Het netwerkbeveiliging bevindt zich momenteel in een kritieke fase: het klassieke perimeter verdwijnt, bedrijven zijn steeds meer afhankelijk van cloud- en SaaS-diensten, en de “ware inventaris” van blootgestelde internetactiva verandert bijna dagelijks. In deze context heeft Kaspersky aangekondigd dat Kaspersky Anti Targeted Attack 8.0 (KATA 8.0) een grote update ondergaat, gericht op het verbeteren van de zichtbaarheid van verkeer, het detecteren van geavanceerde bedreigingen vóór en met grotere precisie, en het versnellen van onderzoeken door nauwere integraties met hun eigen ecosysteem — en met oplossingen van derden.
De kernboodschap is duidelijk: verdedigen houdt niet alleen in blokkeren, maar ook in zien, interpreteren en tijdig handelen. En die venster wordt kleiner. Naarmate het aanvalsspectrum toeneemt door de mix van leveranciers, uitbestedingen, “shadow IT” en legacy-systemen, kunnen beveiligingsteams blind worden op de meest kritieke punten waarop aanvallers profiteren: niet-geïventariseerde activa, vergeten configuraties, blootgestelde diensten en datastromen die niemand continu monitort.
Protocol-anomaliedetectie: afwijkingen opsporen waar het het meest telt
Een belangrijke wijziging in KATA 8.0 is de toevoeging van anomaliedetectie, gericht op protocollen die vaak doelwit zijn van indringingen: DNS, HTTP en Kerberos, onder andere. Het is niet de bedoeling om “alles te inspecteren”, maar om specifieke afwijkingen binnen elk protocol te identificeren, rekening houdend met de context en het gebruikspatroon van de organisatie.
Deze aanpak richt zich op een echt probleem bij veel monitoringsystemen: overvloed aan valse alarmen. Het belooft de nauwkeurigheid te verbeteren en foute positieven te verminderen door te focussen op afwijkend gedrag dat in de praktijk vaak correleert met kwaadaardige activiteiten (lateral movement, persistentie, credential abuse of verborgen communicatie).
Shadow IT onder de radar: meer dan 5.000 externe services
Een andere belangrijke nieuwigheid is de detectie van shadow IT, met ondersteuning voor meer dan 5.000 externe diensten. Het doel is het identificeren van het gebruik van niet-goedgekeurde publieke diensten — bijvoorbeeld opslag of samenwerking — en het terugkrijgen van controle over datastromen die vaak ontsnappen via operationele “snelkoppelingen”: een persoonlijke account, een gratis tool of SaaS-diensten die zonder IT-goedkeuring zijn geactiveerd.
Wat betreft beveiliging gaat het niet alleen om intern beleid: het is ook preventie van datalekken, het verminderen van risico’s door accounts zonder MFA, en het verkrijgen van inzicht in afhankelijkheden die een aanval- of exfiltratiestraat kunnen worden.
Retrospectieve analyse met PCAP: cases heropenen met nieuwe regels
KATA 8.0 introduceert de mogelijkheid tot retrospectieve scanning van verkeersopnames die door analisten worden aangeleverd in de vorm van PCAP-bestanden (handmatig of automatisch via andere systemen). Een technisch detail met praktische implicaties: wanneer motoren, signaturen of regels worden bijgewerkt, kan verkeer dat destijds “schoon leek” signalen vertonen die eerder onopgemerkt bleven.
Dit is vooral nuttig bij onderzoek na incidenten, forensisch onderzoek en het herzien van campagnes binnen sectoren. In plaats van alleen te vertrouwen op telemetry uit het moment, krijg je de mogelijkheid om bewijsstukken te heranaliseren met de meest recente intelligence.
Niet alleen kwaadaardige IoC’s: ook “schone” observables
Op dezelfde lijn meldt Kaspersky dat KATA nu ook traffic observables kan verzamelen — bestandsnamen, URLs en hashes — niet alleen van kwaadaardige objecten, maar ook van diegene die aanvankelijk als veilig werden beschouwd. Dit breidt het perspectief voor een SOC uit: het maakt het mogelijk om “lijken normale” activiteiten te correleren met verdachte patronen, mogelijk gecompromitteerde gebruikers of vroege stadia van inbraak die nog niet “uitgelicht” worden als malware.
