Kaspersky actualiza su producto EDR para empresas con procesos de TI maduros

  • Endpoint

Kaspersky EDR Expert

Kaspersky ha actualizado su solución de EDR con más ajustes de detección y análisis, para proteger a las empresas protege contra las amenazas masivas y avanzadas recibidas por las empresas. Le da un nuevo nombre: Kaspersky Endpoint Detection and Response Expert.

Recomendados: 

Claves de seguridad para las nuevas aplicaciones web y API. Ebook

Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

La solución actualizada introduce mejoras en sus capacidades de análisis y respuesta con la fusión automática de alertas en incidentes, el escaneo basado en reglas YARA y la integración de la API para la respuesta en hosts. Además, cuenta con una consola de gestión basada en la nube y alojada en Azure, junto con la versión on-premise disponible anteriormente

Según explica la firma de ciberseguridad, los archivos sospechosos que activan las reglas del Indicador de Ataque (IoA) se pueden enviar automáticamente ahora a la sandbox para su análisis. Si ésta determina que un archivo puede ser malicioso, se creará una alerta. La capacidad añadida de construir excepciones granulares en las reglas de IoA también ayuda a las empresas a evitar falsas alertas. Asimismo, la regla puede configurarse de modo que, por ejemplo, la alerta no salte en el ordenador del administrador.

También, para detectar archivos maliciosos en endpoints individuales en los que hay actividad sospechosa, los analistas del centro de operaciones de seguridad (SOC) y los detectores de amenazas ya pueden utilizar el escaneo de reglas YARA en los hosts. En el endpoint, pueden analizar áreas como la RAM, carpetas específicas o todos los discos locales.

Por otro lado, el nuevo Endpoint Detection and Response Expert mejora la capacidad de análisis con la posibilidad de fusionar alertas automáticas sobre incidentes. El mecanismo correlaciona las alertas fragmentadas en diferentes endpoints y las fusiona en un único incidente, por lo que los analistas no necesitan revisar todas las alertas una por una.

En lo referente a la respuesta a incidentes, los equipos de seguridad TI pueden llevarla a cabo a través de sus sistemas de terceros con la integración de la API para la respuesta en los hosts. Por ejemplo, pueden integrar la capacidad de lanzar acciones de respuesta a su plataforma de orquestación de seguridad, como SIEM o SOAR1.

Las soluciones de EDR son esenciales para la ciberprotección dedicada. Tanto es así que Gartner predice que, para 2023, más del 50% de las empresas sustituirán sus soluciones antivirus heredadas por EDR. En las infraestructuras TI distribuidas, a veces se tarda más de un mes en detectar un ataque. Sin embargo, las soluciones EDR puede ayudar a eliminar la ruta de propagación de un ataque a la mayor brevedad, dotando a las empresas de herramientas de análisis eficaces.