Das Gateway zur Cyberimmunität

Hallo!

Ich möchte heute eine kurze Episode aus meinem Exkurs teilen: Geschichten aus der Permafrost-Gegend. Und gibt es dafür ein besseres Thema als die aktuellsten Neuigkeiten über eine K-Produkteinführung?!?

Trommelwirbel und Beckenschlag …!

Wir launchen und präsentieren offiziell die erste weltweit vollkommen cyber-immune Lösung zur Verarbeitung von industriellen Daten – der Beginn vom Ende der herkömmlichen Cybersicherheit und das Einläuten einer neuen Ära von Cyberimmunität, zumindest (bis jetzt) für industrielle Systeme und dem Internet der Dinge (IoT).

Sie fragen sich jetzt bestimmt, wo diese cyber-immune Lösung zu finden ist. Sie werden es nicht glauben, aber sie steckt in meiner Tasche! ->

Read on: Das Gateway zur Cyberimmunität

Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

In manchen Artikeln zum Thema „was tun bei Ransomware-Angriffen“, las ich teilweise Folgendes: „Ziehen Sie eine Lösegeldzahlung in Erwägung.“ Diese Worte lösen bei mir immer einen tiefen Seufzer aus … ich lasse die Luft langsam aus meinen aufgeblasenen Backen entweichen, während ich den Browser-Tab schließe. Warum ich so reagiere? Weil man Erpressern unter keinen Umständen Lösegeld zahlen sollte! Die Tatsache, dass man damit kriminelle Aktivitäten unterstützt, ist auch nicht der einzige Grund dafür. Es gibt da noch einige weitere Gründe. Folgend werde ich sie einzeln erklären:

Erstens: Weil mit dem Lösegeld Malware gesponsert wird

Read on: Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

Flickr Foto-Stream

  • Aquarium@Barkas 2021
  • Aquarium@Barkas 2021
  • Aquarium@Barkas 2021
  • Aquarium@Barkas 2021

Instagram Photostream

MLAD – Fabriken mit Machine Learning for Anomaly Detection am Laufen halten

Uff, Gott sei Dank ist es vorbei! Das grässlichste Jahr für die meisten von uns ist endlich zu Ende gegangen, over, finito, passé. Wir hoffen einfach mal, dass die Menschen recht haben, die ständig wiederholen, dass 2021 nur besser werden kann, denn schlimmer ist unmöglich, nicht wahr?

Letztes Jahr stand die ganze Welt quasi zehn Monate lang unter Schock. Und damit meine ich nicht nur die Weltbevölkerung – auch private Unternehmen und die verschiedenen Wirtschaftsräume wurden sehr hart getroffen. Leider gibt es einen Sektor, der gar nicht unter der Pandemie gelitten hat und tatsächliche sogar im letzten Jahr aufgeblüht ist – richtig, es handelt sich um Cyberverbrechen. Durch den Lockdown wechselten viele Menschen vom Büro zum Homeoffice und verbrachten viel mehr Zeit online, dementsprechend befanden sich deutlich mehr potenzielle Opfer von Cyberkriminalität im Internet. Das betraf nicht nur individuelle Benutzer, sondern auch Unternehmen – die Mitarbeiter mussten plötzlich zu Hause arbeiten und viele Unternehmensnetzwerke wurden angegriffen, weil sie nicht ausreichend geschützt waren. Im Frühling 2020 war es vorrangig den abrupten Wechsel zu Remote Work schnell über die Bühne zu bringen und demzufolge war Sicherheit nicht immer die oberste Priorität. Kurz gefasst, der digitale Status quo der Welt wurde auch tüchtig von Covid-19 gebeutelt, ein Virus der direkt aus der Hölle zu kommen scheint.

Aufgrund der stark zunehmenden Anzahl von Cyberverbrechen – besonders Angriffe, die es auf die Sicherheitslücken der Unternehmensnetzwerke abgesehen haben – haben Cybersicherheitsunternehmen mehr denn je zu tun. Ja, das betrifft auch uns! 2020 stellte sich für unser Unternehmen als eines der produktivsten Jahre heraus. Beispielsweise haben wir eine beeindruckende Anzahl an neuen Versionen unserer Sicherheitstechnologien herausgebracht, besonders für Unternehmen.

Wir haben auch neue Versionen der Sicherheitslösungen für industrielle Cybersicherheit entwickelt und in meinem heutigen Blogbeitrag geht es um eine dieser Lösungen, und zwar um MLAD. Bitte nicht mit witzigen Online-Videos verwechseln. Auch nicht mit der Abkürzung MLAD, die für Minimum Local Analgesic Dose (Mindestdosis für Schmerzmittel) steht, noch mit MLAD als Abkürzung für Mid Left Anterior Descending Artery (absteigender Ast der linken Koronararterie). MLAD in diesem Kontext bedeutet Machine Learning for Anomaly Detection, eine Technologie die mehr Sicherheit durch maschinelles Lernen bietet.

Wenn Sie unsere Blogbeiträge regelmäßig lesen, erinnern Sie sich eventuell an die eine oder andere Information zu dieser Technologie, die wir bei Kaspersky anwenden. Vielleicht auch nicht. Aber kein Grund zur Sorge, vorsichtshalber folgt eine kurze Auffrischung zu diesem Thema.

Unser MLAD ist ein System, das maschinelles Lernen zur Analyse von Telemetriedaten der Industrieanlagen verwendet, um Anomalien, Angriffe oder Störungen festzustellen.

Stellen Sie sich vor, Sie besitzen eine Fabrik in der tausende von Sensoren installiert sind – einige messen den Druck, andere die Temperatur usw. Jeder Sensor generiert einen konstanten Informationsfluss. Für einen Mitarbeiter wäre es unmöglich all diese Information im Auge zu behalten, aber für maschinelles Lernen ist diese Aufgabe ein Kinderspiel. Wenn vorweg ein neuronales Netzwerk trainiert wurde, kann MLAD, basierend auf direkten oder indirekten Wechselbeziehungen feststellen, dass etwas in einem bestimmten Bereich der Fabrik nicht richtig funktioniert. Es können Schäden in Millionenhöhe und sogar Verluste von mehreren Millionen vermieden werden, wenn mögliche Vorfälle frühzeitig im Keim erstickt werden.

