Kaspersky atualiza sua plataforma SIEM com foco em inteligência artificial
A Kaspersky anunciou a atualização de sua plataforma Kaspersky SIEM, introduzindo um conjunto de novas funcionalidades que priorizam a detecção auxiliada por inteligência artificial, a integração nativa com os serviços de Digital Footprint Intelligence (DFI) e Managed Detection and Response (MDR), além de melhorias significativas em painéis, relatórios e escalabilidade. A companhia esclarece que o objetivo da atualização é aumentar a eficácia na detecção de ameaças persistentes, como o sequestro de bibliotecas dinâmicas (DLL hijacking), ao mesmo tempo em que reduz a carga operacional sobre as equipes de cibersegurança.
Este movimento ocorre em um contexto de crescente pressão ofensiva, conforme revelado pelo último relatório do serviço Kaspersky MDR, sinalizando que as ameaças persistentes avançadas (APT) afetaram 1 em cada 4 empresas em 2024, uma taxa impressionante de 74% superior a 2023. Para a Kaspersky, a combinação de detecção baseada em comportamento, enriquecimento com inteligência e automação é essencial para fechar brechas que ferramentas reativas já não parecem mais cobrir.
Entre as principais inovações, destaca-se um subsistema de IA voltado para detectar sinais de substituição maliciosa de DLLs. Esse mecanismo analisa continuamente todas as bibliotecas carregadas por processos legítimos e, ao identificar padrões anômalos associados ao sequestro de DLLs, registra automaticamente o evento para que o Centro de Operações de Segurança (SOC) o trate como um incidente.
A ativação deste recurso é simples, bastando conectar a regra de enriquecimento “DLL Hijacking” ao collector ou ao correlator do SIEM. Isso permite que a plataforma adicione contexto acionável a cada telemetria relevante, facilitando a diferenciação entre atividades legítimas e possíveis tentativas de execução encoberta.
Além disso, a integração com o Digital Footprint Intelligence (DFI) oferece visibilidade sobre as informações expostas da organização, como vazamentos de contas e senhas, resultando em alertas automáticos que são correlacionados a eventos internos no SIEM. Isso possibilita priorizar sinais que realmente representam uma ameaça.
Com essa atualização, a Kaspersky também implementou um conjunto de regras de User and Entity Behavior Analytics (UEBA) capaz de monitorar autenticações, atividades de rede e execuções de processos em ambientes Windows, detectando desvios de padrões habituais que podem preceder intrusões ou ataques direcionados.
Em termos de governança, a nova versão do Kaspersky SIEM permite o compartilhamento e a transferência de templates de painéis e relatórios, o que padroniza critérios entre equipes distribuídas e acelera o despliegue de conteúdos atualizados. Novos widgets de visualização foram incorporados para melhorar a apresentação de tendências e relações, oferecendo uma análise mais aprofundada.
Para suportar ambientes de alta demanda, a arquitetura do core do SIEM foi repensada através de uma estrutura distribuída baseada em Raft, garantindo maior resiliência e continuidade operacional. Essa abordagem oferece menos janelas de indisponibilidade e melhor previsibilidade nas operações.
A Kaspersky reforça que, com essa atualização, busca sustentar um nível elevado de defesa contra adversários, promovendo uma cibersegurança mais robusta em um cenário onde as ameaças evoluem rapidamente.
