УправлениеБезопасность

Оперативная защита конечных устройств

Ольга Мельник | 05.07.2020

Оперативная защита конечных устройств

Конечные устройства, в том числе рабочие станции и серверы, принимают на себя основной удар зловредов. Их оперативная и по возможности автоматизированная защита критически важна для непрерывности бизнеса и эффективной работы службы ИБ в целом.

Опросы сотрудников корпоративных служб ИБ в России показывают, что устойчиво растет и число, и сложность инцидентов, связанных с атаками на рабочие станции и серверы.

Подавляющее большинство угроз проникает в корпоративные сети через конечные устройства. Отсутствие визуального контроля за их состоянием, позднее распознавание киберинцидентов может стоить очень дорого. Как показало исследование «Лаборатории Касперского», средний ущерб от одной успешной кибератаки в секторе крупного бизнеса составляет 14,3 млн рублей. Кроме того, проведенные компанией опросы выявили, что для 42% компаний в России распознавание продвинутых атак в общей массе киберугроз становится всё более сложной задачей.

В отличие от случайных заражений целевые атаки протекают долго и скрытно. Они могут развиваться в течение многих месяцев без каких-то внешних признаков. Этому есть две основные причины. Одна заключается в том, что поиск скрытых угроз чаще всего ведется вручную сотрудниками ИБ-подразделения. Для этого они ищут аномалии в огромных массивах данных и эффективность такой работы далека от идеала.

Вторая причина в том, что даже если аномалия найдена, не всегда понятно, насколько она опасна и опасна ли вообще. Навыками цифровой криминалистики владеют далеко не все специалисты по ИБ, нужен очень большой опыт и широкие знания, чтобы «на глаз» идентифицировать подозрительный объект и определить степень его вредоносности, а детально заниматься каждой такой непонятной ситуацией просто нет возможности.

Поток инцидентов настолько велик, что порой напоминает DDos: под валом обращений служба ИБ постоянно испытывает перегрузку, точно приоритизировать задачи сложно, поэтому действия не всегда эффективны, и в какой-то момент служба просто перестает реагировать на запросы, во всяком случае на часть их. В таких условиях значительно проще и быстрей полностью переустановить ПО, нежели разбираться, каким образом и откуда на сервер или рабочую станцию попал зловред.

Однако уменьшить число инцидентов и системно решать задачи защиты это не помогает. Для выявления и расследования комплексных атак необходимо представлять картину в целом во всей сети, а не только на уровне отдельных серверов или рабочих станций. Нужен анализ значительного количества инцидентов, причем часть из них невозможно распознать автоматически, требуется «ручной разбор». В большинстве компаний, даже крупных, сохраняется дефицит квалифицированных кадров, поэтому классифицировать инциденты и уж тем более вникать в сущность каждого просто некому. Проблемы еще больше усугубляются неудобством инструментария: значительная часть ИБ-пакетов не интегрируется между собой, иногда даже не взаимодействует – они управляются совершенно независимо, данные между ними не передаются. О централизованном представлении информации и принятии решений на этой основе речь в таких условиях не идет.

Эффективное выявление, расследование и реагирование на инциденты требует единого подхода и централизованных инструментов. Автоматизация возможно большего числа рабочих процессов и удобный веб-интерфейс в обеспечении безопасности значительно повышают продуктивность сотрудников. Еще больше влияет на эффективность труда ИБ-и ИТ-специалистов устранение последствий атаки на рабочие станции и восстановление их работоспособности без влияния на деятельность пользователей. Зачастую именно эта, вполне, казалось бы, рутинная операция восстановления рабочего состояния, занимает больше всего времени, а для бизнеса критично именно это – время восстановления.

Отдельный вопрос – взаимодействие с регуляторами, выполнение требований законодательства, в том числе отраслевых норм и правил. Можно стараться следовать нормам в той мере, которая необходима для успешного прохождения проверок, можно – для получения реальных результатов, но в любом случае такая задача существует, и для ее решения нужны ресурсы.

Необходимость как можно большую долю рутинных задач автоматизировать становится для ИБ-служб все более явной. Аналитики Gartner считают, что корпоративному сегменту для защиты рабочих станций требуются решения нового класса. Обнаруживать и локализовывать киберугрозы, расследовать инциденты и восстанавливать то состояние рабочих мест, в котором они были до атаки – таковы требования к этим новым решениям. «Такой подход Gartner называет Endpoint Detection and Response. Наше решение Kaspersky Endpoint Detection and Response (EDR) в полной мере ему соответствует», – отмечают в «Лаборатории Касперского».

Комплексное решение проблем

Решение Kaspersky Endpoint Detection and Response обеспечивает прежде всего комплексность подхода. Один и тот же веб-интерфейс используется для выявления угроз, их приоритизации, расследования и нейтрализации. В распоряжении специалистов по ИБ оказывается вся картина событий в инфраструктуре рабочих мест. Предотвращение рядовых угроз выполняется автоматически. Реакция на комплексные инциденты и их сдерживание следует оперативно.

Ключевая задача Kaspersky Endpoint Detection and Response (EDR) – постоянный мониторинг ситуации, проактивный поиск признаков вредоносных действий на рабочих станциях и серверах. Продукт позволяет загружать индикаторы компрометации (IoC) в формате Open IoC и настраивать автоматические сценарии IoC-проверки, учитывает рекомендации ФинЦЕРТ и данные об угрозах из других источников. Обеспечивается выполнение нормативов регуляторов, стандартов финансовой отрасли, PCI DSS, № 187-ФЗ и указа о создании «ГосСОПКА».

Особый интерес представляет обогащение SIEM/SOC результатами анализа данных с рабочих станций и сопоставление их с событиями из других систем. Это позволяет вести внутренние расследования быстрей и эффективней.

В условиях быстрого изменения ситуации и постоянного появления новых угроз растет потребность в дополнительной внешней экспертизе и обучении. «Лаборатория Касперского» предоставляет такие сервисы заказчикам, использующим Kaspersky Endpoint Detection and Response, в том числе проводит обучающие тренинги. Их составляют индивидуально для каждого клиента в зависимости от того, каковы собственные кадры компании, каких знаний и навыков им недостаточно.

Kaspersky Endpoint Detection and Response (EDR) доступен как самостоятельный продукт или в составе комплексной платформы Kaspersky Threat Management and Defense. Эта платформа также включает специализированное решение для борьбы с целевыми атаками – Kaspersky Anti Targeted Attack Platform – и аналитические сервисы, помогающие понимать особенности различных киберугроз. Kaspersky Endpoint Detection and Response работает т как единый агент вместе с решением Kaspersky Security для бизнеса. Этот комплекс защитных технологий дает предприятиям возможность оперативно выявлять риски, в том числе даже самые сложные и скрытые кибератаки, и незамедлительно реагировать на них.

Песочница как средство защиты

Еще один инструмент, способный снять значительную долю рутинных операций с плеч сотрудников службы ИБ, – Kaspersky Sandbox. Его используют в первую очередь те компании, где нет специализированного отдела ИБ или он есть, но необходимо, чтобы его сотрудники полностью сосредоточились на критически важных задачах. Другая группа пользователей – географически распределенные организации с большим числом филиалов без ИБ-персонала. Небольшие компании, не готовые выделять отдельный бюджет на ИТ-безопасность, тоже находят именно этот продукт полезным и эффективным.

Sandbox проводит автоматический анализ целевых, неизвестных и скрытых угроз и при обнаружении самостоятельно блокирует их. В базовой конфигурации продукт поддерживает до тысячи конечных устройств, но легко масштабируется и для крупных инфраструктур.

Решение интегрировано с платформой Kaspersky Security для бизнеса, управляется через консоль Kaspersky Security Center, имеет API для взаимодействия со сторонними приложениями. Продукт продается в виде ISO-образа с предварительно настроенной CentOS 7 и всеми необходимыми защитными компонентами, готовым к развертыванию как на физическом сервере, так и на виртуальных серверах на базе VMware ESXi.

Когда Kaspersky Sandbox получает запрос на проверку файла от внешнего приложения, то запускает его в изолированной среде. В ней проводится поведенческий анализ, сбор и обработка артефактов. Если объект совершает вредоносные действия, Kaspersky Sandbox классифицирует его как вредоносное ПО и файлу присваивается вердикт. Этот вердикт в режиме реального времени отправляется в общий оперативный кеш вердиктов. С этого момента другие хосты, на которых установлено Kaspersky Security для бизнеса, получают данные о репутации файла, не анализируя его повторно.

Kaspersky Endpoint Detection and Response и Kaspersky Sandbox – решения нового поколения ИБ-инструментов, оптимизирующих работу специалистов по информационной безопасности: максимум корректного автоматического анализа и блокировки угроз, выполнение рутинных операций, централизованное управление.

 

Информационная безопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 06/2020], Подписка на журналы

Kaspersky lab | Лаборатория Касперского


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Как бизнес и учебные заведения адаптируют образование к новым реалиям экономики?
Попробуйте представить ощущения, когда ты занимаешься, вроде бы, прорывными вещами, а тебе объясняют "это, парень, тенденция вчерашнего дня".
Возникает понятное желание поразбираться, иногда на это нужны несколько лет.
Как культура поведения удаленных пользователей влияет на кибербезопасность организации

Компании сообщают

Мероприятия