Le ultime versioni di Kaspersky EDR e Kaspersky Anti Targeted Attack offrono nuove funzionalità che semplificano il processo investigativo e migliorano la ricerca delle minacce.
Un database di Indicatori di Attacco (IoAs) recentemente aggiunto, gestito e alimentato dagli esperti di Kaspersky, fornisce un contesto aggiuntivo, durante le indagini, su quelle che sono le attività dei criminali informatici. Inoltre, adesso gli IoA vengono mappati nella knowledge base di MITRE ATT&CK per un’analisi aggiuntiva di tattiche, tecniche e procedure degli “avversari”. Questi miglioramenti fondamentali aiutano le imprese a indagare più rapidamente su incidenti complessi.
Gli incidenti informatici relativi a minacce complesse possono avere un impatto significativo sul business. I costi legati ai tempi di risposta e di recupero dei processi, la necessità di investire in nuovi sistemi o processi, l’effetto sulla disponibilità e il danno alla reputazione si sommano. Oggi, le organizzazioni devono considerare, non solo il crescente numero di programmi dannosi diffusi, ma anche l’aumento delle minacce avanzate complesse che li stanno prendendo di mira. Nel 2018, il 41% delle entreprise ha ammesso di aver subito un attacco mirato. Chiaramente, le aziende hanno bisogno di protezione dalle minacce più sofisticate che altrimenti eluderebbero il rilevamento. Kaspersky aiuta a risolvere questo problema con la nuova generazione delle piattaforme Kaspersky EDR e Kaspersky Anti Targeted Attack.
Utilizzo degli Indicatori di Attacco per stimolare il processo investigativo
Kaspersky EDR e Kaspersky Anti Targeted Attack includono funzionalità per controllare la presenza di Indicatori di Compromissione (IoCs), come hash, nome file, percorso, indirizzo IP, URL, e altro che mostrano quando un cybercriminale ha colpito. Oltre alla ricerca di IoC, le nuove funzionalità con IoA offrono l’opportunità di identificare le tattiche e le tecniche degli intrusi, indipendentemente dal malware o dal software legittimo utilizzato nell’attacco.
Per semplificare il processo di indagine quando si esamina la telemetria da più endpoint, gli eventi sono correlati con un set unico di IoA di Kaspersky. Gli IoA abbinati vengono visualizzati nell’interfaccia utente con descrizioni dettagliate e raccomandazioni sul modo migliore per rispondere all’attacco.
I clienti possono produrre il proprio set di IoA sulla base della loro esperienza, della conoscenza delle minacce più significative e del loro specifico ambiente IT. Tutti i nuovi eventi vengono automaticamente mappati in tempo reale con il database interno di IoA personalizzati, consentendo l’immediata creazione di azioni di risposta informate e scenari di rilevazione a lungo termine, secondo le specificità dell’infrastruttura protetta.
Mappatura della knowledge base di MITRE ATT&CK
Kaspersky EDR, Kaspersky Anti Targeted Attack e MITRE ATT&CK insieme rappresentano una knowledge base di tattiche e tecniche avversarie accessibile a livello globale e basate sull’osservazione del mondo reale che consentono alle aziende di convalidare e investigare gli incidenti in entrata in modo più efficiente.
Le minacce scoperte vengono automaticamente mappate sulla knowledge base, contestualizzando in modo immediato i nuovi eventi con dati di intelligence esterna e tecniche di attacco.
Avere una comprensione più profonda di un attacco riduce i rischi futuri e aiuta i team di sicurezza a ridurre il tempo necessario per analizzare e rispondere alle minacce.
Le funzionalità avanzate sono disponibili anche per le organizzazioni che offrono il monitoraggio e la gestione della sicurezza informatica. La nuova architettura multi-tenancy consente ai Managed Security Services Providers (MSSP) di proteggere l’infrastruttura di più clienti contemporaneamente.
