Kaspersky ha actualizado su producto Endpoint Detection and Response (EDR) para empresas con procesos de seguridad TI maduros. Bajo el nuevo nombre de Kaspersky Endpoint Detection and Response Expert, ofrece funciones avanzadas de protección contra ataques de tipo APT. Sus capacidades de análisis y respuesta se han mejorado con la fusión automática de alertas en incidentes, el escaneo basado en reglas YARA y la integración de la API para la respuesta en hosts.

La nueva actualización también cuenta con una consola de gestión basada en la nube y alojada en Azure -junto con la versión on-premise disponible anteriormente- para que los clientes con infraestructura nativa en la nube o aquellos que estén en el proceso de transición puedan beneficiarse de EDR, una potente herramienta que se aloja en una plataforma ubicada en una nube de confianza. 

Las soluciones de EDR son esenciales para la ciberprotección dedicada. Tanto es así que Gartner predice que, para 2023, más del 50% de las empresas sustituirán sus soluciones antivirus heredadas por EDR. En las infraestructuras TI distribuidas, a veces se tarda más de un mes en detectar un ataque. Sin embargo, las soluciones EDR puede ayudar a eliminar la ruta de propagación de un ataque a la mayor brevedad, dotando a las empresas de herramientas de análisis eficaces.

Detección y análisis más prácticos

Kaspersky Endpoint Detection and Response Expert es un producto EDR completo que protege contra las amenazas masivas y avanzadas recibidas por las empresas. También incluye nuevas capacidades para ayudar a afinar el análisis de objetos sospechosos y detectar ataques.

Ahora, los archivos sospechosos que activan las reglas del Indicador de Ataque (IoA) se pueden enviar automáticamente a la sandbox para su análisis. Si ésta determina que un archivo puede ser malicioso, se creará una alerta. La capacidad añadida de construir excepciones granulares en las reglas de IoA también ayuda a las empresas a evitar falsas alertas. Asimismo, la regla puede configurarse de modo que, por ejemplo, la alerta no salte en el ordenador del administrador.

Para detectar archivos maliciosos en endpoints individuales en los que hay actividad sospechosa, los analistas del centro de operaciones de seguridad (SOC) y los detectores de amenazas ya pueden utilizar el escaneo de reglas YARA en los hosts. En el endpoint, pueden analizar áreas como la RAM, carpetas específicas o todos los discos locales.

Asimismo, Kaspersky Endpoint Detection and Response Expert mejora la capacidad de análisis con la posibilidad de fusionar alertas automáticas sobre incidentes. El mecanismo correlaciona las alertas fragmentadas en diferentes endpoints y las fusiona en un único incidente, por lo que los analistas no necesitan revisar todas las alertas una por una.

En lo referente a la respuesta a incidentes, los equipos de seguridad TI pueden llevarla a cabo a través de sus sistemas de terceros con la integración de la API para la respuesta en los hosts. Por ejemplo, pueden integrar la capacidad de lanzar acciones de respuesta a su plataforma de orquestación de seguridad, como SIEM o SOAR.

Consola de gestión basada en la nube

La consola de gestión del producto está disponible tanto en despliegue local como en la nube, por lo que las organizaciones pueden elegir su opción preferida según la configuración de la infraestructura. La nueva versión en la nube está alojada en Azure y permite un control, una implementación y una administración más rápidos desde cualquier lugar, así como una mayor transparencia y un menor coste total del producto de protección. Gracias al modelo de suscripción, los clientes pueden cambiar de forma rápida y sencilla el volumen de licencias según el número de nodos que necesiten cubrir.

«Una herramienta EDR completa es un elemento esencial en la ciberseguridad empresarial, por lo que debe adaptarse a las distintas necesidades de los clientes en materia de detección, respuesta y gestión de la seguridad. Con el auge del teletrabajo y del cloud, la capacidad de gestionar las funciones de EDR desde la nube es un requisito imprescindible que cubrimos con esta actualización. Alojar el producto en una plataforma ubicada en una nube de terceros también se alinea con el compromiso de Kaspersky con la privacidad de los datos de los clientes, así como con la confianza en términos de procesamiento y ubicación de los datos. En el futuro, contar con una herramienta EDR potente y fiable debería ser la base para una mayor protección que ayude a las empresas a aumentar el control sobre todas sus áreas de seguridad», explica Sergey Martsynkyan, vicepresidente de marketing de productos corporativos de Kaspersky.

Junto con los productos empresariales de Kaspersky, Kaspersky EDR Expert ha contribuido al reconocimiento de la compañía como Top Player en el reciente informe de Radicati ‘Advanced Persistent Threat (APT) Protection – Market Quadrant 2022’. Se reconoce así su alta funcionalidad y su capacidad para proteger de ciberamenazas complejas a las empresas.