So, das war die Kurzbeschreibung von MLAD. Jetzt werde ich versuchen die MLAD- Analysen anhand einer medizinischen Metapher detaillierter zu erklären.

Einige von Ihnen besitzen eventuell ein Fitness-Armband. Darauf können Sie Ihren Puls, die Anzahl der getätigten Schritte und ein paar mehr Dinge ablesen. Das Gerät ist mit einigen Sensoren ausgestattet und das war’s auch schon. Nehmen wir an, dass Ärzte über fortschrittlichere Geräte verfügen, die außerdem auch den Blutdruck, die Anzahl von weißen Blutkörperchen usw. messen. Jetzt lassen Sie uns einen Schritt weitergehen und von dem hypothetischen Fall ausgehen, dass Ärzte über ein Gerät verfügen, das mit Zigtausend Sensoren verbunden ist, die am ganzen Körper angebracht sind und jedes Blutgefäß, jede Nervenzelle und alles andere überwachen und kontinuierlich diese Telemetriedaten übertragen. Diese enorme, detaillierte Datenmenge hilft dem Arzt garantiert bei der Untersuchung des Patienten und er kann mithilfe dieser Daten das eine oder andere diagnostizieren und eine Behandlung verordnen. Allerdings würde der Arzt bei der Analyse der großen und komplexen Datenmenge bestimmt Kopfschmerzen bekommen (die auch von einem Sensor festgestellt werden) – Und schwuppdiwupp mit einem im Wind flatternden Umhang und enger Unterhose über den Leggings kommt etwas angeflogen, um dem überlasteten Arzt aufzuhelfen. Sie haben richtig geraten, es ist nicht Supermann, es sind unsere TeKhnologien!

Read on: MLAD – Fabriken mit Machine Learning for Anomaly Detection am Laufen halten

Online-Konferenz – Auf chinesische Art (komplett mit bahnbrechendem technischen Aberglauben)

Normalerweise ist mein Terminkalender voller Treffen, Presseinterviews, Teilnahme an Ausstellungen, Vorträge auf Konferenzen auf der ganzen Welt. Normalerweise. Dieses Jahr nicht, und ich fühl mich ein wenig verloren, ehrlich gesagt!

Nun, einige der Veranstaltungen, an denen ich teilnehme, sind Einzelereignisse. Einige sind regelmäßig wiederkehrende Veranstaltungen (meist jährlich), an denen ich aber nur ab und zu teilnehme. Es gibt aber auch einige wiederkehrende Veranstaltungen, die für mich persönlich ein Muss sind. Und eine meiner wichtigsten Pflichtveranstaltungen im, wahlweise, Herbst oder frühen Winter ist die Welt-Internet-Konferenz in Wuzhen, die von der Cyberspace-Administration Chinas organisiert wird und an der ich seit 2015 jedes Jahr (d.h. bis einschließlich 2019) teilnehme. Ich habe nur die Einweihung ein Jahr zuvor verpasst. Und in diesem Jahr? Da wurde es nichts mit der traditionellen Reise nach Ost China. Aber ähnlich wie hier bei K, bedeutet die Tatsache, dass ich nicht persönlich anwesend sein kann, nicht, dass eine große und wichtige Veranstaltung nicht trotzdem stattfinden kann. Das ist eine großartige Nachricht, denn das bedeutet, dass ich das, was ich sagen will, immer noch vermitteln kann: den Hauptakteuren des chinesischen Internets – den staatlichen Regulierungsbehörden, den Leitern von Provinzen und regionalen Entwicklungsinstituten, aber auch den Chefs der großen chinesischen Technologieunternehmen; und das alles von einem riesigen Bildschirm aus – vielleicht des größten, den ich je gesehen habe!

Read on: Online-Konferenz – Auf chinesische Art (komplett mit bahnbrechendem technischen Aberglauben)

Corona hin oder her – die (globale Partner-Konferenz) Show muss weitergehen!

Bei K haben wir die Tradition, jedes Jahr mit Freunden in die Banja zu gehen und eine Konferenz zu organisieren, zu der wir unsere Lieblings- und wertvollsten Partner und Branchenkollegen einladen. Hierbei handelt es sich um eine globale Veranstaltung, zu der Leute buchstäblich aus der ganzen Welt eingeflogen werden – von Amerika bis Australien (im Gegensatz zu unseren kleineren regionalen und funktionalen Konferenzen).

Mit dieser Tradition haben wir bereits 1999 begonnen (ein Jahr, das ich vor nicht allzu langer Zeit noch einmal Revue passieren ließ), und sie hatte eine Laufzeit von 10 Jahren erreicht, als wir uns entschlossen, sie 2009 in kleinere, privatere Regionalkonferenzen aufzuteilen, da das globale Treffen einfach zu groß wurde. So entstanden getrennte Konferenzen für: Amerika, Europa, den Nahen Osten und Afrika, Asien-Australien sowie Russland und die Nachbarstaaten.

Aber zurück zur Weltkonferenz – die erste fand in Moskau statt. Im folgenden Jahr – in St. Petersburg, im nächsten – in Zypern, dann in Barcelona, Malta und immer weiter entlang der Küstenlinie des Mittelmeers. Dann wuchs der Appetit und führte uns in die Karibik, nach Rio de Janeiro und zu anderen exotischen Orten. Mehr über diese und andere globale Zusammenkünfte erfahren Sie hier.

Einige Jahre, nachdem die Weltkonferenz in regionale Konferenzen aufgeteilt worden war, haben wir sie dann doch irgendwie vermisst. Also machten wir den nächsten, offensichtlichen Schritt: Wir brachten sie zurück! Da uns aber auch die regional ausgerichteten Konferenzen zwischenzeitlich ans Herz gewachsen waren, haben wir diese auch beibehalten. Für die wiederbelebten „Großen“ haben wir uns für das größte Land der Welt als Thema und Kulisse entschieden (na ja, warum nicht?!). Im Jahr 2017 fiel unsere Wahl auf Moskau (wo, wie erwähnt, 1999 die allererste globale Partnerkonferenz stattfand – wie man in den Wald hineinruft, so schallt es heraus:), im Jahr 2018 auf St. Petersburg und im Jahr 2019 auf Sotschi. Kurioserweise wären diese Städte vor 20 Jahren einfach nicht in der Lage gewesen, solch große Veranstaltungen auszurichten. Heute schaffen sie es spielerisch, und ich würde sie jedem empfehlen.

