Microsoft stellt selbstlernende Sicherheits-Software für Firmen vor

SicherheitSicherheitsmanagement
(Bild: Shutterstock/Lightspring)

Das Microsoft Advanced Threat Analytics genannte Angebot baut auf der Übernahme des Unternehmens Aorato auf. Die Software läuft ausschließlich auf Servern des Anwenderunternehmens. Sie vereint Elemente von SIEM (Security Information and Event Management), DLP (Data Loss Prevention) und Deep Packet Inspection. Eine Preview steht für Interessierte ab sofort zum Test bereit.

Microsoft baut sein Angebot an IT-Sicherheit in Firmen um eine Advanced Threat Analytics (ATA) genannte Komponente aus. Der konzern hat sie seiner Konferenz Ignite in Chicago vorgestellt und gleichzeitig als Preview verfügbar gemacht. ATA basiert auf Technolgoie des im November vergangenen Jahres übernommenen Unternehmens Aorata.

ATA läuft im Gegensatz zu vielen anderen, modernen Sicherheitslösungen ausschließlich auf Servern des Anwenderunternehmens. Es kümmert sich dort etwa um die Analyse von Log-Files und untersucht auch auch Informationen aus Active Directory. Durch letzteres lassen sich zum Beispiel Nutzer identifizieren, die sich – scheinbar – zu ungewöhnlichen Zeiten von unbekannten Rechnern oder von ungewöhnlichen Orten in das System einloggen. Diese auffälligen Vorgänge werden über einen Algorithmus für Maschinenlernen aufgespürt und mit “normalem” Verhalten verglichen.

Wie Idan Plotnik, Principal Group Manager des Microsoft Advanced Threat Analytics Teams und ehemaliger CEO von Aorato, erklärt, wird für Microsoft Advanced Thread Analytics sämtlicher Traffic, der mit Active Directory zusammenhängt kopiert. Dadurch bleibt das Tool selbst für Angreifer unsichtbar. Dann erst startet die Analyse dieses Traffics. Die so gewonnen Informationen werden innerhalb des Unternehmens gespeichert. Anhand dieser Daten ‘lernt’ die Lösung, wie ein normales Verhalten im Netzwerk aussieht. Verhalten, das von diesen gelernten Mustern abweicht, wird dann gemeldet.

Ergänzt wird die neue Sicherheitssuite mit einem Modul für Deep Packet Inspection (DPI). Damit lassen sich bestimmte Angriffstechniken aufspüren, die zum Beispiel mit gestohlenen Nutzerdaten agieren. Über DPI kommt zudem auch eine Signatur-basierende Sicherheitsfunktion hinzu.

Damit reagiert Microsoft offenbar darauf, dass Angriffe auf Firmen immer komplexer werden. Ähnlich wie in der Vergangenheit mit seinen Security-Angeboten scheint es auch jetzt eine zumindest einigermaßen brauchbare Grundversorgung aufbauen zu wollen, die wenigstens dafür sorgt, dass Microsoft-Software und -Technologie als Einfallstor weitgehend ausgeschlossen werden kann.

Wie bereits aber auch schon in der Vergangenheit mit Security Essentiels oder auch Forefront sieht es auch jetzt nicht danach aus, als ob Microsoft mit etablierten Anbietern in dem Segment – und oft wichtigen Partnern des Konzerns – ernsthaft in Konkurrenz treten will. Lediglich die Messlatte für sie wird etwas höher gelegt – und möglicherweise kommt der eine oder andere mittelständische Anbieter auch erst durch die Nutzung der Microsoft-Angebote auf den Geschmack oder erkennt die Notwendigkeit leistungsfähigerer Lösungen für sich.

Außerdem will Microsoft auch im Bereich Data Loss Prevention nachbessern. Wie es auf der Ignite bekannt gegeben hat, sollen die Outlook-App für Android und iPhone noch in diesem Quartal mit Funktionen verbessert werden, die versehentliches oder vorsätzliches Weiterleiten von vertraulichen Informationen via Mail unterbinden. Voraussetzung dafür ist allerdings, die Verwaltung über Intune. Dann soll sich verhindern lassen, dass bestimmte Dokumente kopiert oder als Attachment weitergeleitet werden.

Ob der Ansatz umsetzbar ist und nicht wie frühere Versuche anderer Firmen im Bereich Data Loss Prevention entweder durch die Komplexität der Klassifizierung oder die verbliebenen Lücken bei einem zu großmaschigen Filter zum Scheitern verurteilt ist, muss die Praxis zeigen. Zumindest Firmen, die viele Mitarbeiter und viele vertrauliche Dokumente haben, werden wohl auch in Zukunft eher auf Ansätze von Spezialisten wie Vormetric zurückgreifen.

Ein Update für Azure Rights Management Serices sorgt nun außerdem in der Microsoft-Cloud dafür, dass Anwender nicht nur wie bisher festlegen können, wer ein Dokument öffnen darf, sondern sich auch nachverfolgen lässt, wer mit diesem Dokument was getan hat. Außerdem kann gegebenenfalls der Zugriff unterbunden werden. Dazu wird dem Sender auf einem Dashboard angezeigt wo ein Dokument geöffnet wird. Der Besitzer des Dokuments kann zudem auch festlegen, dass bei jedem Öffnen ein Password eingegeben werden muss, oder bestimmen, dass der Adressant das Dokument in einem bestimmten Zeitraum öffnen muss.

[mit Material von Martin Schindler, silicon.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen