Microsoft stellt Neuerungen für Advanced Threat Protection vor

Microsoft hat jetzt die bereits in Aussicht gestellten Neuerungen für die vor fast genau einem Jahr eingeführten und als Windows Defender Advanced Threat Protection (Windows Defender ATP) bezeichneten, erweiterten Sicherheitsfunktionen in Windows 10 für Unternehmen vorgestellt. Die Neuerungen können nun zudem in der “Windows Defender ATP Creators Update Preview” erprobt werden.

Den Ausführungen von Microsoft zufolge wird mit dem Windows Creators Update bei Windows ATP die Erkennung gefährlicher Aktivitäten und Software durch Speicher- und Kernel-Sensoren verbessert. Damit soll neueren Entwicklungen Rechnung getragen werden, da insbesondere professionelle Angreifer zunehmend in der Lage sind, Malware im Speicher zu verstecken und sie so vor herkömmlichen Erkennungstools zu verbergen. Laut Microsoft konnten mit der nun bald allgemein verfügbaren neuen Technologie bereits erfolgreich Zero-Day-Angriffe auf Windows abgewehrt werden.

Außerdem wurden offenbar die Möglichkeiten ausgebaut, Verhaltensmuster von Software zu beobachten und mittels maschinellem Lernen Malware und Angriffstechniken zu erkennen. Beispielsweise lassen sich neue Erkennungsregeln, die Kunden auch selbst festlegen können, auf bis zu sechs Monate zurückgehende Daten anwenden, um so zuvor unbemerkte Angriffe aufzuspüren.

Die Einbindung diverser Windows-Sicherheitstools – darunter Windows-Defender-Antivirus und Device Guard – in das Windows-Defender-APT-Portal soll für bessere Übersicht sorgen. Die Kombination mehrerer Erkennungs-Tools und der von ihnen gelieferten Ereignisse in einer Ansicht soll Verantwortlichen helfen, Probleme schneller zu lösen und gleichzeitig aktuelle Alarme im Blick zu behalten.

Neu ist auch eine sogennante User-Entity-Seite, die alle wichtigen Informationen zu einem Nutzer zusammenfasst. Da Warnungen damit auch rechnerübergreifend sichtbar werden, sollen sich so gezielte Angriffe auf einzelne Personen oder die Kompromittierung von Nutzerkonten besser aufspüren lassen. Außerdem soll es die Reaktion erleichtern indem sich Maschinen isolieren, Dateien aus dem Netzwerk fernhalten und Prozesse beenden oder in Quarantäne stellen lassen.

Windows Defender Advanced Threat Protection geht weit über den früheren Funktionsumfang des eher als eine Art Grundschutz gedachten Windows Defender hinaus. Das Funktionspaket soll Unternehmen helfen, Bedrohungen zu identifizieren, die andere Sicherheitsmaßnahmen überwunden haben, und Administratoren Werkzeuge an die Hand geben, um Sicherheitslücken untersuchen zu können. Außerdem sind Handlungsempfehlungen ein wichtiger Bestandteil des Konzepts. Das stößt insbesondere IT-Sicherheitsanbietern sauer auf, die fürchten, durch Microsofts Bemühungen langfristig ausgesperrt zu werden. Zum Beispiel hat Kaspersky in Russland bereits eine Kartellklage gegen Windows Defender angekündigt

[mit Material von Bernd Kling, ZDNet.de]