Was uns auch schon in dieses Jahr katapultiert …

Auf unseren traditionellen globalen Partnerkonferenzen kommen in der Regel etwa 100-150 Händler und globale Partner persönlich zusammen. In diesem Jahr wollten wir (wie es auch eine Tradition ist!) unsere Fühler ein wenig weiter ausstrecken: auf der Motorsport-Rennstrecke in Valencia. Leider – das Jahr 2020 ist… 2020! Damit ist eigentlich alles gesagt. Die lästige, nervige, allgegenwärtige Quarantäne ist jedoch kein Grund, unsere globale Party nichtsdestotrotz zu feiern. Wir haben sie einfach ein bisschen angepasst: offline > online – eine Mischung aus beidem (ja, wir gehen mit der Zeit:). Der ursprüngliche Plan hatte ~100 Gäste aus 35 Ländern vorgesehen. Und am Ende? 1.800 aus rund 150 Ländern! Oder um es mit der Mutter alles Sci-Fi-Filme auszudrücken: // „Don’t underestimate the power of the global online event, Luke“ 😊 (Unterschätze nicht die Macht des globalen Online-Events, Luke)

Read on: Corona hin oder her – die (globale Partner-Konferenz) Show muss weitergehen!

Kaspersky Antidrone – Wir setzen unerwünschten Flughafenskandalen ein schnelles Ende!

Seit einigen Wochen ist dieses mysteriöse, eindeutig hochtechnologische und futuristische Gerät bereits Teil meiner sonst doch sehr minimalistischen Büroeinrichtung in unserer Hauptgeschäftsstelle. Es ist so schick und postmodern, dass es meinen Besuchern sofort ins Auge fällt, sobald Sie das Büro betreten (was übrigens aufgrund unserer allgemeinen Homeoffice-Politik momentan nicht besonders häufig vorkommt). Die erste Frage, die ich dann meistens gestellt bekomme, lautet: „Was ist das?!“ ->

Read on: Kaspersky Antidrone – Wir setzen unerwünschten Flughafenskandalen ein schnelles Ende!

OpenTIP, Staffel 2: Machen Sie mit!

Vor gut einem Jahr habe ich mich an Cybersicherheitsspezialisten gewandt, um ihnen ein neues Tool vorzustellen, das wir entwickelt haben. Unser Open Threat Intelligence Portal (OpenTIP) bietet die gleichen Tools zur Analyse komplexer Bedrohungen (oder lediglich verdächtiger Dateien), die auch unsere GReAT-Cyberninjas verwenden. Und viele andere Leute benutzen sie jetzt auch und testen jeden Monat Milliarden von Dateien.

Aber es hat seit dem vergangenen Jahr viel geändert, da praktisch die ganze Welt wegen des Coronavirus ins Homeoffice gehen musste, was wiederum das Leben der Cybersicherheitsexperten bis heute erschwert. Die Aufrechterhaltung der Sicherheit von Unternehmensnetzwerken ist hundertmal schwieriger geworden. Der Zeitfaktor war dabei schon vor COVID-19 wichtig, heute ist sie umso kostbarer geworden. Deshalb erhielten wir von unseren versierten Benutzern eine einfache und direkte Bitte: API-Zugang und eine höhere Durchsatzratenbegrenzung.

Sie fragten, wir lieferten.

Die neue Startseite des Open Threat Intelligence PortalsDie neue Startseite des Open Threat Intelligence Portals

 

Mit der neuen Version von OpenTIP können sich Benutzer jetzt auf dem Portal registrieren und ich empfehle regelmäßigen Besuchern dringend, sich anzumelden, da bei der Nutzung eines Benutzerkontos ein großer Teil der Tools des bezahlten Open Threat Intelligence Portals verfügbar wird.

Wussten Sie, dass man die API dazu verwenden kann, um Objekte hochzuladen, die man testen möchte? Analyseprozesse können jetzt in OpenTIP schnell und bequem integriert werden.  Neben unbegrenzten Mengen von Dateien können auch andere verdächtige Objekte wie URLs, IPs und Hashes getestet werden.

Jetzt liefert OpenTIP bei ausführbaren Dateien zusätzlich zur Bewertung mehr Rohmaterial für die Analyse, d.h. nicht nur Daten über die Struktur von PE-Dateien, sondern auch aus ihnen extrahierte Textstrings. Unsere supercoole Sandbox, die eigentlich ein eigenständiges, kostenpflichtiges Produkt ist, ist ebenfalls verfügbar. Außerdem haben wir den anonymen Upload von Objekten in den Einstellungen freigeschaltet, der eine Überprüfung der Objekte ermöglicht. Von Anfang an haben wir niemandem erlaubt, die Dateien anderer einzusehen, jetzt ist es aber möglich, getestete Objekte im öffentlichen Verlauf auszublenden.

 

Kaspersky OpenTIP: Öffentlicher VerlaufKaspersky OpenTIP: Öffentlicher Verlauf

 

Auch ohne Registrierung sind die Verbesserungen von OpenTIP spürbar.

Das Interface ist bequemer, zeitsparender und augenfreundlicher, während die Analyseergebnisse viel aussagekräftiger sind.

Wir haben auch zusätzliche Technologien zur Verhaltensanalyse in der zweiten Version von OpenTIP integriert. OpenTIP fällt kein einfaches „infiziert/sauber“-Urteil wie beim traditionellen Endpunktschutz, sondern erstellt vielmehr eine detaillierte Analyse verdächtiger Eigenschaften, auf deren Grundlage ein Analyst entscheiden kann, ob man die Datei näher untersuchen muss. Für verdächtige URLs wird auch eine Kategorisierung der gefährlichen Eigenschaften verfügbar sein.

 

Kaspersky OpenTIP: Zusammenfassung der dynamischen AnalyseKaspersky OpenTIP: Zusammenfassung der dynamischen Analyse

 

 

Für diejenigen, die weitere Funktionen benötigen, lohnt sich die kostenpflichtige Version des Threat Intelligence Portals, die unter anderem Zugang zu detaillierten Berichten unserer Top-Analysten über entdeckte Cyberbedrohungen gewährt.

