Kaspersky renforce son NDR avec KATA 8.0 : plus de visibilité, moins de bruit et une réponse plus rapide face aux attaques sophistiquées

Info Cloud

X (Twitter) Facebook Pinterest LinkedIn Email

La sécurité réseau traverse une période critique : le périmètre traditionnel s’estompe, les entreprises dépendent de plus en plus des services cloud et SaaS, et l’« inventaire réel » des actifs exposés à Internet évolue quasi quotidiennement. Dans ce contexte, Kaspersky annonce une mise à jour majeure de Kaspersky Anti Targeted Attack 8.0 (KATA 8.0), conçue pour améliorer la visibilité du trafic, détecter les menaces avancées plus tôt et avec plus de précision, et accélérer les enquêtes grâce à des intégrations renforcées avec son écosystème — et avec des solutions tierces.

Le message est clair : la défense ne se limite plus à bloquer, mais consiste à voir, interpréter et agir en temps utile. Et cette fenêtre d’action se réduit. À mesure que la surface d’attaque s’élargit avec la multiplication des fournisseurs, externalisations, « shadow IT » et systèmes hérités, les équipes de sécurité peuvent devenir aveugles au moment précis où les attaquants cherchent à prendre l’avantage : actifs non inventoriés, configurations oubliées, services exposés et flux de données non surveillés en continu.

Détection d’anomalies par protocole : cibler là où ça fait mal

Un des changements clés de KATA 8.0 est l’intégration de détections d’anomalies centrées sur des protocoles souvent ciblés lors d’intrusions : DNS, HTTP et Kerberos, entre autres. Il ne s’agit pas d’inspecter tout mais d’identifier des écarts spécifiques à chaque protocole, en tenant compte du contexte et des modèles d’utilisation propres à chaque organisation.

Ce ciblage répond à un problème fréquent dans de nombreuses plateformes de surveillance : le trop grand nombre d’alertes. La promesse est d’améliorer la précision et de réduire les faux positifs en se concentrant sur des comportements anormaux qui, en pratique, corrèlent souvent avec une activité malveillante (exploitation latérale, persistance, abus de crédentiels ou communications déguisées).

Shadow IT sous surveillance : plus de 5 000 services externes détectés

Une autre évolution notable est la détection du shadow IT, avec le support de plus de 5 000 services externes. L’objectif est d’identifier l’usage de services publics non autorisés — par exemple, stockage ou collaboration — et de reprendre le contrôle des flux de données d’entreprise, souvent escapés par des « raccourcis » opérationnels : compte personnel, outil gratuit, SaaS activé sans passage par le département IT.

Du point de vue sécurité, cela ne concerne pas uniquement la gouvernance interne : c’est aussi une forme de prévention des fuites de données, de réduction du risque d’utilisation de comptes sans MFA, et de visualisation des dépendances pouvant constituer des vecteurs d’attaque ou d’exfiltration.

Analyse rétrospective avec PCAP : rouvrir les dossiers avec des règles actualisées

KATA 8.0 introduit la capacité de scan rétroactif des flux enregistrés sous forme de PCAP (manuellement ou automatiquement via d’autres systèmes). Un détail technique aux implications concrètes : lorsque les moteurs, signatures ou règles sont mis à jour, un trafic apparu comme « propre » lors de l’incident peut révéler des signaux auparavant indétectables.

Cela est particulièrement pertinent pour des enquêtes post-incident, des audits forensiques ou les revues après une campagne ciblée. Plutôt que de se limiter à la télémétrie temporelle, on gagne la capacité de re-analiser les preuves avec des outils actualisés.

Observables « propres » et malicieux : une approche élargie

Dans cette logique, Kaspersky indique que KATA peut désormais récolter observables du trafic — tels que noms de fichiers, URLs et hashs — non seulement pour des objets malveillants, mais aussi pour ceux initialement perçus comme sûrs. Pour un SOC, cela élargit le contexte : capacité à associer une activité « apparemment normale » à des schémas suspects, des utilisateurs potentiellement compromis ou des phases précoces d’intrusion encore invisibles au malware.

En résumé : moins de dépendance à une classification binaire « malicieux/non », et davantage de moyens pour investiguer à partir de signaux variés.

Intégrations : du courrier, aux endpoints, aux pare-feux, avec fluidité

Au-delà de la détection, KATA 8.0 se concentre sur une meilleure intégration pour la poursuite des investigations et la réponse :

Courrier : intégration avec Kaspersky Security for Mail Server (KSMS) pour analyser dynamiquement en sandbox des pièces jointes protégées par mot de passe. Les alertes enrichies en montrent également les actions effectuées (blocage, suppression, etc.).
Managed Detection and Response (MDR) : dans les organisations avec MDR, KATA 8.0 fonctionne comme capteur réseau en envoyant une télémétrie vers le cloud MDR. Les analystes peuvent demander du contexte supplémentaire directement via leur interface, favorisant une enquête plus rapide sans aller-retour avec le client.
Endpoint : support pour l’envoi automatisé de fichiers depuis Kaspersky Endpoint Security (KES) vers le KATA Sandbox, renforçant l’analyse des fichiers suspects détectés sur les machines.
Réponse réseau : nouveaux connecteurs avec Check Point NGFW pour générer et appliquer en quasi-temps réel des règles de blocage basées sur une activité malveillante détectée.

Ce dernier aspect est crucial dans des environnements sous forte pression opérationnelle : détecter c’est important, mais contenir rapidement réduit considérablement l’impact. Automatiser les blocages tout en conservant une traçabilité permet de combler le « gap » entre détection et mitigation.

Une console unifiée en approche : philosophie OSMP à l’horizon

Kaspersky évoque également son ambition à long terme : migrer KATA vers la Open Single Management Platform (OSMP). L’idée est de proposer une intégration plus fluide avec ses solutions et composants tiers via une seule console web, couvrant NDR, EDR, SIEM, XDR et autres.

Ilya Markelov, responsable de la plateforme unifiée chez Kaspersky, situe cette mise à jour dans une optique d’élargir la visibilité et d’accroître la proactivité, soulignant la synergie entre analytique avancée et intégrations pour des décisions de réponse plus fiables.

Questions fréquentes

Qu’est-ce que le NDR et pourquoi est-il stratégique pour 2026 ?
Le NDR (Network Detection and Response) vise à détecter et répondre aux menaces en surveillant le trafic réseau. Avec l’essor du SaaS, du télétravail et des périmètres flous, le réseau devient un point de vérité essentiel pour repérer intrusions, mouvements latéraux et exfiltrations.

Quels avantages offrent la détection d’anomalies par DNS, HTTP ou Kerberos ?
Elle fournit du contexte par protocole : au lieu d’alerter uniquement sur le volume, elle cible des écarts fréquents lors d’intrusions réelles (abus d’authentification, communications dissimulées, requêtes anormales). L’objectif est d’identifier plus tôt tout en réduisant les faux positifs.

Comment le réanalyse avec PCAP profite-t-il à un SOC ?
Il permet de revoir le trafic historique avec des règles et moteurs à jour, découvrant des indicateurs qui auraient été manqués initialement. Très utile en enquêtes digitales, audits post-incident ou chasse aux menaces.

Comment la connexion avec des pare-feux comme Check Point NGFW améliore-t-elle la réponse ?
Elle transforme la détection en action concrète : en cas d’activité malveillante, il est possible de générer rapidement des règles de blocage, réduisant ainsi le temps d’exposition et le coût opérationnel de la réaction manuelle.

vía : kaspersky