Kaspersky ha dado un paso decisivo al actualizar su plataforma Kaspersky SIEM, introduciendo capacidades avanzadas que prometen revolucionar la ciberseguridad empresarial. Con un enfoque centrado en la inteligencia artificial, la nueva versión integra de manera nativa sus servicios de Digital Footprint Intelligence (DFI) y Managed Detection and Response (MDR), además de mejorar significativamente los cuadros de mando, reportes y escalabilidad. Este movimiento busca no solo elevar la eficacia frente a amenazas persistentes, como el secuestro de librerías dinámicas (DLL hijacking), sino también aliviar la carga operativa de los equipos de ciberseguridad.
La actualización llega en un momento crítico, tras un año en el que las amenazas persistentes avanzadas (APT) han impactado seriamente a las empresas. Según Kaspersky, el 25% de las compañías sufrieron ataques en 2024, un aumento del 74% respecto al año anterior. La combinación de detección basada en comportamiento, enriquecimiento con inteligencia y automatización es ahora vital para cerrar las brechas que las herramientas tradicionales no abarcan.
Una de las novedades más destacadas es el subsistema de IA para detectar signos de sustitución maliciosa de DLL. Esta tecnología analiza continuamente las librerías cargadas por procesos legítimos, identificando patrones anómalos que sugieren un secuestro de DLL. Al detectar estas anomalías, el sistema anota automáticamente el evento, escalándolo a incidente para su análisis detallado, lo que ofrece un gran beneficio al identificar actividades sospechosas en tiempo real.
La integración con DFI permite visibilidad sobre las huellas digitales expuestas de la organización, como fugas de cuentas y menciones en fuentes abiertas, generando alertas automáticas que se correlacionan con eventos internos. Esto facilita la priorización de amenazas reales. Además, la integración con MDR unifica la detección, análisis y respuesta, simplificando la operativa y mejorando el tiempo de respuesta de los equipos de ciberseguridad.
El paquete de reglas UEBA (User and Entity Behavior Analytics) que Kaspersky ha incorporado, monitorea autenticaciones, actividades de red y procesos en estaciones y servidores Windows. Este sistema busca desviaciones de patrones habituales, previendo intrusiones APT, ataques dirigidos o amenazas internas, demostrando la capacidad del sistema para detectar cambios sutiles que podrían passar desapercibidos.
En términos de gobernanza, las mejoras en reporting y dashboards permiten compartir y transferir plantillas de informes y paneles, homogenizando criterios entre equipos distribuidos. Los nuevos widgets de visualización ayudan a desglosar problemas sin perder el contexto.
Para soportar altas cargas y continuidad, el core del SIEM adopta una arquitectura distribuida basada en Raft, garantizando alta disponibilidad y escalabilidad. Esto significa menos caídas y una mayor resiliencia, esenciales en entornos críticos.
Con estas mejoras, Kaspersky SIEM promete elevar el listón en defensa cibernética, aplicando IA para discernir las señales del ruido y automatizando procesos que antes consumían tiempo valioso. Esto resulta crucial para las organizaciones reguladas o en sectores críticos, donde demostrar detección, investigación y respuesta resulta cada vez más esencial en términos de valor de negocio.
A pesar de estas innovaciones, el éxito sigue dependiendo del enfoque proactivo de los equipos de ciberseguridad, quienes deben optimizar la telemetría, mantener y ajustar reglas, y asegurarse de que cada alerta se alinee con un plan de respuesta claro. La formación continua y la adaptación a nuevas amenazas se mantienen como piezas clave en este complejo panorama.