Genug mit den abstrakten Beschreibungen: Überzeugen Sie sich selbst! Analysieren Sie eine verdächtige Datei auf OpenTIP.

An diejenigen, die unsere Threat Intelligence-Dienste noch nicht abonniert haben: Ich bin mir sicher, dass Sie das Portal als unverzichtbar erachten werden (ja, ich erinnere mich an VirusTotal, aber darüber habe ich das letzte Mal gesprochen). Vor allem aber wird OpenTIP essentiell für diejenigen sein, die es an ihre täglichen Analyseprozesse aller Arten von Cyber-Angriffen anpassen werden.

Zen und die Kunst der Kontaktpflege mit Vertriebspartnern

Gerade als die Dinge anfingen, besser zu werden, scheint es so, als ob eine zweite Welle des ****** (zensiert) Virus die Welt überrollt. In Moskau drängt der Bürgermeister (fürs Erste) langsam Unternehmen dazu, Mitarbeiter ins Homeoffice zu schicken, während Schulen sich für den Zoombie Zoom-Unterricht vorbereiten. Unser Firmensitz ist praktisch immer noch wie leergefegt (insbesondere unsere Forschungs- und Entwicklungsabteilung). Es sieht also so aus, als ob wir wohl kaum rausgehen werden. Und wenn doch, dann tragen wir zumindest für den Herbst und den Winter auch weiterhin Masken und Handschuhe, geben uns einen Faustcheck ein Nicken als Begrüßung und halten dabei den Sicherheitsabstand. Hmm… was ist besser? Corona im Sommer oder im Winter? Eine knifflige Frage, aber ich sollte mir darüber nicht den Kopf zerbrechen, denn es hilft nicht wirklich.

„Eines Tages werden wir auf das Jahr 2020 zurückblicken und kaum glauben, dass es wirklich passiert ist!“ Wahrscheinlich. Hoffentlich… oder?

Wir werden darüber verblüfft sein, wie die Welt auf den Kopf gestellt wurde und welche schrecklichen Auswirkungen es auf die Menschheit hatte. Da ich aber eigentlich jemand bin, der das Glas eher halb voll statt halb leer sieht, möchte ich heute in diesem Eintrag auf die positiven Aspekte eingehen, die die Corona-Pandemie (zumindest aus der Perspektive eines Unternehmens wie unseres) mit sich bringt.

Da sind zum Beispiel die neuen Fähigkeiten und Fertigkeiten, welche wir uns als globales Unternehmen im Homeoffice aneignen mussten, während die Grenzen geschlossen waren. Seit sieben Monaten ist niemand irgendwo hingeflogen. Unsere Büros sind meist leer. Wir konnten weder unsere Konferenzen und Abendessen abhalten noch konnten wir mit unseren Partnern und Kunden Spaß haben. Aber das Geschäft läuft weiter, und zwar so gut, dass wir unsere gesetzten Ziele übertreffen! Wie wir das geschafft haben? Nun…

1. Forschung & Entwicklung. Jeder arbeitet praktisch im Homeoffice! Und jeder arbeitet besser als davor, wenn man zumindest von a) der schnelleren Implementierung neuer Funktionen in unseren Produkte, b) der schnelleren Überarbeitung von Codes und c) der Effizienz unserer Entwicklungen, welche um 15% gestiegen sind, ausgeht.  Bleiben Sie auf dem Laufenden, wenn es um unsere Produkte und insbesondere um unsere Sicherheitslösungen für Unternehmen und industrielle Steuerungssysteme geht. Viele Dokumente und Formulare sind noch aus Papier und benötigen handschriftliche Unterschriften. Sonst wären die K-Kollegen schon bestimmt auch im Homeoffice!

2. Alle Experten unseres GReAT-Teams arbeiten dank unserer KI HuMaschinellen Intelligenz im Homeoffice. Diese fängt automatisch 99.999% unserer täglichen Malware-Beute, also ein großer Haufen verdächtiger Dateien, die wir von allen möglichen Arten von Quellen und insbesondere von unserem Cloud-basierten KSN erhalten. Deshalb ein großes Dankeschön an alle unsere Nutzer, die mit unserer Cloud verbunden sind! Wir stehen Seite an Seite mit unseren Benutzern und können dank ihrer Hilfe den sichersten Schutz gegen alle möglichen Typen moderner Cyberwaffen entwickeln, und zwar kontinuierlich, automatisch und online.

Übrigens: Unsere tägliche Ausbeute beläuft sich auf buchstäblich Millionen von verschiedenen Dateien aller Arten (darunter auch viel Müll), aus denen wir täglich etwa 400.000 (vierhunderttausend!) neue Schädlinge herauspicken. Und das jeden Tag! Ja, sogar heute! Angesichts der weltweiten Quarantänebedingungen für diesen biologischen Virus, ist das Fangen von virtuellen Viren auch ein guter Job, denn viele von uns verbringen viel mehr Zeit online als im letzten Jahr.

3. Interaktion mit Partnern und Kunden. Das ist der interessanteste Aspekt. Ich bin stolz auf unser Unternehmen und unser K-Team. Deshalb verkünde ich auch stolz, dass wir die Schwierigkeiten der aktuellen Coronavirus-Pandemie zu unserem Vorteil nutzen konnten! Wir haben nicht nur gelernt, wie wir mit unseren Partnern und Kunden online effektiv zusammenarbeiten können, sondern wir haben es geschafft, diese Arbeit noch besser zu machen als zuvor! Wir retten also nicht nur die Welt vor Cyber-Pandemien, sondern verwandeln auch Böses in Gutes.

Heutzutage erledigen wir praktisch alles online: Besprechungen, Gespräche, Schulungen, Präsentationen und sogar die Ferninstallation und -wartung unserer Produkte, einschließlich unserer Industrielösungen. Ich würde sagen, dass wir hier wirklich geglänzt haben, oder wie Tina Turner einst sang, wir sind „simply the best“, aber das werde ich nicht: Ich will unsere laufenden Online-Mega-Erfolge nicht mit einem Fluch belegen! Und als praktisches Beispiel für unsere Megakonnektivität möchte ich Ihnen von unserer jährlichen Konferenz für Wiederverkäufer aus Russland und den ehemalige Sowjetstaaten berichten.

