Kaspersky simplifica investigação de ataques APT

19 jun 2019

As novas versões do Kaspersky Endpoint Detection and Response (EDR) e da plataforma Kaspersky Anti Targeted Attack Platform ganharam funcionalidades para simplificar o processo de investigação e melhorar a detecção de ameaças. A recente incorporação de uma base de dados de Indicadores de Ataque (IoAs), mantida e alimentada pelos próprios especialistas da Kaspersky, permite oferecer informações adicionais durante a identificação de atividades criminosas. Além disso, os IoAs são classificados utilizando a metodologia MITRE ATT&CK para posterior análise das táticas, técnicas e procedimentos dos hackers. Estas são melhorias-chave que ajudam as empresas a investigar incidentes complexos com maior rapidez.
Incidentes relacionados com ameaças complexas podem ter impacto significativo nas empresas. O custo de resposta e recuperação dos processos, a necessidade de investir em novos sistemas, o impacto sobre a disponibilidade e o dano à reputação são todos fatores que, juntos, criam grande prejuízo. Desta forma, as organizações devem ter em conta não só o aumento do número de malware, mas também o maior número de ameaças complexas e avançadas que têm identificado como possíveis targets para ataques. Em 2018, cerca de 41% das empresas* admitiram ter sido vítima de um ataque direcionado, dado que confirma que as empresas precisam se proteger contra ameaças sofisticadas que podem se esconder dos sistemas de detecção. O Kaspersky EDR e a plataforma anti-APT permitem uma resposta a estes desafios e a ameaças.

As soluções da Kaspersky contam agora com funcionalidades que verificam os Indicadores de Compromisso, tais como o hash, nome do arquivo, caminho, endereço IP, URL, entre outras informações, para indicar se ocorreu um ataque. Além de procurar por Indicadores de Compromisso, as novas capacidades dos IoAs ajudam a identificar as táticas e técnicas usadas pelos hackers, independentemente do tipo de malware ou software legítimo que tenha sido utilizado no ataque. Para simplificar o processo de investigação no momento de examinar a telemetria de múltiplos endpoints, os acontecimentos são comparados com um conjunto de IoAs da Kaspersky. Todos os comportamentos que já foram identificados como maliciosos anteriormente irão aparecer  no resultado da análise junto com descrição detalhada e recomendações sobre qual a melhor forma de responder ao ataque.

As novas funcionalidades permitem ainda que as equipes de segurança produzam seu próprio conjunto de IoAs com base na sua experiência e conhecimento de ciberameaças, bem como o contexto específico de TI. Todas as novas ocorrências serão mapeadas de forma automática e em tempo real, tendo em vista a base de dados interna de IoAs criada pelo usuário, permitindo assim a criação imediata de ações de resposta e de cenários de detecção a longo prazo, alinhado com os requisitos específicos da infraestrutura a qual está empregada.

Juntos, o Kaspersky EDR, a plataforma Kaspersky Anti Targeted Attack e o MITRE ATT&CK – base de dados global que reune táticas e técnicas criminosas –, ajudam as empresas na validação e investigação de futuros riscos de forma eficaz. As ameaças detectadas são classificadas de forma automática com base em uma metodologia pré-existente, contextualizando de forma imediata a atuação da atividade maliciosa. Em outras palavras, as novas soluções permitem que as equipes de segurança saibam exatamente em qual etapa da infecção o malware está e quais as ferramentas (maliciosas ou legítimas) estão sendo usadas no processo – com este conhecimento detalhado, é possível reduz os riscos e diminuir o tempo que é perdido em análise e responder com rapidez, principalmente quando a ameaça é complexa.

As novas funcionalidades estão também disponíveis para organizações que ofereçam serviços de monitorização e gestão da cibersegurança. A arquitetura multi-tenancy permite que os fornecedores de serviços de gestão de segurança protejam as infraestruturas de vários clientes ao mesmo tempo.

“Os hackers podem usar ferramentas confiáveis para evitar a detecção, podem utilizar software legítimo, contas comprometidas, software único, técnicas de engenharia social ou recorrer a pessoas infiltradas. É fundamental não depender exclusivamente das provas deixadas pelos hackers e analisar o potencial rastro da sua atividade”, afirma Sergey Martsynkyan, diretor de Marketing de Produto B2B na Kaspersky.