Met andere woorden: minder afhankelijk van de binaire beoordeling “kwaadaardig/niet kwaadaardig” en meer kansen om te onderzoeken op basis van signalen.
Integraties: van e-mail tot endpoint en firewall, met minder frictie
Los van detectie richt KATA 8.0 zich op het verbeteren van de integratie voor onderzoek en reactie:
- E-mail: integratie met Kaspersky Security for Mail Server (KSMS) voor het dynamisch scannen van bijlagen die met wachtwoord zijn beveiligd in de sandbox. Verrijkte alerts tonen bovendien welke acties KSMS heeft ondernomen (blokkering, verwijderen, etc.).
- MDR: in organisaties met Managed Detection and Response fungeert KATA 8.0 als netwerksensor die telemetry naar de MDR-cloud stuurt. Analisten kunnen direct vanuit hun interface aanvullende context opvragen, wat onderzoek versnelt zonder communicatie-‘hin-en-weer’ met de klant.
- Endpoint: ondersteuning voor automatische verzending van bestanden van Kaspersky Endpoint Security (KES) naar de KATA Sandbox, voor betere analyse van verdachte bestanden die op endpoints worden aangetroffen.
- Netwerkreactie: nieuwe connectors met Check Point NGFW voor het genereren van blokkingsregels gebaseerd op gedetecteerde kwaadaardige activiteiten en deze bijna realtime toe te passen op de firewall.
Deze laatste stap is bijzonder relevant in operationeel drukke omgevingen: detectie is belangrijk, maar snelle containment beperkt de impact. Automatisering van blokkades zonder verlies van traceerbaarheid helpt de kloof te overbruggen tussen detectie en mitigatie.
De weg naar een geïntegreerd dashboard: OSMP op komst
Kaspersky kondigt ook aan dat, als onderdeel van haar lange-termijnstrategie, ze van plan is om KATA te migreren naar de Open Single Management Platform (OSMP) in toekomstige versies. Dit moet een naadloze integratie bieden met eigen oplossingen en third-party componenten vanuit één webgebaseerde console, waaronder NDR, EDR, SIEM, XDR en meer.
Ilya Markelov, productmanager van de uniforme platformstrategie bij Kaspersky, plaatst de update in termen van vergroting van zichtbaarheid en proactieve mogelijkheden, en benadrukt de kracht van geavanceerde analytics en integraties voor betrouwbaardere reageerbesluiten.
Veelgestelde vragen
Wat is NDR en waarom is het belangrijk in 2026?
NDR (Network Detection and Response) richt zich op het detecteren en reageren op bedreigingen door het netwerkverkeer te monitoren. In een wereld met SaaS, thuiswerken en een “diffuus perimeter” wordt het netwerk weer een kernpunt om indringingen, lateral movement en exfiltratie te ontdekken.
Wat voegt anomaliedetectie door DNS, HTTP of Kerberos toe?
Het biedt protokolgerichte context: in plaats van te alarmeren op volumetrieke afwijkingen, zoekt het naar afwijkingen die vaak voorkomen bij echte inbraakpogingen (authenticatie misbruik, verborgen communicatie, abnormale queries). Het doel is vroege detectie met minder foute positieven.
Hoe helpt retrospectieve PCAP-analyse in een SOC?
Het stelt je in staat om eerder vastgelegd verkeer opnieuw te analyseren met geüpdatete regels en motoren, waardoor indicatoren die eerder onopgemerkt bleven, nu wel worden ontdekt. Zeer nuttig bij digitaal forensisch onderzoek, post-incident reviews en threat hunting.
Hoe ondersteunt de integratie met firewalls zoals Check Point NGFW?
Het verandert detectie in containment: bij het ontdekken van kwaadaardige activiteit kunnen snel blokkingsregels worden gegenereerd en toegepast, waardoor de blootstellingstijd verkort en operationele kosten voor handmatige reactie verminderen.
vía: kaspersky