La última versión de Kaspersky SIEM incorpora Inteligencia Artificial (IA) para detectar intentos de secuestro de bibliotecas dinámicas (DLL), integra Kaspersky Digital Footprint Intelligence (DFI) y Kaspersky Managed Detection and Response (MDR), y añade mejoras en paneles de control e informes para optimizar la eficiencia de los equipos de seguridad.

Según el informe Fortress under fire: cyber threat chronicles 2024 elaborado por analistas de Kaspersky MDR, las Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés) afectaron de manera significativa a una de cada cuatro empresas en 2024, o que supone un aumento del 74% respecto a 2023. Además, en el informe se desprende que en España el 15% de las compañías reportó más de dos incidentes graves al día durante 2024. Junto a Italia (31%) y Suiza (13%), España figura entre los países europeos más afectados por amenazas sofisticadas, lo que refleja tanto un alto nivel de exposición como la necesidad creciente de estrategias avanzadas de ciberseguridad en el país. Estos datos dejan ver que, a pesar de los avances en detección automatizada, los ciberdelincuentes siguen explotando vulnerabilidades y evadiendo defensas. Para hacer frente a este escenario, la plataforma SIEM de Kaspersky incorpora nuevas capacidades que refuerzan la detección y agilizan la respuesta.

Protección mejorada frente al secuestro de DLL

El software legítimo carga numerosas bibliotecas durante su funcionamiento, lo que puede ser aprovechado por los ciberdelincuentes para evadir la detección y ejecutar ciberataques. Para combatir esta amenaza, Kaspersky SIEM ha incorporado un subsistema especializado basado en IA que analiza de forma continua la información sobre todas las bibliotecas cargadas. En los casos de sospecha de sustitución, el sistema anota automáticamente el evento, lo que permite a los equipos de seguridad generar incidentes para su posterior investigación. Para aprovechar esta nueva funcionalidad, los usuarios solo tienen que conectar una regla de enriquecimiento de DLL Hijacking al recolector, lo que mejora la capacidad del sistema para detectar y responder eficazmente a posibles intentos de sustitución de bibliotecas.

Integración con Digital Footprint Intelligence y Managed Detection and Response

Kaspersky SIEM ofrece ahora una integración fluida con Kaspersky Digital Footprint Intelligence, que permite a los usuarios recibir análisis completos relacionados con datos de huella digital. Esta mejora garantiza que las fugas de cuentas de usuario y contraseñas se detecten con rapidez, generando alertas automáticas que facilitan una respuesta inmediata. Los incidentes identificados mediante esta integración pueden investigarse directamente dentro del propio SIEM, reforzando así la postura de seguridad general.

Además, la solución admite la importación automática de incidentes desde la consola de Managed Detection and Response (MDR) directamente en el SIEM, lo que agiliza el procesamiento y el análisis de incidentes para una gestión de amenazas más rápida y eficaz.

Análisis de comportamiento mejorado

Se añaden reglas específicas de User and Entity Behavior Analytics, que permiten identificar anomalías en autenticaciones, actividad de red y procesos en estaciones de trabajo y servidores Windows. Esto mejora la detección temprana de APT, ataques dirigidos y amenazas internas.

Nuevas capacidades de generación de informes

Los paneles de control y las plantillas de informes pueden compartirse y transferirse ahora entre diferentes instalaciones de Kaspersky SIEM, lo que facilita la colaboración y la coherencia en los entornos de seguridad. Esta funcionalidad también permite a los usuarios recibir actualizaciones directamente de Kaspersky, garantizando que los equipos de seguridad dispongan de contenido actualizado para un análisis integral de la ciberseguridad organizativa.

Además, se han introducido nuevos widgets de visualización de datos que ofrecen una mejor de presentación de la información. Los usuarios pueden mostrar datos como tendencias, combinar múltiples gráficos e ilustrar relaciones entre distintos valores, lo que mejora la claridad y la eficacia de los análisis de seguridad.

Asimismo, se ha añadido un widget preconfigurado con capacidad de generar consultas refinadas. Este se complementa con la función de drill-down, que permite navegar desde un panel de control a otro preconfigurado para realizar un análisis más detallado.

Mayor disponibilidad y escalabilidad

La nueva arquitectura distribuida basada en Raft asegura alta disponibilidad y resiliencia incluso bajo cargas elevadas, y permite escalar horizontalmente con facilidad.

“En Kaspersky mejoramos de forma continua nuestra plataforma SIEM para garantizar que sus capacidades de detección frente a amenazas sofisticadas estén en constante evolución. Nuestro objetivo es reducir la carga de trabajo de los profesionales de la ciberseguridad, permitiéndoles dedicar más tiempo al análisis de incidentes complejos y a la implementación de medidas preventivas. Al aprovechar tecnologías avanzadas de inteligencia artificial, automatizamos numerosos procesos y aceleramos el análisis de grandes volúmenes de datos. Este avance refuerza de manera significativa la seguridad organizativa y la resiliencia frente a amenazas emergentes”, afirma Ilya Markelov, Head of Unified Platform Product Line en Kaspersky.