Secondo l’ultimo report degli analisti MDR di Kaspersky, nel 2024 le Advanced Persistent Threats (APT) hanno colpito in modo significativo un’azienda su quattro, con un incremento notevole del 74% rispetto al 2023. I risultati evidenziano che, nonostante i progressi nelle tecnologie di rilevamento automatico, i cybercriminali continuano a sfruttare le vulnerabilità e ad aggirare le difese. Per affrontare queste sfide e migliorare le capacità di rilevamento delle minacce, Kaspersky ha aggiornato la soluzione Kaspersky SIEM integrando nuove e significative funzionalità progettate per migliorare l’efficienza complessiva dei sistemi di sicurezza informatica.
Kaspersky SIEM raccoglie, raggruppa, analizza e archivia i dati di log dell’intera infrastruttura IT, fornendo informazioni di threat intelligence contestualizzate e utilizzabili. Nell’ultimo aggiornamento, questa piattaforma è stata migliorata con le seguenti funzionalità:
Protezione avanzata contro il DLL hijacking
Il software legittimo carica numerose librerie durante il funzionamento, che possono essere sfruttate dagli aggressori per eludere il rilevamento ed eseguire attacchi informatici. Per affrontare questa minaccia, Kaspersky SIEM ha introdotto un sottosistema specializzato basato sull’intelligenza artificiale che analizza continuamente le informazioni su tutte le librerie caricate. In caso di sospetta sostituzione, il sistema annota automaticamente l’evento, consentendo ai team di sicurezza di registrare gli incidenti per ulteriori approfondimenti. Per sfruttare questa nuova funzionalità, gli utenti possono semplicemente stabilire una regola di arricchimento DLL Hijacking al collettore o al correlatore, migliorando la capacità del sistema di rilevare e rispondere in modo efficace alle potenziali minacce di sostituzione delle librerie.
Integrazione con Digital Footprint Intelligence e Managed Detection and Response
Kaspersky SIEM offre ora una perfetta integrazione con Kaspersky Digital Footprint Intelligence, consentendo agli utenti di ricevere analisi complete relative ai dati del digital footprint. Questo miglioramento garantisce che le fughe di account utente e password vengano prontamente rilevate, con avvisi automatici generati per facilitare una risposta immediata. Gli incidenti identificati attraverso questa integrazione possono essere ulteriormente analizzati all’interno del sistema SIEM, migliorando la sicurezza complessiva.
Inoltre, la soluzione ora supporta l’importazione automatica degli incidenti dalla console Managed Detection and Response (MDR) direttamente nel SIEM, semplificando l’elaborazione e l’analisi degli incidenti per una gestione delle minacce più rapida ed efficiente.
Analisi comportamentale migliorata
Kaspersky SIEM è stato ulteriormente migliorato con l’integrazione di un set di regole dedicato all’User and Entity Behavior Analytics (UEBA), progettato specificamente per il rilevamento completo delle anomalie nei processi di autenticazione, nell’attività di rete e nell’esecuzione dei processi su workstation e server basati su Windows. Questa aggiunta consente a Kaspersky SIEM di analizzare in modo più efficace le deviazioni dai modelli comportamentali stabiliti, facilitando così l’identificazione tempestiva di APT, attacchi mirati e minacce interne.
Nuove funzionalità per la creazione di report
Le dashboard e i modelli di report possono ora essere condivisi e trasferiti tra le varie installazioni di Kaspersky SIEM, facilitando la collaborazione e garantendo la coerenza tra i diversi ambienti di sicurezza. Questa funzionalità consente inoltre agli utenti di ricevere aggiornamenti direttamente da Kaspersky, assicurando ai team di sicurezza l’accesso ai contenuti più recenti per un’analisi completa della sicurezza informatica aziendale.
Sono stati inoltre introdotti nuovi widget di visualizzazione dei dati che offrono funzionalità avanzate per la presentazione delle informazioni. Gli utenti possono ora visualizzare i dati con l’opzione trend, combinare più grafici e illustrare le relazioni tra valori diversi, migliorando così la chiarezza e l’efficacia delle informazioni sulla sicurezza.
Inoltre, è stato aggiunto un nuovo widget preconfigurato, che offre la possibilità di creare query raffinate. A questo si aggiunge una funzionalità di drill-down, che consente agli utenti di passare da una dashboard a un’altra preconfigurata per un’analisi più dettagliata.
Maggiore disponibilità e scalabilità
Kaspersky ha introdotto un’architettura distribuita basata su Raft per il SIEM Core, progettata per garantire elevata disponibilità e resilienza. Questo approccio assicura il funzionamento continuo anche in condizioni di carico elevato e consente alle aziende di scalare orizzontalmente con facilità.
