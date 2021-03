Kaspersky lance l’offre MDR pilotée par Machine-Learning, pour adresser les PME

mars 2021 par Marc Jacob

Kaspersky annonce le lancement d’une nouvelle offre de services outsourcés de détection et de réponse ou MDR (Managed Detection and Response), assurant une protection 24h/24 et 7j/7. Désormais basée sur un fonctionnement de Machine-Learning, la nouvelle version de Kaspersky MDR permet aux équipes de sécurité informatique de se concentrer sur l’analyse et la gestion des menaces. Grâce à deux niveaux d’offres, Kaspersky MDR est désormais disponible non seulement pour les grandes entreprises mais aussi pour les PME, dont les niveaux de maturité et de besoins en sécurité informatique diffèrent. Parallèlement au lancement de sa nouvelle solution MDR, Kaspersky met également à jour son approche produits en mettant à disposition de nouveaux environnements - ou frameworks - de cybersécurité. Ces différents frameworks combinent plusieurs ensembles de solutions et de services de sécurité pour permettre une protection contre tous types de menaces.

Détecter et répondre à des attaques sophistiquées nécessite une expertise spécifique, mais la formation des salariés ou l’embauche d’experts ne sont pas toujours possibles pour des raisons de coûts. Malheureusement, ce manque de ressources peut entraîner une réponse trop tardive aux incidents et, par conséquent, augmenter les pertes à la suite d’une cyberattaque. Selon un rapport de Kaspersky, le coût moyen d’une faille de données pour les entreprises peut en effet monter jusqu’à 400 000 dollars (environ 335 000 euros), selon que la brèche a été découverte et corrigée presque instantanément ou au-delà de sept jours.

Une solution adaptée à la protection des entreprises, y compris celles aux ressources cyber internes limitées

La solution Kaspersky Managed Detection and Response offre les avantages d’un centre opérationnel de sécurité (SOC) externalisé. Elle ne nécessite pas de compétences spécialisées en matière de détection des menaces et d’analyse des incidents de la part des équipes internes de l’entreprise qui l’utilisent, ce qui peut s’avérer particulièrement pertinent pour les établissements de taille moyenne. Kaspersky Managed Detection and Response repose par ailleurs sur des technologies de détection poussée ainsi que sur l’expertise éprouvée des équipes Kaspersky, et notamment de son équipe de chercheurs en cybersécurité (le GReAT). La solution est également dotée d’une fonctionnalité d’analyse par Intelligence Artificielle, permettant la résolution automatique des alertes de moindre importance, offrant aux analystes SOC la possibilité de se concentrer sur les alertes les plus sensibles. Ainsi, la combinaison des technologies et de l’expertise Kaspersky permet aux clients d’être protégés contre les menaces qui pourraient échapper à la détection, notamment celles qui imitent le fonctionnement de programmes légitimes. Enfin, les équipes de sécurité informatique peuvent voir en temps réel l’état de protection des actifs de l’entreprise et de la détection des menaces potentielles, recevoir des recommandations clé en main en termes de réponses aux incidents, et exécuter des scénarios managés de réponse.

Kaspersky Managed Detection and Response intègre en outre plusieurs composants qui font sa force. Les produits Kaspersky de type EDR (de protection des endpoints ou points d’extrémité, qu’il s’agisse de serveurs ou de postes de travail), reposent sur un système de télémétrie qui permet au réseau Kaspersky Security Network[1] d’agréger les données remontées par les solutions existantes de l’entreprise. Ces données de télémétrie sont ensuite analysées au sein du SOC Kaspersky (Kaspersky Security Operations Center), qui utilise plus de 700 hunts[2] propriétaires, constamment mis à jour et reposant sur une approche TTP (Tools, Techniques, Procedures). A ces hunts s’ajoutent aussi divers moteurs de détection. Comme les alertes sont collectées à partir de tous les points d’extrémité, le système peut ainsi détecter, à travers plusieurs machines, les différents maillons d’une chaîne d’attaque. Toutes les menaces détectées sont ensuite examinées et classées par ordre de priorité par l’équipe de détection des menaces de Kaspersky, afin de garantir une réponse rapide et adaptée. Après enquête, les clients reçoivent des alertes d’incident ainsi qu’un guide complet de réponse aux incidents sur le portail dédié à la solution MDR. Les options de réponse proposées peuvent ensuite être lancées par un agent de détection et de réponse (EDR). Enfin, les clients peuvent combiner la solution Kaspersky MDR avec l’outil Kaspersky Incident Response pour externaliser complètement le travail d’analyse, de traitement et d’élimination des menaces.

