Les dernières versions en date des solutions Kaspersky Endpoint Detection and Response (EDR) et Kaspersky Anti Targeted Attack vont simplifier le processus d’investigation et améliorer la chasse aux menaces. Les IoA sont désormais mis en correspondance avec la base de connaissances MITRE ATT&CK pour permettre une analyse plus poussée des tactiques, techniques et procédures des adversaires. Ces améliorations majeures vont aider les entreprises à enquêter plus rapidement sur les incidents complexes.
Les incidents liés aux menaces complexes peuvent avoir un impact significatif sur l’activité des entreprises. Aujourd’hui, ces dernières doivent tenir compte, non seulement de nombre croissant de programmes malveillants répandus, mais aussi de la recrudescence des menaces avancées qui les visent. 41 % d’entre elles reconnaissent avoir subi une attaque ciblée en 2018. Les nouvelles générations de la nouvelle plate-forme associant Kaspersky EDR et Kaspersky Anti Targeted Attack leur apportent le soutien nécessaire pour se protéger contre les menaces plus complexes qui échappent habituellement à toute détection.
Utilisation d’indicateurs d’attaque pour renforcer le processus d’investigation
Kaspersky EDR et Kaspersky Anti Targeted Attack intègrent des fonctionnalités destinées à rechercher des indicateurs d’infection (IoC) – hashcode, nom de fichier, chemin d’accès, adresse IP, URL, etc. – qui révèlent l’existence d’une attaque. Aux côtés de cette recherche d’IoC, les nouvelles capacités exploitant les IoA permettent d’identifier les tactiques et techniques des intrus, et ce quels que soient les malwares ou logiciels légitimes utilisés dans l’attaque.
Mise en correspondance avec la base de connaissances MITRE ATT&CK
Conjointement, Kaspersky EDR, Kaspersky Anti Targeted Attack et MITRE ATT&CK – une base de connaissances, accessible au niveau mondial, recensant les tactiques et techniques des adversaires d’après des observations concrètes – permettent aux entreprises de confirmer et d’étudier avec plus d’efficacité les incidents qui se présentent. Les menaces découvertes sont automatiquement confrontées à la base de connaissances, pour mise en contexte immédiate des nouveaux événements à l’aide d’informations extérieures et de données sur les techniques d’attaque. La compréhension approfondie d’une attaque réduit les risques à l’avenir et aide les équipes de sécurité à passer moins de temps sur l’analyse et le traitement des menaces.
Ces nouvelles fonctionnalités sont également mises à la disposition des entreprises proposant des services de surveillance et de gestion dans le domaine de la cybersécurité.
Sergey Martsynkyan, responsable du marketing des produits B2B chez Kaspersky explique : « Les cybercriminels professionnels sont capables de s’infiltrer et passer inaperçus en se cachant derrière des outils de confiance, d’exploiter des vulnérabilités Zero Day, de détourner des logiciels légitimes, de pirater des comptes ou des applications ou encore d’utiliser l’ingénierie sociale contre des employés. C’est pourquoi il est essentiel de ne pas s’en remettre exclusivement aux indices laissés par les acteurs malveillants mais également de rechercher des traces potentielles de leur activité. En disposant de plus amples informations et en comprenant les intentions des assaillants, les entreprises pourront réagir plus rapidement aux menaces complexes ».