//Kleine Anekdote am Rande: Unsere erste Konferenz für russische Vertriebspartner fand 2007 in der Nähe von Moskau statt. Seitdem haben unsere Konferenzen sich ein wenig ausgebreitet. Sie werden jetzt auch in anderen Ländern wie Montenegro, Jordanien, Georgien, die Türkei, die Vereinigten Arabischen Emirate, Oman usw. abgehalten. Es war immer großartig und sie fanden immer an tollen und warmen Orten statt. Jetzt können wir diese sonnigen Orte im Ausland natürlich nicht mehr besuchen. Also beschlossen wir, die Veranstaltung in Moskau abzuhalten und sie in eine „hybride“ Online-Offline-Konferenz umzuwandeln (ähnlich wie die Konferenz, die wir im September in Sotschi hatten).

Hier ist das Rezept zur Vorbereitung einer Geschäftskonferenz (in diesem Fall für unsere Vertriebspartner, aber das Rezept kann auch für andere Konferenzen und Events verwendet werden) in der Zeit des COVID-19.

Zutaten:

  • Ein Minimum an physisch anwesenden Teilnehmern
  • Maximale Information
  • Teamwork
  • Ein professionelles Technik-Team (Dreharbeiten usw.) für die Online-Übertragung
  • Midori Kuma!

Ziele:

  • So viele professionelle Zuhörer und Teilnehmer wie möglich zur Veranstaltung bringen, einschließlich des Online-Publikums.
  • Die Botschaft vermitteln, dass das Coronavirus-bedingte Homeoffice keine negativen Auswirkungen auf das Geschäft hatte. Stattdessen zeigen, dass wir gelernt haben, unter den neuen Bedingungen zu arbeiten und dadurch viel effizienter geworden sind.
  • Unsere Vertriebspartner mit neuen Innovationen einbinden, sodass es ihnen dabei hilft, a) ihr eigenes Geschäft zu entwickeln und b) ihren Kunden qualitativ bessere Dienstleistungen anzubieten. Im Grunde ist es eine „Talkshow“ für ein Massenpublikum.

Da haben Sie es: das Erfolgsrezept. Moment, ich habe da etwas vergessen… Bilder!

Die Anwesenden versammeln sich…

Und los geht’s!

 

Professionelle TV-Kameratricks und ein erfahrenes Ton- und Drehteam, dass auf digitale Formate spezialisiert ist.

Währenddessen draußen:

 

Und nun, wie man aus ein paar Gemüsesorten und anderen Zutaten aus dem Kühlschrank einen Kuchen macht, der allen schmeckt!

Tag 1: Information, Information, Information!

✅ Als erstes wurden die „Jahresergebnisse“ unserer Technologien, Produkte, Patente, Auszeichnungen usw. vorgestellt.

✅ Danach hielt Veniamin Levtsov seine Rede „Möglichkeiten und Ausblick“, in der er unsere Entwicklungsstrategie für unser B2B-Geschäft erklärte und auf unsere in diesem Jahr veröffentlichten Lösungen wie EDR, Sandbox, MDR einging.

✅ Ein kurzes Gespräch über die Zukunft: KUMA (neuer Begriff im Bereich SOC & SIEM, zu dem noch nichts im Netz erschienen ist) und die Marktbedürfnisse in diesem Segment.

✅ Nachfolgend eine Präsentation über die Fähigkeit, mit der wir Partnerdienste, welche auf unseren Lösungen basieren, schaffen und entwickeln können

✅ Daraufhin die Talkshow „Perspektiven jenseits der Cloud“, in der über die Bedürfnisse des KMU-Marktes und über die KES-Cloud gesprochen wurde.           .

✅ Der Tag schloss mit dem akademischen Programm „Unglaublich, aber wahr“ ab, bei dem wir etwas über die Sonderprojekte erzählt haben, die wir mit unseren Partnern durchgeführt haben (und viele waren einfach nur unglaublich!).

 

Tag 2: Vorführung.

Vier Vorführungsbereiche für die Vorstellung von vier verschiedenen Lösungen:

KATA/KEDR/TI.

✅ Sandbox/MDR.

KICS.

Anti-Drohnen-System.

Übrigens war die Anti-Drohne keine Attrappe, sie war echt! Während der Testdurchlauf für die Dreharbeiten stellte sich heraus, dass das Kamerateam die gleichen Funkfrequenzen benutzte. Zum Glück haben wir es während der Proben bemerkt!

Eine sehr ernsthafte Bühnenarbeit

14 Redner, vier Vorträge, vier Demonstrationen, zwei Moderatoren, 19 Kameras, mit vier Regisseuren!

Ich habe noch einige weitere kuriose Daten zu unserem Event:

  • 65 spezialisierte Techniker
  • 750 Meter Glasfaserkabel,
  • 991 Gigabyte Videomaterial
  • 12 Stunden technische Produktion.
  • Fast 16 Stunden Bühnenproben
  • Eine Arbeitsgruppe von mehr als 100 Personen (jeder hat um die 20.000-25.000 Schritte gemacht)
  • 1610 qm großes Studio
  • Und wir haben nur ein Ladekabel verloren!

Und so läuft es bei uns während dieser schwierigen Zeit. Wir passen uns einfach an und scheuen keine Mühen, um die Qualität der Produktion zu erhalten, auch wenn es sich um ein ganz anderes Format handelt. Unsere Offline-Produktionen für Konferenzen waren schon immer von außergewöhnlich hoher Qualität, und jetzt tun wir dasselbe für die Online-Produktionen. Bei uns läuft es also nicht „wie gewöhnlich“ sondern „so intensiv und professionell wie eh und je“!

Gut gemacht, K-Mitarbeiter! Macht weiter mit der guten Arbeit!

Und jetzt – zurück an die Arbeit (und bleibt sicher!)

 

 

Ransomware: Hier hört der Spaß auf!

Zunächst einige Informationen zur Vorgeschichte:

Am 10. September wurde das Universitätsklinikum Düsseldorf Opfer eines Cyberangriffs bei dem insgesamt 30 interne Server durch die Ransomware-Malware DoppelPaymer verschlüsselt werden konnten; der Patientendurchsatz sah sich durch diesen Vorfall enorm beeinträchtigt. Nur wenige Tage später war das Klinikum infolge des IT-Ausfalls seiner Installationen dazu gezwungen, einer lebensbedrohlich erkrankten Patientin die Krankenhausaufnahme und eine damit verbundene Notoperation zu verwehren. Die Frau wurde umgehend in ein Wuppertaler Krankenhaus umgeleitet, verstarb allerdings noch auf dem Weg ins benachbarte Klinikum. Es handelt sich hierbei um den ersten bekannten Ransomware-Angriff mit Todesfolge.

