Kaspersky EDR e KATA simplificam investigação de ameaças

As últimas versões do Kaspersky EDR e da plataforma KATA contam com a incorporação de uma base de dados de Indicadores de Ataque (IoAs), mantida e alimentada pelos especialistas da Kaspersky em deteção de ameaças. Esta ferramenta permite oferecer informação contextual adicional durante a investigação de atividades relacionadas com o cibercrime.

Os IoAs mapeiam-se através da base de dados de conhecimentos MITRE ATT&CK para depois se proceder à análise das táticas, técnicas e procedimentos dos hackers, permitindo-se uma maior rapidez no processo.

O Kaspersky EDR e a plataforma KATA contam com funcionalidades que comprovam os Indicadores de Compromisso, tais como o hash, nome do ficheiro, caminho, endereço IP, ou URL, que servem para indicar se ocorreu um ataque.

As novas capacidades dos IoAs ajudam na identificação de táticas e técnicas dos hackers, independentemente do tipo de malware ou software que tenha sido utilizado no ataque. Para simplificar o processo de investigação no momento de examinar a telemetria de múltiplos endpoints, os acontecimentos correlacionam-se com um conjunto de IoAs da Kaspersky. Os IoAs que coincidem aparecem na interface do utilizador, acompanhados de uma descrição detalhada e de recomendações sobre a melhor forma de responder.

Os utilizadores podem produzir o seu próprio conjunto de IoAs com base na sua experiência, conhecimentos e contexto de IT. As novas ocorrências vão mapear-se de forma automática e em tempo real, tendo em conta a base de dados interna de IoAs criada pelo utilizador, permitindo a criação imediata de ações de resposta e de cenários de deteção a longo prazo, em linha com os requisitos específicos da infraestrutura que se está a proteger.

Sergey Martsynkyan, Diretor de Marketing de Produto para B2B na Kaspersky, refere que "os hackers podem apostar em objetos de confiança para evitar a deteção, podem utilizar software legítimo, contas comprometidas, software único, técnicas de engenharia social ou recorrer a pessoas infiltradas. É fundamental não depender em exclusivo das provas deixadas pelos hackers e analisar o potencial rasto da sua atividade. Para ajudar as empresas a solucionar este problema, transferimos os conhecimentos dos especialistas da Kaspersky a uma série de IoA que mapeámos com MITRE ATT&CK. Com mais informação e um melhor entendimento das intenções do hacker, as empresas poderão reagir com maior rapidez perante ameaças complexas.”