Kaspersky ajoute l’IA à son SIEM pour traquer le DLL hijacking et renforce sa résilience avec une architecture Raft

Kaspersky ajoute l'IA à son SIEM pour traquer le DLL hijacking et renforce sa résilience avec une architecture Raft
Share on Pinterest Share on LinkedIn

Kaspersky a mis à jour sa plateforme Kaspersky SIEM avec un ensemble de fonctionnalités axées sur la détection assistée par intelligence artificielle, une intégration native avec ses services de Digital Footprint Intelligence (DFI) et de Managed Detection and Response (MDR), ainsi que des améliorations substantielle des tableaux de bord, rapports et scalabilité. La société souligne que l’objectif est double : améliorer l’efficacité de détection face aux menaces persistantes — telles que le secouage de bibliothèques dynamiques ou DLL hijacking — et réduire la charge opérationnelle des équipes de cybersécurité.

Ce mouvement fait suite à une année de forte pression offensive. Selon le dernier rapport des analystes du service Kaspersky MDR, les menaces persistantes avancées (APT) ont touché 1 entreprise sur 4 en 2024, soit une augmentation de 74 % par rapport à 2023. Dans ce contexte, la société affirme que la combinaison de détection comportementale, enrichissement par intelligence et automatisation est essentielle pour combler les lacunes que les outils purement réactifs ne peuvent plus couvrir.

IA contre DLL hijacking : du signe à l’alerte exploitable

La nouveauté la plus remarquée est un sous-système d’IA conçu pour détecter les signes de substitution malveillante de DLL. Ce mécanisme analyse en continu toutes les informations sur les bibliothèques chargées par des processus légitimes ; lorsqu’il détecte des schémas anormaux compatibles avec le secouage de DLL — comme des chargements depuis des chemins inattendus, des versions ou signatures incohérentes, ou des priorités modifiées dans l’ordre de recherche — il enregistre automatiquement l’événement pour que le SOC puisse le faire évoluer vers un incident.

L’activation est immédiate : il suffit de lier la règle d’enrichissement “DLL Hijacking” au collecteur ou au correlateur du SIEM. Ainsi, la plateforme préserve un contexte exploitable pour chaque donnée télémetrique (processus, bibliothèque, hash, chemin, utilisateur, hôte, heure) et permet de distinguer activity légitime et tentatives potentielles de mise en œuvre cachée.

Pourquoi est-ce important ?

Le DLL hijacking reste populaire auprès des attaquants car il exploite la logique normale de chargement des bibliothèques sous Windows. Plutôt que d’introduire des binaires bruyants, l’adversaire injecte son code sous forme de DLL apparemment innocente, qui finit par être chargée par une application de confiance. Pour les équipes de défense, identifier ce comportement en temps réel et avec faible bruit est crucial pour interrompre les chaînes d’attaque avant qu’elles ne permettent d’obtenir des privilèges plus élevés ou ne persistent.

Intégration avec DFI et MDR : intelligence et réponse en synergie

La mise à jour intègre également Kaspersky SIEM avec Digital Footprint Intelligence (DFI), offrant une visibilité sur les empreintes numériques exposées de l’organisation : fuites de comptes et mots de passe, mentions dans des sources ouvertes, espaces clandestins et autres indicateurs de risque externe. Lorsqu’un élément est détecté par DFI, il génère automatiquement des alertes qui sont directement intégrées dans le SIEM, où elles sont corrélées avec des événements internes pour prioriser celles qui représentent une menace concrète.

De son côté, l’intégration avec Kaspersky MDR permet d’importer automatiquement dans le SIEM les incidents gérés dans la console MDR, unifiant le processus de détection, analyse et réponse. La promesse opérationnelle : moins d’écrans, moins de friction et un contexte partagé permettant aux analystes et chasseurs de menaces de réduire le MTTR.

UEBA : règles de comportement pour comptes et équipements Windows

Les améliorations incluent un pack de règles UEBA (User and Entity Behavior Analytics) qui surveillent l’authentification, l’activité réseau et l’exécution de processus sur des stations et serveurs Windows. Grâce à ces règles, le SIEM détecte des écarts par rapport aux modèles habituels — tels que horaires atypiques, origines inhabituelles ou changements dans le graphe des processus — qui sont souvent des avant-coureurs d’intrusions APT, d’attaques ciblées ou même de menaces internes.

L’avantage de l’UEBA, selon Kaspersky, est la détection des subtilités : ces changements progressifs qui ne déclenchent pas une signature mais diffèrent du comportement historique d’un utilisateur, d’un hôte ou d’un service.

Rapports et dashboards : partage, versioning et approfondissement

Dans la gouvernance, Kaspersky SIEM permet désormais le partage et la duplication de modèles de tableaux de bord et rapports entre différentes installations. Cela uniformise les critères entre équipes réparties et accélère le déploiement de contenus officiels, régulièrement mis à jour par la société.

Par ailleurs, de nouveaux widgets d’affichage sont disponibles pour montrer les tendances, combiner plusieurs graphiques ou illustrer des relations. Un widget préconfiguré autorise des requêtes affinées et offre une navigation en mode drill-down : depuis un tableau de bord global, l’analyste peut approfondir un problème précis sans perdre le fil.

Disponibilité élevée et scalabilité : architecture distribuée par Raft

Pour soutenir les environnements à forte charge et une exigence élevée de disponibilité, le noyau du SIEM s’appuie sur une architecture distribuée basée sur Raft. Cette approche répartit le consensus entre plusieurs nœuds, tolère les pannes et facilite la scalabilité horizontale en fonction de l’augmentation des volumes de logs, casuistiques et cas d’usage. Concrètement, cela permet moins de périodes d’indisponibilité, une résilience accrue face aux pics d’activité et une opération plus prévisible.