Der tödliche Unfall (vorausgesetzt, die Angreifer waren sich einem solch schwerwiegenden Ausgang nicht bewusst) ist und bleibt tragisch – vor allem die Tatsache, dass in diesem Fall grundlegende Regeln der Cybersicherheitshygiene ganz klar vernachlässigt wurden, lässt einiges zu wünschen übrig. Dazu gesellt sich die offensichtliche Unfähigkeit der Strafverfolgungsbehörden, den beteiligten organisierten Kriminellen erfolgreich entgegenzutreten.

Die Hacker konnten das Krankenhausnetzwerk über eine Schwachstelle auf den Citrix Netscaler-Servern, die als Shitrix bekannt ist und bereits im Januar dieses Jahres gepatcht wurde, angreifen. Es scheint, als hätten die Systemadministratoren also viel zu lange mit der Installation des Patches gewartet. Diese Nachlässigkeit ermöglichte es den Kriminellen, in das Netzwerk einzudringen und eine Backdoor zu installieren.

Bis zu diesem Punkt handelt es sich um harte Fakten. Im Anschluss folgen einige Vermutungen, die bis dato so nicht bestätigt werden konnten, die aber dennoch mehr als wahrscheinlich sind …

Es ist nicht auszuschließen, dass die Backdoor in Untergrundforen als „Universitäts-Backdoor“ an andere Hacker verkauft wurde. Tatsächlich zielte der Angriff ursprünglich auf die nahe gelegene Heinrich-Heine-Universität ab. Das geht immerhin aus der von den Erpressern verfassten E-Mail hervor, in der diese ein Lösegeld für die Freigabe der von ihnen verschlüsselten Daten fordern. Nachdem die Hacker auf ihr tatsächliches Angriffsziel aufmerksam wurden, händigten sie dem Krankenhaus umgehend alle Schlüssel zur Entsperrung der Systeme aus (und tauchten ab). All das erweckt den Eindruck, dass Cyberkriminelle kein besonderes Interesse an Krankenhäusern zu haben scheinen. Sie gelten als zu „toxisch“ (wie dieser Vorfall auf die schlimmste – tödlichste – Art und Weise gezeigt hat).

Hinter der Malware DoppelPaymer wird die russischsprachige Hackergruppe Evil Corp, der weitere hochkarätige Cyber- und Ransomwareangriffe (darunter auch der Angriff auf das Garmin-Netzwerk) zugeschrieben werden können, vermutet. Im Jahr 2019 erhob die US-Regierung deshalb bereits Anklage gegen Einzelpersonen der Gruppe Evil Corp und setzte eine Belohnung in Höhe von fünf Millionen US-Dollar für Unterstützung bei der Festnahme dieser Personen aus. Merkwürdig ist, dass die Kriminellen keine Unbekannten sind, sondern bis vor kurzem sogar noch mit ihrem glamourösen Gangster-Lifestyle prahlten – auch in den sozialen Medien.

Quelle

In unserer Welt scheint momentan einiges gewaltig schief zu laufen. Zum einen wäre da die Tatsache, dass Krankenhäuser überhaupt unter den kriminellen Machenschaften skrupelloser Ransomware-Hacker zu leiden haben – auch, wenn das Klinikum den Kriminellen in diesem Fall ganz offensichtlich nur durch eine Verwechselung zum Opfer gefallen ist. Dennoch ist auch das zweite Szenario, das sich aus eben dieser Verwechslung ergibt, nicht besonders vielversprechender: denn es bedeutet nur, dass nun auch Universitäten ins Blickfeld von Cyberkriminellen geraten sind (oft, um Forschungsdaten zu stehlen – einschließlich COVID-19-bezogene Daten). Doch auch aus Cybersicherheitsperspektive gibt es einiges zu bemängeln …

… denn, wie kann ein Krankenhaus überhaupt so nachlässig sein? Eine Schwachstelle nicht rechtzeitig zu patchen, sodass Cyberkriminellen Tür und Tor weit offenstehen und Backdoors ohne Probleme installiert werden können? Wie oft haben wir in der Vergangenheit schon betont, dass FreeBSD (damit arbeitet Netscaler) in keinster Weise sicher, sondern genau das Gegenteil der Fall ist: Hierbei handelt es sich um den „falschen Freund“ eines jeden Cybersicherheitsexperten. Dieses Betriebssystem ist keineswegs immun und weist Schwachstellen auf, die sich für ausgeklügelte Cyberattacken ausnutzen lassen. Und dann wäre da natürlich noch die Tatsache, dass eine so kritische Einrichtung wie ein Krankenhaus (also infrastrukturelle Organisationen) einen mehrstufigen Schutz benötigen, bei dem jede Ebene die andere unterstützt: Hätte das Krankenhaus einen zuverlässigen Schutz für das interne Netzwerk installiert, hätten es die Hacker vermutlich nie so weit geschafft.

Die deutsche Polizei untersucht nun die Vorgänge, die zum Tod der Patientin geführt haben. Und ich hoffe wirklich, dass sich die deutschen Behörden mit einem formellen Ersuchen für Zusammenarbeit bei der Festnahme der beteiligten Kriminellen an die russischen Behörden wenden werden.

Damit die Polizei ein Strafverfahren einleiten kann, muss zumindest eine formelle Erklärung / ein formeller Antrag oder der Gegenstand eines begangenen Verbrechens vorgelegt werden. Presseartikel oder jegliche Art informeller Kommentare oder Ankündigungen werden vom Rechtssystem nicht anerkannt. Mit anderen Worten: Kein formeller Antrag – kein Fall. Wenn es jedoch glaubwürdige Beweise für ein begangenes Verbrechen gäbe, dann würde ein zwischenstaatliches Interaktionsverfahren greifen, das befolgt werden muss. Alles sehr formal, aber so ist es nun mal. Die Regierungen müssen ihre politischen Vorurteile überwinden und gemeinsam handeln. Denn, wie dieser Fall gezeigt hat, stehen bereits Menschenleben auf dem Spiel. Während die internationale Zusammenarbeit durch die Geopolitik weitgehend eingefroren ist, werden Cyberkriminelle immer wieder neue verdorbene Handlungen gegen die Menschheit einleiten.

