As últimas versões do Kaspersky EDR e da plataforma KATA incorporam novas funcionalidades que simplificam o processo de investigação e melhoram a detecção de ameaças. A adição de uma base de dados de Indicadores de Ataque (IoAs) permite oferecer informação contextual adicional durante a investigação de actividades ligadas ao cibercrime.
O Kaspersky EDR e a plataforma KATA contam com funcionalidades que comprovam os Indicadores de Compromisso, tais como o hash, nome do ficheiro, endereço IP, URL, etc., que servem para indicar se ocorreu um ataque.
Para simplificar o processo de investigação no momento de examinar a telemetria de múltiplos endpoints, os acontecimentos correlacionam-se com um conjunto de IoAs da Kaspersky. Os IoAs que coincidem aparecem na interface do utilizador fazendo-se acompanhar de uma descrição e de recomendações sobre qual a melhor forma de responder ao ataque.
Os utilizadores podem produzir o seu próprio conjunto de IoAs com base na sua experiência interna, bem como o seu contexto específico de TI. As novas ocorrências vão mapear-se de forma automática e em tempo real tendo em conta a base de dados interna de IoAs criada pelo utilizador.
Sergey Martsynkyan, Director de Marketing de Produto para B2B na Kaspersky, comentou, “os hackers podem apostar em objectos de confiança para evitar a detecção, podem utilizar software legítimo, contas comprometidas, software único, técnicas de engenharia social ou recorrer a pessoas infiltradas. É fundamental não depender em exclusivo das provas deixadas pelos hackers e analisar o potencial rasto da sua actividade. Para ajudar as empresas a solucionar este problema, transferimos os conhecimentos dos especialistas da Kaspersky a uma série de IoA que mapeámos com MITRE ATT&CK. Com mais informação e um melhor entendimento das intenções do hacker, as empresas poderão reagir com maior rapidez perante ameaças complexas”.