Kaspersky EDR e Kaspersky Anti Targeted Attack potenziati per semplificare il processo investigativo

redazione

Gli incidenti informatici relativi a minacce complesse possono avere un impatto significativo sul business. I costi legati ai tempi di risposta e di recupero dei processi, la necessità di investire in nuovi sistemi o processi, l’effetto sulla disponibilità e il danno alla reputazione si sommano. Oggi, le organizzazioni devono considerare, non solo il crescente numero di programmi dannosi diffusi, ma anche l’aumento delle minacce avanzate complesse che li stanno prendendo di mira. Nel 2018, il 41% delle entreprise[1]  ha ammesso di aver subito un attacco mirato. Chiaramente, le aziende hanno bisogno di protezione dalle minacce più sofisticate che altrimenti eluderebbero il rilevamento. Kaspersky aiuta a risolvere questo problema con la nuova generazione delle piattaforme Kaspersky EDR e Kaspersky Anti Targeted Attack.

Utilizzo degli Indicatori di Attacco per stimolare il processo investigativo

Kaspersky EDR e Kaspersky Anti Targeted Attack includono funzionalità per controllare la presenza di Indicatori di Compromissione (IoCs), come hash, nome file, percorso, indirizzo IP, URL, e altro che mostrano quando un cybercriminale ha colpito. Oltre alla ricerca di IoC, le nuove funzionalità con IoA offrono l’opportunità di identificare le tattiche e le tecniche degli intrusi, indipendentemente dal malware o dal software legittimo utilizzato nell’attacco. Per semplificare il processo di indagine quando si esamina la telemetria da più endpoint, gli eventi sono correlati con un set unico di IoA di Kaspersky. Gli IoA abbinati vengono visualizzati nell’interfaccia utente con descrizioni dettagliate e raccomandazioni sul modo migliore per rispondere all’attacco.

I clienti possono produrre il proprio set di IoA sulla base della loro esperienza, della conoscenza delle minacce più significative e del loro specifico ambiente IT. Tutti i nuovi eventi vengono automaticamente mappati in tempo reale con il database interno di IoA personalizzati, consentendo l’immediata creazione di azioni di risposta informate e scenari di rilevazione a lungo termine, secondo le specificità dell’infrastruttura protetta.

 

Mappatura della knowledge base di MITRE ATT&CK

Kaspersky EDR, Kaspersky Anti Targeted Attack e MITRE ATT&CK insieme rappresentano una knowledge base di tattiche e tecniche avversarie accessibile a livello globale e basate sull’osservazione del mondo reale che consentono alle aziende di convalidare e investigare gli incidenti in entrata in modo più efficiente. Le minacce scoperte vengono automaticamente mappate sulla knowledge base, contestualizzando in modo immediato i nuovi eventi con dati di intelligence esterna e tecniche di attacco. Avere una comprensione più profonda di un attacco riduce i rischi futuri e aiuta i team di sicurezza a ridurre il tempo necessario per analizzare e rispondere alle minacce.

 

 

Le funzionalità avanzate sono disponibili anche per le organizzazioni che offrono il monitoraggio e la gestione della sicurezza informatica. La nuova architettura multi-tenancy consente ai Managed Security Services Providers (MSSP) di proteggere l’infrastruttura di più clienti contemporaneamente.

“I criminali informatici professionisti possono “inserirsi” senza essere scoperti all’interno di oggetti ritenuti affidabili, sono in grado di sfruttare le vulnerabilità zero-day, i software legittimi, gli account compromessi, unique software o tecniche di social engineering o sfruttare gli addetti ai lavori. E’ quindi essenziale non affidarsi esclusivamente alle prove evidenti lasciate dai criminali, ma è necessario cercare anche le potenziali tracce della loro attività. Per aiutare le organizzazioni a risolvere questo problema, abbiamo tradotto l’esperienza di Kaspersky in una serie di IoAs e li abbiamo mappati con MITRE ATT&CK. Grazie al numero maggiore di informazioni ottenute e alla comprensione delle intenzioni dei criminali, le aziende saranno in grado di reagire più rapidamente alle minacce complesse”, commenta Sergey Martsynkyan, Head of B2B Product Marketing di Kaspersky.

[1] ITSRS 2018 ITSRS8N21. La vostra organizzazione ha subito uno dei seguenti incidenti negli ultimi 12 mesi? – Attacchi mirati