UPDATE: Der erste Schritt zur Wiederaufnahme der Zusammenarbeit im Bereich Cybersicherheit ist bereits getan. Ich drücke weiterhin die Daumen …

Übrigens: Ist Ihnen aufgefallen, dass es kaum Nachrichten über erfolgreiche Angriffe von Ransomware-Hackern auf russische Organisationen gibt? Haben Sie sich jemals gefragt, warum das so ist? Ich persönlich werde diese sinnlosen Verschwörungstheorien über Hacker, die angeblich für russische Geheimdienste arbeiten (Humbug, es gibt weltweit viele Ransomware-Gruppen, nicht nur in Russland) nicht einen Augenblick lang in Erwägung ziehen. Meiner Meinung nach liegt das daran, dass die meisten russischen Unternehmen durch hochwertigen Cyber-Schutz geschützt sind. Und schon bald werden sie durch ein cyber-immunes Betriebssystem geschützt sein. Ja, genau dieser Schutz, der für den Einsatz in staatlichen US-Institutionen verboten wurde. Stellen Sie sich das mal vor.

UPDATE 2: Erst gestern wurde ein Ransomware-Angriff auf eine der größten amerikanischen Krankenhausketten, die UHS, gemeldet: Ihre Computer, die etwa 250 Einrichtungen im ganzen Land versorgen, wurden lahmgelegt, was dazu führte, dass Operationen abgesagt, Krankenwagen umgeleitet und Patientenregistrierungen auf Papier ausgefüllt werden mussten. Es gibt noch keine weiteren Einzelheiten zu diesem Vorfall …

 

Die Top-5 der K-Technologien, die uns ins Global Top-100-Innovators-Ranking katapultiert haben

Wir haben es schon wieder geschafft! Zum zweiten Mal gehören wir zu den Derwent Top 100 Global Innovators und damit zu einer renommierten Auswahl an globaler Unternehmen, die auf der Grundlage ihres Patentportfolios erstellt wurde. Renommiert, da auf der Liste Unternehmen wie Amazon, Facebook, Google, Microsoft, Oracle, Symantec und Tencent stehen. Die Liste ist nicht nur eine Auswahl scheinbar patenttechnisch starker Unternehmen: Sie wurde auf der Grundlage der hervorragenden analytischen Arbeit von Clarivate Analytics erstellt, die mehr als 14.000 (!) Firmenkandidaten nach allen möglichen Kriterien bewertet haben. Das wichtigste Kriterium die Zitierhäufigkeit, auch „Einfluss“ genannt, ist. Und als ob das noch nicht streng genug wäre, ist in fünf Jahren die Mindestanforderung für die Aufnahme in die Top-100 bei diesem Kriterium um etwa 55% gestiegen:

Die Zitierrate ist, um etwas genauer zu sein, der Grad des Einflusses von Erfindungen auf die Innovationen anderer Unternehmen. Für uns geht es darum, wie oft wir von anderen Erfindern in ihren Patenten erwähnt werden. Und formell in einem Patent eines anderen Unternehmens erwähnt zu werden, bedeutet, dass Sie sich etwas Neues, wirklich Innovatives und Hilfreiches ausgedacht haben, was wiederum von der von anderen Firmen für deren „etwas Neues, wirklich Innovatives und Hilfreiches“ genutzt wird. Natürlich handelt es sich hierbei um ein solch etabliertes System der Anerkennung von Innovationen, d. h. hier ist kein Platz für diejenigen, die mit bloßen Mist-Patenten daherkommen. Und das ist der Grund, warum keiner von ihnen auch nur annähernd in die Top-100 kommt. Inzwischen sind wir direkt drin – unter den Top 100 der weltweit innovativsten Unternehmen, die den technologischen Fortschritt wirklich vorantreiben.

Wow, das fühlt sich gut an. Es ist wie ein Schulterklopfen für all unsere harte Arbeit: eine echte Anerkennung für die Beiträge, die wir geleistet haben. Hurra!

Sie wissen ja wie ich bin, immer innovativ und neugierig. Deshalb fragte ich mich, welche unsere fünf meist-zitierten, patentierten Technologien (und deshalb auch die einflussreichsten Patente) sind. Also habe ich einen Blick darauf geworfen. Und hier die Ergebnisse:

Fünfter Platz – 160-mal zitiert: US8042184B1 – „Schnelle Analyse des Datenstroms auf Malware“

Dieses Patent umfasst unsere Technologie, die Datenströme, die über Netzwerk-Gateways laufen, schnell scannt. Sie führt eine Echtzeit-Analyse von Datenstrom-Inhalten getrennt, Segment für Segment, pro Format durch (z.B. Webseiten, Dateien, E-Mails mit Anhängen usw.) und überträgt dann jedes einzelne Element für die entsprechende spezialisierte Verarbeitung. Das bedeutet, dass das gesamte übertragene Datenobjekt nicht zusammengesetzt werden muss. Dies schont die Hardwareressourcen und die Scan-Geschwindigkeit wird stark erhöht, was die Wahrscheinlichkeit erhöht, Cyber-Bedrohungen zu finden. Diese K-Technologie ist lizenziert an Allied Telesis, D-Link, Nokia, ZyXEL und viele andere Entwickler und Anbieter. Außerdem wird sie in den Patenten von IBM, Webroot, FireEye, Trend Micro, HP, Juniper und anderen zitiert.

Nicht übel, oder? Und das kommt alles aus dem Nordwesten Moskaus und nicht aus Palo Alto.

 

Vierter Platz – 170-mal zitiert: US8214905B1 – „System und Verfahren zur dynamischen Zuteilung von Rechenressourcen zur Verarbeitung von Sicherheitsinformationen“

Cybersicherheit – das geht jeden etwas an, in jeder Hinsicht. Ohne anonymisierte Signale von Benutzern über verdächtige Aktivitäten können Entwickler keinen angemessenen Schutz bieten. Und je mehr Benutzer desto besser: Bei großen Datenmengen sind Anomalien viel leichter auszumachen, was dazu beiträgt, bisher unbekannte Cyberangriffe aufzudecken.

