Foto: Artur Szczybylo - shutterstock.com
Dienste, die Unternehmen über aktuelle Bedrohungen informieren, spielen eine immer größere Rolle. Sie werden Threat Intelligence genannt und von zahlreichen Firmen in verschiedenen Varianten angeboten. Einer dieser Provider ist der russische Sicherheitsspezialist Kaspersky, der sein Threat-Intelligence-Portal nun um ein API (Application Programming Interface) erweitert hat, so dass es nun möglich ist, verdächtige Dateien auch ohne Zugriff auf eine Weboberfläche zu testen. Im Frühjahr hatte das Unternehmen bereits kundenspezifische Warnungen integriert.
Kostenfreie Community-Analysen
Professionelle Threat-Intelligence-Dienste sind in der Regel nicht billig. Kaspersky bietet aber nach eigenen Angaben einen Community-Zugang an, der kostenfrei ist. Registrierte Anwender können eine begrenzte Zahl verdächtiger Dateien und URLs in der von Kaspersky bereitgestellten Cloud Sandbox testen. So lässt sich damit etwa überprüfen, ob eine Datei oder ein Link gefährlich sind und welche Aktivitäten sie auf einem betroffenen System auslösen.
Dazu gehören auch heuristische und statische Analysen zur etwa PE-Struktur (Portable Executable) einer Datei und zu extrahierten Strings sowie eine Integration von Emulations- und Reputationsdiensten und Verfahren zur Verhaltenserkennung. In Kombination sollen sich dadurch die Erkennungsraten auch fortschrittlicher Bedrohungen deutlich erhöhen lassen.
Darüber hinaus hat Kaspersky nach eigenen Angaben einen neuen privaten Übermittlungsmodus eingeführt. Er soll sicherstellen, dass die Ergebnisse einer Analyse nicht frei für Jedermann verfügbar sind. Bei möglicherweise sensiblen Dateien ist das eine wichtige Funktion. Neben dem kostenfreien Community-Zugang bietet das Unternehmen auch eine kostenpflichtige Version des Dienstes an. Sie soll etwa bei der Untersuchung besonders komplexer Incident-Untersuchungen behilflich sein.