[03/02/2023] Kaspersky anunció que ha actualizado su servicio Kaspersky Threat Intelligence con nuevas capacidades de caza de amenazas e investigación de incidentes. Según lo señalado en el comunicado de prensa, al proporcionar información en formatos legibles por humanos y máquinas, la solución ayuda a los equipos de seguridad con un contexto significativo a lo largo del ciclo de gestión de incidentes, impulsa las investigaciones de incidentes e informa la toma de decisiones estratégicas.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Alimentación avanzada de datos de amenazas para una mejor protección
"La última versión de Kaspersky Threat Intelligence contiene nuevos feeds sobre crimeware, servicios en la nube y amenazas al software de código abierto. Estos feeds ayudarán a los clientes a detectar o prevenir la fuga de datos confidenciales y mitigar los riesgos de ataques a la cadena de suministro y componentes de software vulnerables o comprometidos políticamente. También introduce la alimentación de datos sobre vulnerabilidad industrial en formato OVAL. Permite a los clientes encontrar fácilmente software ICS vulnerable en hosts Windows de sus redes utilizando los escáneres de vulnerabilidades más conocidos”, comentó Anatoly Simonenko, jefe de Gestión de Productos de Soluciones Tecnológicas de Kaspersky.
El ejecutivo anotó que los feeds existentes se enriquecen con información adicional valiosa y procesable, como nuevas categorías de amenazas, tácticas y técnicas de ataque en la clasificación ATT&CK de MITRE, que ayudará a los clientes a identificar a sus adversarios, investigar y responder a las amenazas de forma más rápida y eficaz.
"La integración con las soluciones de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) a través de Kaspersky CyberTrace también se ha mejorado con el análisis automatizado de indicadores de compromiso (IoC) directamente desde correos electrónicos y archivos PDF. Además, CyberTrace ahora admite un formato de exportación flexible de IoC, lo que permite la integración sin problemas de Threat Data Feeds filtrados en controles de seguridad de terceros”, sostuvo Simonenko.
Mejor visibilidad para una investigación en profundidad
Agregó que Kaspersky Threat Intelligence amplió su cobertura a las direcciones IP y añadió nuevas categorías como DDoS, Intrusión, Fuerza bruta y Exploradores de red, ya que los clientes realizaban anteriormente muchas búsquedas relacionadas con este tipo de amenazas. La solución actualizada también admite filtros que pueden ayudar a los usuarios a especificar fuentes de criterios, secciones y periodos para búsquedas programadas automatizadas.
"Research Graph, una herramienta de visualización gráfica, también se ha actualizado para admitir dos nuevos nodos: actores e informes. Los usuarios pueden aplicarlos para encontrar conexiones adicionales con IoC. Esta opción acelera las actividades de respuesta y caza de amenazas al destacar los IoC de ataques de alto perfil descritos en informes sobre APT, crimeware e industria, así como en perfiles de actores”, explicó Simonenko.
Protección de marca fiable en redes sociales y mercados
El ejecutivo comento, asimismo que la capacidad de protección de marca de Threat Intelligence se ha mejorado añadiendo nuevas notificaciones al servicio de Inteligencia de Huella Digital. Ahora admite alertas en tiempo real de phishing dirigido, cuentas de redes sociales falsificadas o aplicaciones en Mobile Marketplace.
"Ayuda a rastrear la aparición del sitio web de phishing dirigido al nombre de su empresa, servicios en línea o marcas comerciales, y proporciona información relevante, precisa y detallada sobre las actividades de phishing. La solución actualizada también supervisa y detecta las aplicaciones móviles maliciosas que suplantan la marca del cliente y los perfiles falsos de la organización en las redes sociales.
Herramientas de análisis de amenazas mejoradas
Por último, Simonenko indicó que Kaspersky Cloud Research Sandbox ahora es compatible con el sistema operativo Android y el mapeo MITRE ATT&CK, las métricas relacionadas se mostrarán en un panel de control del Cloud Sandbox. También proporciona todas las actividades de red a través de todos los protocolos, incluyendo IP, UDP, TCP, DNS, HTTP(S), SSL, FTP, POP3, IRC. El usuario puede ahora especificar líneas de comandos y parámetros de archivos para lanzar la emulación de forma personalizada.
CIO, Perú