Kaspersky har uppdaterat sin Endpoint Detection and Response (EDR)-produkt för företag med mogna IT-säkerhetsprocesser. Den nya Kaspersky Endpoint Detection and Response Expert erbjuder avancerade APT-liknande attackskyddsfunktioner. Produktens hotutrednings- och svarsmöjligheter har utökats med API-integration för automatisk länkning av varningar till händelser, skanning baserad på YARA-regler och svar på värdar. Den nya versionen inkluderar även den molnbaserade hanteringskonsolen som finns på Azure samt den tidigare tillgängliga lokala versionen.
Gartner förutspår att mer än 50 % av organisationerna kommer att ersätta sina äldre antiviruslösningar med EDR år 2023. Att upptäcka en attack i distribuerad IT-infrastruktur tar ibland mer än en månad. EDR, å andra sidan, kan hjälpa till att eliminera attacken så tidigt som möjligt innan den sprider sig, och utrusta företag med effektiva säkerhetsverktyg.
Nytt API för djupare upptäckt, undersökning och svar
Kaspersky Endpoint Detection and Response Expert sticker ut som en fullfjädrad EDR-produkt som skyddar mot både kollektiva och avancerade företagshot. Den erbjuder också nya upptäckts- och utredningsmöjligheter för att hjälpa kunder att finjustera sin analys av misstänkta föremål och upptäcka attacker från varningspoolen.
Misstänkta filer som utlöser IoA-regler (Indicator of Attack) kan automatiskt skickas till sandlådan för genomsökning. Om en sandlådekontroll visar att en fil är skadlig genereras en varning. Möjligheten att skapa detaljerade undantag från IoA-regler hjälper företag att undvika falska positiva resultat från legitima administratörsåtgärder. Regeln kan till exempel konfigureras så att den inte utlöses på administratörens dator.
Analytiker och hotjägare (SOC) kan nu använda YARA-regelskanning på värdar för att upptäcka skadliga filer på slutpunkter med misstänkt aktivitet. Detta gör att den kan skanna områden som RAM (Random Access Memory), specifika mappar eller hela lokala diskar vid slutpunkten.
Kaspersky Endpoint Detection and Response Expert ökar också utredningsförmågan med möjligheten att kombinera automatiska varningar med händelser. Mekanismen associerar fragmenterade varningar från olika slutpunkter och kan kombinera dem till en enda händelse. Analytiker behöver alltså inte granska varningarna på egen hand.
När det gäller incidentrespons kan IT-säkerhetsteam göra det genom tredjepartssystem med API-integration för svar på värdar. Till exempel kan den integrera möjligheten att initiera svarsåtgärder i säkerhetsorganisationsplattformar som SIEM eller SOAR.
Molnbaserad hanteringskonsol
Produkthanteringskonsolen är tillgänglig i moln såväl som lokal distribution. Således kan institutioner välja det lämpliga alternativet i enlighet med infrastrukturen. Den nya molnversionen är värd på Azure och ger snabbare pilotering och hantering var som helst, samt större transparens och lägre totala ägandekostnader. Tack vare den abonnemangsmodell som erbjuds kan kunderna snabbt ändra licensvolymen efter antalet noder de behöver täcka.
Sergey Martsynkyan, Vice President för Enterprise Product Marketing på Kaspersky, säger: "Ett fullfjädrat EDR-verktyg är en viktig del av företagens cybersäkerhet. Den måste därför utformas för att passa olika kundbehov inom detektering, respons och säkerhetshantering. För att fortsätta trenden med distansarbete och molninförande är möjligheten att hantera EDR-funktioner från molnet ett krav som vi gärna lägger till i vår produktuppdatering. Att vara värd för produkten på en tredjeparts molnplattform är ett steg i linje med Kasperskys engagemang för kundernas datasekretess och förtroende när det gäller databehandling och plats. Framöver bör ett kraftfullt och pålitligt EDR-verktyg erbjuda ytterligare utökat skydd för att hjälpa organisationer att öka insynen i sin infrastruktur och få kontroll över alla säkerhetsområden.”
Tillsammans med Kasperskys företagsprodukter bidrog Kaspersky EDR Expert till erkännandet av Kaspersky som en toppspelare i Radicatis senaste rapport "Advanced Persistent Threat (APT) Protection – Market Quarter 2022". Detta stödjer den höga funktionaliteten i företagets företagsportfölj och dess strategiska vision och förmåga att skydda kunder från komplexa cyberhot.
Var den första att kommentera