В новой версии появился ИИ-модуль для обнаружения кибератак с подменой библиотек
«Лаборатория Касперского» существенно расширила возможности SIEM-системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform. В новой версии, KUMA 4.0, появилась ИИ-функциональность для обнаружения признаков кибератак с подменой DLL (Dynamic Link Library). Среди других важных изменений — интеграция с Kaspersky Digital Footprint Intelligence для обогащения данными о внешних угрозах, а также улучшенные возможности для работы с панелями мониторинга и отчётами. Помимо перечисленного, в релиз KUMA 4.0 вошли и другие обновления, основанные на отзывах и пожеланиях заказчиков.
Обнаружение кибератак с подменой DLL (DLL hijacking) с помощью ИИ. Легитимное ПО в процессе своей работы загружает множество библиотек — злоумышленники могут их подменить, чтобы избежать обнаружения защитными решениями и совершить кибератаку. Чтобы этому противостоять, в KUMA была добавлена специальная подсистема на базе ИИ, которая анализирует информацию о всех загружаемых библиотеках. В случае подозрения на подмену она добавляет в событие признак, на основе которого может быть создан инцидент. Чтобы воспользоваться новой функциональностью, достаточно подключить к коллектору или коррелятору правило обогащения с типом DLLHijacking. Для работы также необходим доступ в интернет.
Интеграция с DFI. Пользователи KUMA смогут получать аналитику из системы мониторинга цифровых угроз и данных киберразведки Kaspersky Digital Footprint Intelligence. Утечки пользовательских учётных записей или паролей не останутся незамеченными — для них будут создаваться алерты. Инциденты в дальнейшем можно будет исследовать в SIEM-системе.
Новые возможности для аналитики и отчётности. Работать с панелями мониторинга и шаблонами отчётов теперь можно как с ресурсами*. Это позволяет переносить их между инсталляциями KUMA и получать обновления от «Лаборатории Касперского». В результате у специалистов будет актуальный контент для аналитики по информационной безопасности организации. Также появились новые виджеты для визуализации данных. Например, теперь информацию можно представлять в виде трендов, совмещать графики друг с другом, отображать взаимосвязи между значениями.
«Улучшая SIEM-систему, мы стремимся максимально снизить нагрузку на ИБ-специалистов для того, чтобы им хватало времени и концентрации на анализ сложных киберинцидентов, а также их предотвращение. Технологии искусственного интеллекта позволяют автоматизировать многие процессы, а также ускорить обработку больших объёмов данных. В „Лаборатории Касперского” уже около 20 лет внедряют подробные разработки, и благодаря накопленному опыту нам удалось добавить в KUMA возможность обнаружения кибератак с подменой DLL с помощью машинного обучения, что позволит значительно укрепить защиту организаций», — комментирует Илья Маркелов, руководитель направления развития единой корпоративной платформы в «Лаборатории Касперского».
Для централизованного сбора, анализа и корреляции инцидентов ИБ в KUMA используется ИИ-ассистент «Лаборатории Касперского» Kaspersky Investigation and Response Assistant (KIRA), который теперь работает на базе нейросетевой модели GigaChat 2.0.
Подробнее о SIEM-системе Kaspersky Unified Monitoring and Analysis Platform можно узнать на странице продукта.
* Ресурсы — компоненты KUMA, которые содержат параметры для реализации различных функций (правила корреляции, нормализаторы, фильтры и др.).