En synthèse : quels bénéfices pour le SOC

  • Moins de bruit, plus de signal. L’annotation automatique des événements de DLL hijacking et leur corrélation avec DFI/MDR augmentent la valeur moyenne de chaque alerte pour l’analyste.
  • Contexte interne et externe. La fusión entre ce qui se passe à l’intérieur (télémétrie du SIEM) et la trace numérique extérieure (empreinte DFI) aide à prioriser et clore l’enquête.
  • Gouvernance renforcée. Avec des tableaux partagés, traçabilité et rapports versionnés, le RSSI peut expliquer les risques et démontrer le contrôle à la direction ou lors d’audits.
  • Continuité et scalabilité. L’architecture Raft assure que la croissance ne nuit pas à la disponibilité, essentielle lorsque l’observation fait partie du service critique.

Défis et bonnes pratiques : ce qui dépend encore de l’équipe

La technologie ne fonctionne pas en vase clos. Pour exploiter pleinement ces capacités, les équipes devraient :

  1. Affiner la télémétrie. S’assurer de sources de logs complètes et fiables (EDR, endpoints, AD/IdP, réseau, périmètre, Cloud) et standardiser les formats & horodatages pour une corrélation précise.
  2. Maintenir et versionner les règles. Les règles UEBA et IA nécessitent une revue régulière pour ajuster seuils et éviter tout dérive.
  3. Aligner avec les playbooks de réponse. Que chaque alerte prioritaire déclenche des actions : isolement, rollback, blocage, rotation de secrets, etc.
  4. Former en continu. Les analystes doivent acquérir des critères pour interpréter les anomalies et expliquer leurs décisions, autant pour la gestion des risques que pour l’audit.

Perspectives : IA appliquée et résilience prouvée

Cette mise à jour s’inscrit dans une démarche d’application ciblée de l’IA : enrichir les événements pour différencier signaux et bruit et automatiser les processus chronophages sans jugement expert. Associée à une visibilité numérique, à l’incorporation d’incidents MDR, à l’UEBA et à un moteur tolérant aux pannes, la plateforme vise à relever le niveau de défense contre des adversaires qui automatisent eux aussi et orchestrent.

Pour les entités opérant dans des environnements réglementés ou critiques, la possibilité de prouver via données et tableaux de bord la détection de déviations, leur investigation avec traçabilité, et la réponse selon des plans prédéfinis devient une part essentielle de la valeur métier.

Questions Fréquentes

Qu’est-ce que le DLL hijacking et comment Kaspersky SIEM le détecte-t-il ?
Le DLL hijacking exploite l’ordre de recherche des bibliothèques dans Windows pour charger une DLL malveillante à la place de la légitime. Le SIEM intègre un sous-système d’IA qui surveille en continu les DLL chargées et enregistre les événements suspects (chemins, signatures, versions inhabituelles) pour que le SOC puisse les traiter comme des incidents à investiguer.

Que garantit l’intégration avec Digital Footprint Intelligence (DFI) ?
DFI veille sur la trace numérique extérieure de l’organisation — par exemple, des fuites de credentials — et envoie ses détections au SIEM. Ces données sont corrélées avec la télémétrie interne pour prioriser les risques réels et accélérer la réponse.

Comment l’intégration avec Managed Detection and Response (MDR) profite-t-elle au SIEM ?
Les incidents MDR sont importés automatiquement dans le SIEM, unifiant détection, analyse et réponse. Cela permet au SOC de gagner du temps en travaillant sur un seul espace opérationnel et avec un contexte partagé.

Quels sont les bénéfices pratiques des nouveautés en dashboards et rapports ?
Elles autorisent le partage des modèles, le versionnage des contenus, et l’utilisation de widgets avancés (tendances, relations, drill-down). Cela favorise une meilleure communication avec le métier et l’audit, tout en facilitant la mesure de la résilience à travers des indicateurs cohérents.

À quoi sert l’architecture Raft dans le cœur du SIEM ?
Raft fournit une haute disponibilité et une résilience via un consensus distribué, garantissant la continuité même sous forte charge et permettant une scalabilité horizontale sans compromettre l’opérationalité.

Sources consultées :
Kaspersky — Communiqué officiel sur les nouvelles capacités de Kaspersky SIEM (détection de DLL hijacking avec IA, intégrations avec DFI/MDR, UEBA, améliorations des dashboards et architecture Raft).

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

La « Nube Souveraine Européenne » d’AWS arrive en UE : plus de contrôle technique, le même débat juridique

Du pilote au profit : le « manuel des leaders » en intelligence artificielle qui façonne la course entrepreneuriale en 2026

NVIDIA réagit aux rumeurs de réduction sur la RTX 50 : la pénurie de mémoire à nouveau tend lPrices et suscite des doutes sur la gamme « SUPER »

BlackRock accélère la « course du béton » pour l’IA : 12,5 milliards de dollars avec Microsoft et MGX pour des centres de données et de l’énergie

Monter un PC en 2026 devient une course d’obstacles : la mémoire DDR5 frôle déjà des prix « de luxe » et le stockage devient de plus en plus coûteux

Cloudflare met en chiffres le « plafond de verre » de l’IA : sans modernisation, l’innovation devient une dette technique (et une surface d’attaque supplémentaire)