Kaspersky MDR est disponible via deux niveaux d’accès :

• Kaspersky MDR Optimum, qui offre aux clients une protection clé en main.

• Kaspersky MDR Expert, qui permet de consulter les analystes SOC des équipes Kaspersky disposant des certifications OSCP, GCTI, SANS SEC560, SANS SEC660, et qui offre par ailleurs l’accès au portail Kaspersky Threat Intelligence Portal et à une API permettant d’intégrer les flux de sécurité existants.

Trois frameworks pour répondre aux besoins de sécurité des entreprises, quel que soit leur niveau de maturité

Kaspersky lance en parallèle de nouveaux environnements de développement, conçus pour répondre aux besoins des entreprises en termes de protection contre les menaces, en fonction du niveau de maturité de leur infrastructure de sécurité informatique. La solution Kaspersky MDR s’articule avec ces frameworks de façon à augmenter la maturité de la protection informatique, tout en permettant aux équipes de sécurité informatique déjà matures de se concentrer sur la réponse aux menaces critiques.

Ces frameworks sont :

• Kaspersky Security Foundations, qui offre une protection adaptative contre des menaces plus larges visant les terminaux, les appareils mobiles, les infrastructures cloud et les serveurs des clients. Cette solide structure aide les organisations à tirer profit de leurs investissements en matière de sécurité en prévenant les menaces de manière automatisée. Les clients peuvent par ailleurs bénéficier de l’aide d’experts à tout moment, fournie sous la forme d’un support Premium et d’un portefeuille de services professionnels remanié.

• Kaspersky Optimum Security, qui renforce la sécurité contre les menaces, notamment inconnues, en aidant les petites et moyennes entreprises disposant de ressources limitées en matière de cybersécurité à mettre en place une réponse aux incidents. Ce framework fournit des mécanismes de détection avancés avec des algorithmes basés sur le Machine-Learning et l’existence d’un bac à sable (sandbox), ainsi qu’une visibilité accrue des menaces, des capacités d’analyse des causes premières (root causes) et un large éventail d’actions de réponse. Le framework propose également des programmes de formation et de sensibilisation à la sécurité pour aider les organisations à créer une culture cyber chez leurs employés.

• Kaspersky Expert Security, qui repose sur une stratégie holistique pour équiper, informer et guider les experts internes afin qu’ils puissent faire face à l’ensemble des menaces complexes actuelles, aux attaques APT et aux attaques ciblées. La plateforme Kaspersky Anti Targeted Attack Platform, avec Kaspersky EDR en son cœur, agit comme une solution de Extended Detection and Response (XDR), offrant une protection APT tout-en-un avec des capacités de découverte des menaces réseau et d’EDR. Les spécialistes de la sécurité informatique disposent ainsi de toutes les technologies nécessaires pour gérer la découverte de menaces multidimensionnelles au niveau des terminaux et du réseau, en menant des investigations efficaces, en recherchant les menaces de manière proactive et en fournissant une réponse rapide et centralisée, le tout grâce à une solution unique. En outre, cet environnement de développement fournit les informations de Threat Intelligence de Kaspersky et une formation pour améliorer les compétences du personnel de sécurité informatique, ainsi que la possibilité de recevoir une assistance, un soutien immédiat et un avis de tiers de la part des experts de Kaspersky par le biais du portefeuille de services de cybersécurité.