Kaspersky refuerza la capacidad de investigación y detección de amenazas de las empresas
- Actualidad
Las soluciones Kaspersky EDR y Kaspersky Attack cuentan ahora con nuevas funcionalidades que simplifican el proceso de investigación y detección de amenazas. Las mejoras incluyen indicadores únicos de ataque y mapeo MITRE ATT&CK para reforzar y simplificar el proceso de investigación.
La incorporación de una base de datos de Indicadores de Ataque (IoA) en las últimas versiones de Kaspersky EDR, su solución de detección y respuesta, y la plataforma Kasperky Anti Targeted Attack permiten ofrecer información contextual adicional durante la investigación de actividades vinculadas al cibercrimen. Además, estos indicadores se mapean a la base de datos de conocimientos MITRE ATT&CK, una base de datos accesible en todo el mundo con multitud de tácticas y técnicas basadas en observaciones en el mundo real, para el análisis posterior de las tácticas, técnicas y procedimientos de los cibercriminales.
Con estas mejoras, la compañía de seguridad quiere que las empresas a investigar incidentes complejos con mayor rapidez ya que, como subraya, “los incidentes relacionados con amenazas complejas pueden tener un impacto significativo en las empresas. El coste de respuesta y de la recuperación de los procesos, la necesidad de invertir en nuevos sistemas o procesos, el impacto sobre la disponibilidad y el daño a la reputación son todos factores que en su conjunto generan un gran perjuicio a las empresas. Por tanto, las organizaciones deben tener en cuenta no solo el creciente número de programas maliciosos sino también el mayor número de amenazas complejas y avanzadas que las tienen en el punto de mira”.
Indicadores de ataque
Kaspersky EDR y Kaspersky Anti Targeted Attack cuentan con funcionalidades para comprobar los Indicadores de Compromiso (IoC), tales como el hash, nombre de archivo, ruta, dirección IP, URL, etc.), que sirven para indicar si se ha producido un ataque. Además de buscar los IoC, las nuevas capacidades IoAs ayudan a identificar las tácticas y técnicas de los intrusos, sin importar el tipo de malware o software legítimo que se haya utilizado en el ataque. Para simplificar el proceso de investigación a la hora de examinar la telemetría de múltiples endpoints, los eventos se correlacionan con un conjunto único de IoAs de Kaspersky. Si coinciden, se muestran en la interfaz del usuario con una descripción detallada y recomendaciones sobre la mejor forma de responder al ataque.
Además, los usuarios pueden producir su propio conjunto de IoAs en función de su experiencia interna, su conocimiento de las amenazas más significativas y su entorno específico de TI. Todos los nuevos eventos se mapean de forma automática y en tiempo real con la base de datos interna de IoAs creada por el usuario, permitiendo la creación inmediata de acciones de respuesta y escenarios de detección a largo plazo, en línea con los requerimientos específicos de la infraestructura protegida.
Las amenazas que se detecten se mapean de forma automática a la base de datos MITRE ATT&CK, contextualizando de forma inmediata los eventos nuevos con la ayuda de inteligencia externa y datos sobre técnicas de ataque. “Disponer de un conocimiento más profunda sobre un ataque reduce el riesgo futuro y permite a los equipos de seguridad reducir el tiempo que se tarda en analizar y hacer frente a las amenazas”, añade la firma.
