Per contrastare gli ormai diffusissimi attacchi informatici, Kaspersky ha lanciato il servizio Managed Detection and Response, che garantisce una protezione continua basata sul machine learning, consentendo ai team di sicurezza IT di concentrarsi sull’analisi, sulle indagini e sulla risposta alle minacce. Due sono le versioni del prodotto, sia per le grandi aziende che per quelle più piccole, con diversi livelli di maturità ed esigenze di sicurezza IT.
Per contrastare le difficoltà economiche che le aziende potrebbero avere nell’organizzare dei corsi di formazione interni o di assumere tecnici specializzati, il servizio di Kaspersky offre i vantaggi di un security operations center (SOC) in outsourcing senza che i team interni debbano avere competenze specifiche nel threat hunting e nell’analisi degli incidenti, il che può essere particolarmente rilevante per le aziende di medie dimensioni. Secondo il report “IT Security Economics 2020”, il costo medio di una violazione dei dati per le imprese di grandi dimensioni aumenta di oltre 400 mila dollari a seconda che una violazione venga scoperta quasi istantaneamente o dopo una settimana. Per questo il servizio MDR è arricchito da tecnologie di rilevamento e dalla vasta esperienza nel threat hunting e nella incident response di diversi team di esperti, tra cui il Global Research & Analysis Team (GReAT). Permette inoltre, grazie al potenziamento dato da AI Analyst, la risoluzione automatica degli alert, permettendo agli analisti del SOC di Kaspersky di concentrarsi sulla gestione delle segnalazioni più importanti.
Il funzionamento del servizio è abbastanza complesso, ma completo: I prodotti Kaspersky inviano al Kaspersky Security Network le loro telemetrie, che verranno poi analizzate nel SOC interno di Kaspersky utilizzando più di 700 “hunt” proprietarie basate su TTP costantemente aggiornate e adattate alle esigenze del cliente e ai vari motori di rilevamento. Gli alert vengono raccolti da tutti gli endpoint, consentendo così al sistema di stabilire eventuali collegamenti tra una serie di attacchi a vari dispositivi. Successivamente, il team di threat hunting di Kaspersky convalida e classifica tutti i rilevamenti in ordine di importanza per garantire una risposta tempestiva. Dopo l’indagine, i clienti ricevono l’alert degli incidenti e una guida completa sulle azioni da intraprendere nel portale MDR dedicato.
Le due versioni del prodotto sono la Optimum, che garantisce una protezione as-a-service chiavi in mano, e quella Expert, che consente di formare e dotare di certificazioni OSCP, GCTI, SANS SEC560, SANS SEC660 gli analisti SOC del vendor, di accedere al Kaspersky Threat Intelligence Portal e a una API (Application Programming Interface) per integrare i security workflow esistenti.
Parallelamente a questo prodotto Kaspersky ha presentato anche i nuovi framework per soddisfare le esigenze delle aziende in termini di difesa dalle minacce e in base al livello di maturità della loro sicurezza IT, consentendo ai team di esperti di sicurezza IT di focalizzarsi sulla gestione degli eventi critici evidenziati.
Il framework Kaspersky Optimum Security migliora il livello di sicurezza rispetto a minacce nuove, sconosciute e difficili da rilevare, aiutando le piccole e medie imprese che dispongono di risorse di cybersecurity limitate a elaborare piani di incident response. Il framework Kaspersky Expert Security rappresenta una strategia olistica per aiutare ad informare e guidare gli esperti interni ad affrontare l’intera gamma delle complesse minacce odierne, come APT e attacchi mirati, offrendo una protezione APT all-in-one con capacità di rilevamento delle minacce di rete e EDR.
Dmitry Aleshin, VP, Product Marketing di Kaspersky, ha dichiarato: “Una protezione efficace contro le minacce deve prevedere un pacchetto di misure integrate, facili da gestire e in grado di soddisfare le esigenze dei clienti, come ad esempio dei framework. A differenza di una soluzione specifica, i framework offrono una roadmap di cybersecurity per l’azienda, assicurando la transizione da un livello di maturità di sicurezza IT a un altro dopo il raggiungimento di determinati requisiti. Nel caso di MDR, un’azienda con un livello base di sicurezza informatica può ricevere un servizio completamente automatizzato, mentre quando la competenza dei suoi specialisti cresce passa al livello esperto e viene coinvolta nel threat hunting e nelle indagini.”
