

Closer integration with existing security processes

One focus of the update is integration with other security solutions. The connection to Kaspersky Security for Mail Server enables password-protected email attachments to be dynamically checked in the sandbox. Advanced alerts provide information about the measures taken by the mail security solution, such as blocking or deleting suspicious content.

Organizations that use the Managed Detection and Response (MDR) service can deploy Kaspersky Anti Targeted Attack 8.0 as a network sensor: the platform provides telemetry data directly in the MDR cloud, and MDR analysts can request additional context via the MDR interface without having to involve the affected organization directly. This shortens the time from detection to classification of an incident.

Endpoint integration is also being expanded: Kaspersky Endpoint Security can automatically transfer suspicious files to the platform’s sandbox for in-depth investigation of anomalies and faster conversion of confirmed findings into countermeasures.

Automated firewall rules via Check Point interface

Another new feature in version 8.0 is an interface to Check Point Next-Generation Firewalls (NGFW). Based on detected malicious network activity, the platform can automatically generate blocking rules and enforce them at the firewall level in near real time. This shortens the path from detection to active defense against a threat.

„Kaspersky Anti Targeted Attack 8.0 was developed to create a high level of transparency – for proactive threat detection, deeper analysis, and informed decisions when responding through advanced analysis methods and close integration with endpoint protection, email security, and managed detection and response,“ explains Ilya Markelov, Head of Unified Platform Product Line at Kaspersky. With an eye to future developments, the company has announced that it will integrate the platform into the Open Single Management Platform in later versions. This will enable a unified web console through which NDR, EDR, SIEM, XDR, and other components can be managed within a common security ecosystem.

Further information on Kaspersky Anti Targeted Attack is available at: https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform