Kaspersky incorpora inteligencia artificial en su plataforma SIEM para detectar secuestro de DLL

La nueva versión de Kaspersky SIEM introduce un sistema basado en inteligencia artificial para identificar intentos de secuestro de bibliotecas DLL, una técnica utilizada por actores maliciosos para ocultar actividad fraudulenta e infiltrarse en sistemas corporativos. La actualización también añade integraciones con Kaspersky Digital Footprint Intelligence y Managed Detection and Response, además de mejoras en paneles e informes orientadas a optimizar el trabajo de los equipos de ciberseguridad.

La última versión de Kaspersky SIEM incorpora inteligencia artificial para detectar intentos de secuestro de bibliotecas dinámicas (DLL).

El informe 'Fortress under fire: cyber threat chronicles 2024' de Kaspersky MDR muestra que las Amenazas Persistentes Avanzadas afectaron a una de cada cuatro empresas en 2024, un aumento del 74% respecto al año anterior. En España, el 15% de las organizaciones registró más de dos incidentes graves diarios y, junto con Italia (31%) y Suiza (13%), figura entre los países europeos con mayor impacto por ataques sofisticados, lo que revela una exposición significativa ante tácticas avanzadas de intrusión.

El subsistema especializado incorporado en Kaspersky SIEM analiza de forma continua las bibliotecas cargadas por aplicaciones legítimas y anota cualquier comportamiento que sugiera sustituciones sospechosas. Para activar esta función, basta con conectar la regla de enriquecimiento destinada a la detección de DLL Hijacking al recolector, lo que agiliza la identificación de anomalías y la generación de incidentes para análisis posterior.

La compañía añade que esta arquitectura ofrece una vigilancia específica destinada a frenar técnicas empleadas habitualmente por grupos organizados que buscan evitar controles tradicionales mediante modificaciones encubiertas de módulos del sistema.

La integración con Digital Footprint Intelligence permite recibir análisis relacionados con información expuesta en fuentes abiertas y foros clandestinos, generando alertas automáticas ante filtraciones de credenciales y otros indicios de riesgo. Estos incidentes pueden investigarse dentro del propio SIEM, lo que contribuye a un seguimiento más rápido de las amenazas. Además, la plataforma admite la importación automática de incidentes desde la consola de Managed Detection and Response, centralizando la información operativa para acelerar los ciclos de análisis y respuesta.

Junto a estas funciones, la solución incorpora reglas específicas de análisis de comportamiento para detectar anomalías en autenticaciones, procesos y actividad de red en estaciones de trabajo y servidores Windows. Estas capacidades amplían la detección temprana de APT, ataques dirigidos y riesgos internos, un aspecto relevante en organizaciones con infraestructuras distribuidas y flujos de acceso complejos.

Los nuevos paneles y plantillas de informes pueden compartirse entre distintas instalaciones del SIEM, con actualizaciones directas desde Kaspersky. La inclusión de widgets adicionales facilita la representación de datos mediante gráficos combinados, tendencias y relaciones entre valores, mientras que la función de drill-down permite profundizar desde un panel global hacia vistas específicas orientadas al análisis detallado.

La actualización incorpora una arquitectura basada en Raft que favorece la disponibilidad del servicio incluso bajo cargas elevadas y permite escalar horizontalmente cuando lo requiera el volumen de datos procesado por el SIEM. Según explica Ilya Markelov, responsable de Unified Platform Product Line, el objetivo consiste en reducir la carga operativa de los especialistas mediante procesos automatizados basados en inteligencia artificial, capaces de analizar grandes volúmenes de información y acelerar la gestión de incidentes, lo que aporta un refuerzo sustancial a la protección organizativa frente a ataques sofisticados.