Aber nicht alle Daten sind gleich, und auch nicht alle Nutzer sind gleich. Es gibt verschiedene Niveaus von Fachkenntnissen in der Computernutzung auf Seiten der Benutzer (einschließlich der Gewandtheit in Sachen Computersicherheit). Und je anspruchsvoller ein Benutzer ist, desto wahrscheinlicher werden die Signale, die er (natürlich anonym) sendet, zu einem möglichen Hinweis auf Cyberattacken führen.

Diese K-Technologie bewertet den Grad der Versiertheit der Benutzer anhand der Art und Weise, wie sie ihre Computer benutzen. Zum Beispiel: die Art der Installation des Antivirusprogramms (regulär oder fortgeschritten), ob der interaktive Modus gewählt wird, und andere Software und Ausrüstung, die verwendet wird. Auf der nächsten Ebene wird dann die Benutzeraktivität analysiert, einschließlich der Quantität und Qualität der erkannten Bedrohungen, des Anteils der Fehlermeldungen, der Reaktionsgeschwindigkeit usw. Und je höher die Bewertung der Quelle, desto mehr Gewicht wird ihrer Bewertung beigemessen, und entsprechend wird der Verarbeitung ihrer Daten eine höhere Priorität eingeräumt. Details dazu finden Sie hier.

Dieses Patent wird von NEC, Dell, IBM, FireEye, Symantec, HP, und anderen Unternehmen zitiert. 

 

Dritter Platz – 170-mal zitiert: US8365297B1 – „System und Verfahren zur Erkennung von Malware, die auf den Boot-Prozess eines Computers unter Verwendung der Boot-Prozess-Emulation abzielt“ (Spiegelpatente in Russland: RU2472215C1, in Europa: EP2610774B1, und in China: CN103065094B).

Dabei handelt es sich um eine der besten Technologien der Welt zur Erkennung von Bootkits, gefährlichen bösartigen Programmen, die verdeckt aktiviert werden, noch bevor das Betriebssystem hochfährt, d.h. idR. noch bevor die Sicherheitslösung aktiviert wird. Um Bootkits zu fangen, haben wir eine künstliche Umgebung (einen Emulator) geschaffen, der den Ladevorgang eines Computers nachahmt und darin verdächtige Objekte startet. Die Malware denkt, es sei an der Zeit, sich an die Arbeit zu machen, und startet ihr Standardverfahren… und zack! Gefangen.  Mehr dazu finden Sie hier.

Zitiert von Huawei, Intel, Tencent, Trend Micro, FireEye, Symantec, Palo Alto Networks, und anderen Unternehmen.

 

Zweiter Platz – 179-mal zitiert: US8370939B2 – „Schutz vor Malware auf Web-Ressourcen“ (Spiegelpatente in Russland: RU2446459C1, Europa: EP2410452B1, und China: CN102147842B).

Hier ist die Quintessenz dieser Technologie: Viele Websites (und FTP-Sites) können ohne Zugriffsrechte nicht auf Cyber-Bedrohungen gescannt werden. Die Lösung ist einfach und effektiv: Die AV verwendet Informationen aus dem Admin-Panel der Website, die vom Benutzer zur Verfügung gestellt werden, um die Webressourcen (einschließlich Dateien) zu erreichen. Auf diese Weise kann der AV dann seinem üblichen Tätigkeiten nachgehen und sie auf Malware scannen.

Zitiert von: Dell, IBM, FireEye, Microsoft, Rockwell Collins, F-Secure, PayPal, Trend Micro, Gemalto, Symantec, und anderen Unternehmen.

 

Und zu guter Letzt…

 

Erster Platz – 181-mal zitiert (*): US8713631B1 – „System und Verfahren zur Erkennung von bösartigen Codes, die von einer virtuellen Maschine ausgeführt werden“ (Spiegelpatente in Russland: RU2522019C1 und China: CN103593608B).

Es gibt bestimmte programmierte Anwendungen, die zur Ausführung des Codes eine virtuelle Maschine benötigen. Klassisches Beispiel: Java. Dies wird getan, damit ein Entwickler den Code leicht auf andere Plattformen (Windows, Linux…) portieren kann: der Code ist derselbe, Sie brauchen nur eine virtuelle Maschine, um ihn aufzusetzen.

Cyberbösewichte nutzen Schwachstellen in virtuellen Maschinen aus, um in Computer einzudringen. Darüber hinaus handelt es sich für andere Anwendungen (einschließlich dem Virenschutz) auf der virtuellen Maschine um eine Black Box und einen vertrauenswürdigen Prozess. Die patentierte Technologie ist ein wirksames Mittel, um die Ausführung von Codes auf virtuellen Maschinen mit Hilfe ihrer Änderungen und des Empfangs von Ereignissen zu kontrollieren.

Zitiert von: Intel, FireEye, IBM, ESET, Check Point, Bitdefender, Symantec, und anderen Unternehmen.

 

Abschließend noch ein paar Statistiken, um die oben genannten Innovationen abzurunden:

Die Top-100: beschäftigen 10 Millionen Menschen; erfanden 145.000 Innovationen; gaben 316 Milliarden Dollar für die Forschung aus; und erzielten insgesamt 4,5 Billionen Dollar an Einnahmen!

Sie werden mir sicher zustimmen, einen Platz in den Top-100 zu verdienen, ist nicht nur eine Ehre, auf die man stolz sein kann, sondern auch nur mit Fleiß und Mühe erreicht werden kann. Deshalb ist es umso angenehmer, wenn man es tatsächlich schafft. Es bestätigt, dass wir Innovationen auf globalem Niveau entwickeln, dass wir uns die Rechte sichern und dass wir entsprechende neue Produkte auf den Markt bringen. Und wir verdienen dafür die verdiente Anerkennung. Toll! Wir arbeiten, wir gewinnen. Weiter so mit der guten Arbeit (und dem Gewinnen!).

 

 

(*) Gemäß der Patentdatenbank von Derwent Innovation vom 9. Mai 2020. Die Zitierhäufigkeit nimmt ständig zu; Beispiel: seit dem Verfassen dieses Beitrags wurde erste Platz von FireEye zitiert, so dass die Gesamtzahl der Zitate von 181 auf 182 gestiegen ist.