Die neue Lösung Kaspersky Endpoint Detection and Response Expert bietet bessere Erkennung und Untersuchung und lässt sich On-Premies oder über die Cloud nutzen. Die Lösung soll mehr Schutz gegen APT-Angriffe leisten und fasst Einzel-Alerts zu einem Vorfall zusammen.
Kaspersky aktualisiert seine Endpoint-Detection-and-Response-Lösung, die sich an Unternehmen mit ausgereiften IT-Sicherheitsprozessen richtet. Unter dem neuen Namen Kaspersky Endpoint Detection and Response Expert [1] bietet die Lösung Unternehmen zusätzliche Schutzfunktionen vor fortschrittlichen, APT-ähnlichen Angriffen. Für eine bessere Untersuchung und Vorfallreaktion werden Alerts nun automatisch zu Vorfällen zusammengeführt und das regelbasierte Scannen mit YARA sowie die API-Integration für die Reaktion auf Hosts eingeführt. Neben der bereits verfügbaren Vor-Ort-Version bietet die aktualisierte Lösung alternativ eine Cloud-Management-Konsole, die in Azure gehostet wird. Damit profitieren alle Kunden, die Cloud-Lösungen einsetzen, von den Vorteilen der bewährten und starken EDR-Lösung, die auf einer vertrauenswürdigen Cloud-Plattform gehostet wird.
EDR ist inzwischen ein Grundschutz
EDR-Lösungen sind zum Schutz von Unternehmen vor Cyberangriffen mittlerweile unverzichtbar. Gartner geht davon aus, dass bis zum Jahr 2023 mehr als die Hälfte aller Unternehmen die herkömmlichen Antivirus-Lösungen durch EDR-Produkte ersetzen wird [2]. Bei stark verteilter IT-Infrastruktur bleiben Angriffe oft mehr als einen Monat lang unentdeckt [3]. Mit EDR verfügen Unternehmen über effektive Untersuchungsmöglichkeiten, um Angriffe so früh wie möglich zu erkennen und so deren Ausbreitung einzudämmen.
Genauere Erkennung und Untersuchung sowie API für die Reaktion
Kaspersky Endpoint Detection and Response Expert schützt Unternehmen umfassend vor allen gängigen wie auch fortschrittlichen Cyberbedrohungen. Mit den neuen Möglichkeiten zur Erkennung und Untersuchung verdächtiger Objekte können Unternehmen ihre Analyse verfeinern und Bedrohungen aus der Masse aller Alerts besser herausfiltern.
Die über Angriffsindikatoren (Indicator of Attack, IoA) gefundenen verdächtigen Dateien lassen sich automatisch in die Sandbox schicken und dort in isolierter Umgebung weiter untersuchen. Erst, wenn sich die Datei tatsächlich als gefährlich herausstellt, wird ein Alert ausgelöst. Für die IoA-Regeln lassen sich Ausnahmen in unterschiedlicher Granularität definieren. So wird vermieden, dass Unternehmen neben echten Gefahrenmeldungen zu viele False-Positive-Warnungen bearbeiten müssen.
Vor-Ort- und Cloud-Management-Konsole
Bei Verwendung der Vor-Ort-Konsole können Threat Hunter und Spezialisten im Security Operations Center (SOC) die an Endpoints identifizierten verdächtigen Dateien jetzt auf dem Host-Rechner nach YARA-Regeln untersuchen. Das Scannen der Endpoints kann auf das Random Access Memory (RAM) und bestimmte Verzeichnisse beschränkt oder auf allen lokalen Festplatten durchgeführt werden. Wird die Cloud-Management-Konsole genutzt, ermöglicht Kaspersky Endpoint Detection and Response Expert die automatische Zuordnung fragmentierter Alerts an unterschiedlichen Endpoints zu einem einzigen Vorfall, so dass IT-Sicherheitsspezialisten nicht mehr jeden einzelnen Alert untersuchen müssen.
Aufgrund der API-Integration kann in der Vor-Ort-Version die Vorfallreaktion auch unter Einbindung von Drittanbieter-Systemen auf dem Host erfolgen. So kann das Sicherheitsteam für seine Antwort zum Beispiel auch SIEM- oder SOAR-Plattformen nutzen.
Cloud-Version in Azure
Die neue Cloud-Version in Azure senkt die Gesamtbetriebskosten und macht eine schnelle Pilotierung, Implementierung und das Management der Schutzlösung ortsunabhängig, während zudem mehr Transparenz geboten wird. Flexible Abo-Möglichkeiten erlauben Kunden eine schnelle Anpassung bei der Zahl benötigter Lizenzen, um alle Endpoints abzudecken.
„Für die Cybersicherheit von Unternehmen ist ein vollwertiges EDR-Tool unersetzlich. Und deshalb sollte es an die unterschiedlichen Kundenanforderungen bei Erkennung, Reaktion und Sicherheits-Management anpassbar sein“, sagt Sergey Martsynkyan, Vice President Corporate Produkt Marketing bei Kaspersky. „Remote Working und Cloud-Nutzung sind anhaltende Trends. Wir freuen uns daher, mit der neuen Lösung EDR-Funktionen auch über die Cloud anbieten zu können. Das Hosten des Produkts auf einer Cloud-Plattform eines Drittanbieters unterstreicht Kasperskys Engagement für Datenschutz und das Vertrauen der Kunden in Bezug auf die Datenverarbeitung und den Standort. Eine mächtige und zuverlässige EDR-Lösung legt den Grundstein für zukünftige, erweiterte Schutzmöglichkeiten und verhilft Unternehmen zu mehr Sichtbarkeit und Kontrolle über alle Sicherheitsbelange.“
Advanced Persistent Threat (APT) Protection
Zusammen mit den Kaspersky-Enterprise-Produkten trägt Kaspersky EDR Expert dazu bei, dass Kaspersky im aktuellen Bericht „Advanced Persistent Threat (APT) Protection – Market Quadrant 2022“ von Radicati als Top-Player anerkannt wird. Die Anerkennung bestätigt die hohe Funktionalität und strategische Vision des Unternehmensportfolios und seine Fähigkeit, Kunden vor komplexen Cyberbedrohungen zu schützen.
[1] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-15-gartner-survey-finds-the-evolving-threat-landscape-is-top-priority-for-security-and-risk-management-leaders
[3] https://www-csoonline-com.cdn.ampproject.org/c/s/www.csoonline.com/article/3639014/enterprises-with-subsidiaries-more-prone-to-cyberattacks-study-says.amp.html Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/