Kaspersky a mis à jour son produit Endpoint Detection and Response (EDR) pour les entreprises dotées de processus de sécurité informatique matures. Le nouveau Kaspersky Endpoint Detection and Response Expert offre des fonctions avancées de protection contre les attaques de type APT. Les capacités d'investigation et de réponse aux menaces du produit ont été étendues avec l'intégration de l'API pour la liaison automatique des alertes aux événements, l'analyse basée sur les règles YARA et la réponse sur les hôtes. La nouvelle version inclut également la console de gestion basée sur le cloud hébergée sur Azure ainsi que la version sur site précédemment disponible.
Gartner prévoit que plus de 50 % des entreprises remplaceront leurs anciennes solutions antivirus par EDR d'ici 2023. Détecter une attaque dans des infrastructures informatiques distribuées prend parfois plus d'un mois. L'EDR, d'autre part, peut aider à éliminer l'attaque le plus tôt possible avant qu'elle ne se propage et doter les entreprises d'outils de sécurité efficaces.
Nouvelle API pour une détection, une enquête et une réponse plus approfondies
Kaspersky Endpoint Detection and Response Expert se distingue comme un produit EDR à part entière qui protège contre les menaces d'entreprise collectives et avancées. Il offre également de nouvelles capacités de détection et d'investigation pour aider les clients à affiner leur analyse des objets suspects et à détecter les attaques à partir du pool d'alertes.
Les fichiers suspects qui déclenchent les règles d'indicateur d'attaque (IoA) peuvent être automatiquement envoyés au bac à sable pour être analysés. Si une vérification sandbox montre qu'un fichier est malveillant, un avertissement est généré. La possibilité de créer des exceptions détaillées aux règles IoA aide les entreprises à éviter les faux positifs provenant d'actions administratives légitimes. Par exemple, la règle peut être configurée pour qu'elle ne soit pas déclenchée sur l'ordinateur de l'administrateur.
Les analystes du centre des opérations de sécurité (SOC) et les chasseurs de menaces peuvent désormais utiliser l'analyse des règles YARA sur les hôtes pour détecter les fichiers malveillants sur les terminaux présentant une activité suspecte. Cela lui permet d'analyser des zones telles que la mémoire vive (RAM), des dossiers spécifiques ou des disques locaux entiers au point de terminaison.
Kaspersky Endpoint Detection and Response Expert augmente également la capacité d'investigation avec la possibilité de combiner des alertes automatisées avec des événements. Le mécanisme associe des alertes fragmentées provenant de différents terminaux et peut les combiner en un seul événement. Ainsi, les analystes n'ont pas besoin d'examiner les avertissements eux-mêmes.
En ce qui concerne la réponse aux incidents, les équipes de sécurité informatique peuvent le faire via des systèmes tiers avec intégration d'API pour la réponse sur les hôtes. Par exemple, il peut intégrer la possibilité d'initier des actions de réponse dans des plates-formes d'orchestration de la sécurité telles que SIEM ou SOAR.
Console de gestion basée sur le cloud
La console de gestion des produits est disponible dans le cloud ainsi que le déploiement sur site. Ainsi, les établissements peuvent choisir l'option appropriée en fonction de la configuration de l'infrastructure. La nouvelle version cloud est hébergée sur Azure et offre un pilotage et une gestion plus rapides depuis n'importe où, ainsi qu'une plus grande transparence et un coût total de possession réduit. Grâce au modèle d'abonnement proposé, les clients peuvent modifier rapidement le volume de licence en fonction du nombre de nœuds qu'ils doivent couvrir.
Sergey Martsynkyan, vice-président du marketing des produits d'entreprise chez Kaspersky, déclare : « Un outil EDR à part entière est un élément essentiel de la cybersécurité d'entreprise. Il doit donc être conçu pour répondre aux différents besoins des clients en matière de détection, de réponse et de gestion de la sécurité. Poursuivant la tendance du travail à distance et de l'adoption du cloud, la capacité de gérer les fonctions EDR à partir du cloud est une exigence que nous sommes heureux d'ajouter à notre mise à jour de produit. L'hébergement du produit sur une plate-forme cloud tierce est une étape conforme à l'engagement de Kaspersky envers la confidentialité des données des clients et la confiance en termes de traitement et de localisation des données. À l'avenir, un outil EDR puissant et fiable devrait offrir une protection encore plus étendue pour aider les organisations à accroître la visibilité de leur infrastructure et à prendre le contrôle de tous les domaines de la sécurité.
Avec les produits d'entreprise Kaspersky, Kaspersky EDR Expert a contribué à la reconnaissance de Kaspersky comme Top Player dans le récent rapport « Advanced Persistent Threat (APT) Protection - Market Quarter 2022 » de Radicati. Cela soutient la haute fonctionnalité du portefeuille d'entreprise de l'entreprise ainsi que sa vision stratégique et sa capacité à protéger les clients contre les cybermenaces complexes.
Soyez le premier à commenter