Kaspersky Endpoint Security for Business 11 arriva con EDR integrato e il machine learning

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

La nuova versione di Kaspersky Endpoint Security for Business (KESB) prevede l’integrazione nativa con Kaspersky EDR e può essere utilizzato come agente per la raccolta di metadati e IoCs

E’ una vera rincorsa, come tra gatto e topo, la sfida che sono chiamati a sostenere gli esperti di sicurezza, perché nulla è come prima, nulla è come anche solo pochi anni fa.
Non si può più parlare di protezione del perimetro, ma l’assenza di un perimetro fisico non può far dimenticare che le minacce per la sicurezza, comunque, si manifestano per quello che sono (e sono quindi effettivamente comprensibili) proprio a partire da un device o da un’appliance, ovunque essa si trovi.

Per questo Kaspersky ha aggiornato alla versione 11 la propria soluzione Kaspersky Endpoint Security for Business (KESB) innestandovi nuove funzionalità di protezione abilitate dalle tecnologie di machine learning, sulla scorta dell’esperienza sul campo, quotidiana, attenta a cosa accade ogni giorno, proprio a partire dagli endpoint, e dalle evidenze dei dati generati da Kaspersky Security Network che conta più di 200 milioni di fonti.

Morten Lehn – General Manager Italy di Kaspersky Lab

Morten Lehn, General Manager Italy di Kaspersky Lab, innesta l’annuncio nel particolare momento per l’azienda, positivo, ma anche sfidante: “Il nostro volume di business in ambito B2B è superiore oggi a quello nel mercato B2C (dove ogni anno Kaspersky conta oltre un milione di licenze vendute), e fa registrare una percentuale di crescita ancora più importante. Certo siamo contenti di essere tornati a crescere in modo significativo anche nelle grandi catene distributive, con le licenze consumer, ma senza dubbio la crescita nel mercato B2B del 25/30 percento è di soddisfazione,  e il risultato si deve soprattutto ai nostri partner, al lavoro svolto sul canale in questi anni, che ci ha portato a riuscire a proporre al cliente le soluzioni come KESB 11 con la massima competenza necessaria per sfruttarle appieno”.
Tra le sfide, ovviamente, l’anno ha visto incidere le problematiche negli Usa, ma entriamo nei dettagli delle novità del giorno.

Come cambia KESB 11

KESB 11 si presenta prima di tutto con un vantaggio: è una soluzione che, così come è, può soddisfare le esigenze delle aziende piccole come di quelle enterprise (una singola installazione server può controllare fino a 100mila endpoint) – per esempio è stato scelto da Ansaldo Energia nel 2012 ha apprezzato proprio le funzionalità di controllo univoco su migliaia di device – ed è una soluzione sviluppata sulla scorta dell’esperienza sul campo del comparto ricerca e sviluppo che ha la sua punta di diamante nel Global Research Analysis Team (GReAT), specializzato nella ricerca e nello studio delle minacce complesse che ha sventato solo nel 2017 oltre un miliardo di attacchi.

KESB 11 migliora e cambia proprio in relazione al cambiamento delle minacce odierne che a livello globale non crescono più come in precedenza, pur facendo registrare un significativo aumento degli attacchi, con alcune particolarità per quanto riguarda l’Italia per esempio, flagellata più di altre nazioni dai ransomware, in correlazione con un proliferare significativo delle varianti (tra cui per esempio Cerber).

Giampaolo Dedola – Security Researcher Global Research and Analysis-Team di Kaspersky Lab

Tra le novità più interessanti, evidenziate da Giampaolo Dedola, ricercatore di GReAT, c’è il cambiamento degli schemi di monetizzazione sfruttando i Miners, distribuiti sia come Java Script, sia come eseguibili, magari attraverso i classici attacchi ATP ma per arrivare alla finalità ultima proprio di installare Miner, che compromettono l’efficienza aziendale con rallentamenti significativi, consumi più elevati, e lasciano comunque porte aperte per approntare nuove tipologie di attacco in futuro.

Emerge in modo chiaro, anche con questo nuovo trend, come in fase di attacco l’endpoint svolga un ruolo chiave e da lì debba partire l’attività di detection.

Crescono quindi gli attacchi mirati (sono circa il 10 percento,  con una percentuale minima ma importante che è in grado di sfruttare basi euristiche), non portati tramite un malware generico. Gli attacchi tradizionali in verità rappresentano ancora oltre il 90 percento del totale, ma sono anche facili da individuare. Più difficile scovare quei malware che sfruttano le vulnerabilità applicative in una complessità tale da richiedere una sorta di vera e propria “analisi comportamentale” dell’endpoint, che KESB ora soddisfa.

KESB agisce infatti su differenti livelli. Il primo è quello dell’analisi delle URL, l’attività di network filtering, prima dell’arrivo della minaccia nel file sytem, prima che il malware vada in esecuzione. La minaccia può anche approdare sul file system ma prima che vada in esecuzione viene identificata e in questa fase entra in campo la componente di machine learning, con analisi statiche e dinamiche e la generazione di una firma basata sulle informazioni dell’endpoint e poi combinata con la parte di runtime.

KESB 11 con integrazione nativa dell’agente EDR

Se la minaccia inizia ad agire viene quindi studiata nel suo comportamento: per esempio nel caso dei ransomware in questa fase entra in azione KESB con la capacità di detection di comportamenti pericolosi e di remediation, tramite le funzionalità di roll-back per esempio.

Una parte molto importante per i SOC aziendali è  ora l’integrazione delle funzionalità di Kaspersky Endpoint Detection and Respond (EDR), per studiare gli identificatori di compromissione, strumento utilissimo per la lotta alle minacce più avanzate. EDR permette tra l’altro anche la semplificazione del numero di agenti installati sulle macchine: non ne servono di più di quelli già attivi per innalzare il livello di protezione.

Funzionalità chiave di KESB 11

KESB 11 è migliorato anche nelle sue componenti di controllo che integra gli strumenti per il blocco delle periferiche, e dei dispositivi mobile collegati direttamente alle workstation, oltre a consentire la limitazione di accesso alle risorse Web, e il controllo delle applicazioni.

Arriva ora anche il modulo anti-cryptor direttamente per il sistema server (per interrompere la connessione con il computer che ha subito un attacco ransomware) e gli strumenti anche per il server di Application Control.
E’ stata infine rivista l’interfaccia grafica utente (GUI), completamente sviluppata internamente, che ora offre per esempio anche la verifica immediata nel caso in cui sia disattivata l’analisi comportamentale.

Read also :