Kaspersky Integreert AI in SIEM voor het Bestrijden van DLL-Hijacking en Versterkt Veerkracht met Raft-architectuur

Door /
Share on LinkedIn Share on WhatsApp

Kaspersky Versterkt SIEM Platform met Kunstmatige Intelligentie en Integraties

Kaspersky heeft zijn platform, Kaspersky SIEM, geüpdatet met een scala aan nieuwe mogelijkheden gericht op kunstmatige intelligentie. Deze update omvat native integratie met hun Digital Footprint Intelligence (DFI) en Managed Detection and Response (MDR), evenals aanzienlijke verbeteringen in dashboards, rapportage en schaalbaarheid. De onderneming benadrukt dat het dubbele doel is om de detectie-effectiviteit tegen voortdurende bedreigingen, zoals DLL hijacking, te verhogen en de operationele belasting van cybersecurity teams te verminderen.

Toegenomen Bedreigingen

De update is een reactie op een jaar met sterke aanvallen. Volgens het meest recente rapport van Kaspersky MDR werden in 2024 vier van de tien bedrijven getroffen door geavanceerde aanhoudende bedreigingen (APT), een stijging van 74% ten opzichte van 2023. Kaspersky gelooft dat de combinatie van gedragsdetectie, verrijking met intelligentie en automatisering essentieel is om lacunes te dichten die door puur reactieve tools niet meer worden gedekt.

Kunstmatige Intelligentie Tegen DLL Hijacking

De meest opzienbarende innovatie is een AI-subsysteem dat gericht is op het detecteren van tekenen van malafide DLL-vervanging. Dit systeem analyseert continu informatie van alle door legitieme processen geladen bibliotheken. Bij het detecteren van verdachte patronen, zoals ongewone laadroutes of incongruente versies, wordt het evenement automatisch vastgelegd voor verdere escalatie naar het Security Operations Center (SOC).

Integratie met DFI en MDR

De vernieuwde Kaspersky SIEM integreert met DFI, wat zicht biedt op de digitale sporen van de organisatie, zoals gelekte accounts en wachtwoorden. Wanneer DFI een situatie detecteert, genereert het automatisch waarschuwingen die direct in het SIEM binnenkomen, waar ze worden gecorreleerd met interne evenementen. Dit helpt bij het prioriteren van signalen die daadwerkelijk een bedreiging vormen.

Daarnaast stelt de samenwerking met Kaspersky MDR teams in staat om beheerde incidenten automatisch in het SIEM te importeren, wat de detectie, analyse en respons vereenvoudigt.

Gedraganalyse met UEBA

De update biedt ook een pakket van User and Entity Behavior Analytics (UEBA) regels. Deze regels monitoren authenticaties en netwerkactiviteit op Windows-systemen, en detecteren afwijkingen van normale patronen die vaak voorafgaan aan indringers of gerichte aanvallen. Kaspersky benadrukt dat UEBA helpt om subtiele veranderingen te identificeren die niet direct zichtbaar zijn in traditionele handtekeningen.

Verbeterde Rapportage en Dashboards

Kaspersky SIEM maakt het nu mogelijk om sjablonen voor dashboards en rapporten te delen tussen verschillende installaties. Dit vergemakkelijkt een uniforme aanpak onder verspreide teams en versnelt de implementatie van officiële inhoud die regelmatig wordt bijgewerkt.

Bij de nieuwe functionaliteiten horen ook widgets die trends en relaties weergeven, en de mogelijkheid om diepere analyses uit te voeren zonder context te verliezen.

Hoge Beschikbaarheid en Schaalbaarheid

De kern van de SIEM is ontworpen met een gedistribueerde architectuur gebaseerd op Raft, wat zorgt voor fouttolerantie en horizontale schaalbaarheid, waardoor organisaties beter bestand zijn tegen hoge lasten en continuïteit kunnen waarborgen.

Wat de SOC Wint met deze Update

  • Minder Ruis, Meer Signaal: Automatische annotatie van verdachte gebeurtenissen verhoogt de waarde van elke waarschuwing.
  • Context Boven en Beneden: De correlatie tussen interne en externe signalen helpt bij het prioriteren van incidenten.
  • Sterkere Governance: Delen van dashboards en rapporten maakt het eenvoudiger om risico’s aan het management te presenteren.
  • Continuïteit en Schaalbaarheid: De Raft-architectuur zorgt ervoor dat groei geen negatieve impact heeft op beschikbaarheid.

Vooruitblik

Kaspersky heeft zich ten doel gesteld om kunstmatige intelligentie toe te passen op belangrijke punten binnen de beveiliging, om zo de effectiviteit en snelheid van incidentrespons te verbeteren. Voor organisaties die opereren in gereguleerde of kritieke omgevingen, is de mogelijkheid om met gegevens aan te tonen dat afwijkingen worden gedetecteerd en onderzoek wordt gedaan, steeds belangrijker.

Bronnen: Kaspersky — Officiële aankondiging over de nieuwe functies van Kaspersky SIEM en de innovatieve integraties.

Share on LinkedIn Share on WhatsApp
Scroll naar boven