Kaspersky a mis à jour son produit Endpoint Detection and Response (EDR) destiné aux entreprises disposant de processus de sécurité informatique matures. Le nouveau produit Kaspersky Endpoint Detection and Response Expert offre des fonctions avancées de protection contre les attaques de type APT. Ses capacités d'investigation et de réponse sont améliorées avec la fusion automatique des alertes en incidents, l'analyse basée sur les règles YARA et l'intégration d'API pour la réponse sur les hôtes. La nouvelle mise à niveau comprend également une console de gestion hébergée sur Azure – en plus de la version sur site (on-premise) précédemment disponible – de sorte que les clients disposant d'une infrastructure cloud-native ou ceux qui se lancent dans le cloud peuvent tous deux bénéficier de cet outil EDR puissant et éprouvé, hébergé sur une plateforme cloud de confiance. Une solution EDR est un must-have reconnu pour une cyber protection dédiée. Gartner prévoit d'ailleurs que plus de 50% des entreprises remplaceront leurs anciennes solutions antivirus par des EDR d'ici 2023. Au sein d'une infrastructure informatique distribuée, il faut parfois plus d'un mois pour détecter une attaque. Cependant, l'EDR peut aider à éliminer le plus tôt possible le chemin de propagation d'une attaque, en dotant les entreprises d'outils d'investigation efficaces. Détection et investigation plus granulaires, et un API pour la réponse Kaspersky Endpoint Detection and Response Expert est le produit EDR par excellence qui protège les entreprises contre les menaces de masse et les menaces avancées. Il propose également de nouvelles fonctionnalités de détection et d'investigation pour aider les clients à affiner leur analyse des objets suspects et à détecter les attaques dans un océan d'alertes. Les fichiers suspects qui déclenchent des règles d'Indicateur d'Attaque (IoA) peuvent désormais être automatiquement envoyés dans la sandbox pour être analysés. Si un fichier semble être malveillant à la suite d'une vérification de la sandbox, une alerte sera créée. La possibilité supplémentaire de créer des exceptions granulaires dans les règles IoA aide les entreprises à éviter les faux positifs provenant d'actions légitimes de l'administrateur. Par exemple, la règle peut être configurée de manière à ne pas se déclencher sur l'ordinateur de l'administrateur. Pour détecter les fichiers malveillants sur des terminaux individuels en cas d'activité suspecte, les analystes des centres d'opérations de sécurité (SOC) et les chasseurs de menaces peuvent désormais utiliser les règles YARA pour scanner les hôtes. Sur le terminal, ils peuvent analyser des zones telles que la mémoire vive (RAM), des dossiers spécifiques ou tous les disques locaux. Kaspersky EDR Expert améliore également la capacité d'investigation avec la possibilité de combiner les alertes automatiques en incidents. Le mécanisme met en corrélation les alertes fragmentées dans différents terminaux et les combine en un incident, de sorte que les analystes n'ont pas besoin d'examiner toutes les alertes de leurs propres mains. En ce qui concerne la réponse aux incidents, les équipes IT peuvent la mener par le biais de leurs systèmes tiers avec une intégration d'API pour la réponse sur les hôtes. Par exemple, elles peuvent intégrer la possibilité de lancer des actions de réponse à leur plateforme d'orchestration de la sécurité, telle qu'un SIEM ou un SOAR. Une console de gestion basée dans le cloud La console de gestion du produit est disponible dans le cadre d'un déploiement sur site ou dans le cloud, de sorte que les entreprises peuvent choisir leur option préférée en fonction de la configuration de leur infrastructure. La nouvelle version dans le cloud est hébergée sur Azure et permet d'accélérer le pilotage, la mise en œuvre et l'administration depuis n'importe où, une plus grande transparence, ainsi que de réduire le coût total de possession du produit de protection. Grâce au modèle d'abonnement, les clients peuvent rapidement modifier le volume des licences en fonction du nombre de nœuds qu'ils doivent couvrir. « Un outil EDR par excellence est un élément essentiel de la cybersécurité des entreprises. Il doit donc être adapté aux différents besoins des clients en matière de détection, de réponse et de gestion de la sécurité. Avec le travail à distance en cours et la tendance croissante à l'adoption du cloud, la possibilité de gérer les fonctions EDR depuis le cloud est une exigence que nous sommes heureux de satisfaire avec cette mise à jour du produit. Héberger ce produit sur la plateforme cloud d'un tiers est également en ligne avec l'engagement de Kaspersky envers la protection des données de ses clients et la confiance en termes de gestion et localisation des données. À l'avenir, un outil EDR puissant et fiable devrait être la base d'une protection étendue qui aidera les entreprises à gagner en visibilité et en contrôle sur tous leurs domaines de sécurité », commente Sergey Martsynkyan, VP, Corporate Product Marketing chez Kaspersky. Avec les produits Entreprise de Kaspersky, Kaspersky EDR Expert a contribué à la reconnaissance de l'entreprise comme Top Player dans un récent rapport « Advanced Persistent Threat (APT) Protection – Market Quadrant 2022 » de Radicati. Cette reconnaissance confirme la haute fonctionnalité et la vision stratégique du portefeuille de solutions entreprise de Kaspersky et sa capacité à protéger les clients contre les cybermenaces complexes.