IT ManagerБезопасностьУправление ИБ

Оперативная защита конечных устройств

Ольга Мельник | 05.07.2020

Оперативная защита конечных устройств

Конечные устройства, в том числе рабочие станции и серверы, принимают на себя основной удар зловредов. Их оперативная и по возможности автоматизированная защита критически важна для непрерывности бизнеса и эффективной работы службы ИБ в целом.

Опросы сотрудников корпоративных служб ИБ в России показывают, что устойчиво растет и число, и сложность инцидентов, связанных с атаками на рабочие станции и серверы.

Подавляющее большинство угроз проникает в корпоративные сети через конечные устройства. Отсутствие визуального контроля за их состоянием, позднее распознавание киберинцидентов может стоить очень дорого. Как показало исследование «Лаборатории Касперского», средний ущерб от одной успешной кибератаки в секторе крупного бизнеса составляет 14,3 млн рублей. Кроме того, проведенные компанией опросы выявили, что для 42% компаний в России распознавание продвинутых атак в общей массе киберугроз становится всё более сложной задачей.

В отличие от случайных заражений целевые атаки протекают долго и скрытно. Они могут развиваться в течение многих месяцев без каких-то внешних признаков. Этому есть две основные причины. Одна заключается в том, что поиск скрытых угроз чаще всего ведется вручную сотрудниками ИБ-подразделения. Для этого они ищут аномалии в огромных массивах данных и эффективность такой работы далека от идеала.

Вторая причина в том, что даже если аномалия найдена, не всегда понятно, насколько она опасна и опасна ли вообще. Навыками цифровой криминалистики владеют далеко не все специалисты по ИБ, нужен очень большой опыт и широкие знания, чтобы «на глаз» идентифицировать подозрительный объект и определить степень его вредоносности, а детально заниматься каждой такой непонятной ситуацией просто нет возможности.

Поток инцидентов настолько велик, что порой напоминает DDos: под валом обращений служба ИБ постоянно испытывает перегрузку, точно приоритизировать задачи сложно, поэтому действия не всегда эффективны, и в какой-то момент служба просто перестает реагировать на запросы, во всяком случае на часть их. В таких условиях значительно проще и быстрей полностью переустановить ПО, нежели разбираться, каким образом и откуда на сервер или рабочую станцию попал зловред.

Однако уменьшить число инцидентов и системно решать задачи защиты это не помогает. Для выявления и расследования комплексных атак необходимо представлять картину в целом во всей сети, а не только на уровне отдельных серверов или рабочих станций. Нужен анализ значительного количества инцидентов, причем часть из них невозможно распознать автоматически, требуется «ручной разбор». В большинстве компаний, даже крупных, сохраняется дефицит квалифицированных кадров, поэтому классифицировать инциденты и уж тем более вникать в сущность каждого просто некому. Проблемы еще больше усугубляются неудобством инструментария: значительная часть ИБ-пакетов не интегрируется между собой, иногда даже не взаимодействует – они управляются совершенно независимо, данные между ними не передаются. О централизованном представлении информации и принятии решений на этой основе речь в таких условиях не идет.

Эффективное выявление, расследование и реагирование на инциденты требует единого подхода и централизованных инструментов. Автоматизация возможно большего числа рабочих процессов и удобный веб-интерфейс в обеспечении безопасности значительно повышают продуктивность сотрудников. Еще больше влияет на эффективность труда ИБ-и ИТ-специалистов устранение последствий атаки на рабочие станции и восстановление их работоспособности без влияния на деятельность пользователей. Зачастую именно эта, вполне, казалось бы, рутинная операция восстановления рабочего состояния, занимает больше всего времени, а для бизнеса критично именно это – время восстановления.

Отдельный вопрос – взаимодействие с регуляторами, выполнение требований законодательства, в том числе отраслевых норм и правил. Можно стараться следовать нормам в той мере, которая необходима для успешного прохождения проверок, можно – для получения реальных результатов, но в любом случае такая задача существует, и для ее решения нужны ресурсы.

Необходимость как можно большую долю рутинных задач автоматизировать становится для ИБ-служб все более явной. Аналитики Gartner считают, что корпоративному сегменту для защиты рабочих станций требуются решения нового класса. Обнаруживать и локализовывать киберугрозы, расследовать инциденты и восстанавливать то состояние рабочих мест, в котором они были до атаки – таковы требования к этим новым решениям. «Такой подход Gartner называет Endpoint Detection and Response. Наше решение Kaspersky Endpoint Detection and Response (EDR) в полной мере ему соответствует», – отмечают в «Лаборатории Касперского».

Комплексное решение проблем

Решение Kaspersky Endpoint Detection and Response обеспечивает прежде всего комплексность подхода. Один и тот же веб-интерфейс используется для выявления угроз, их приоритизации, расследования и нейтрализации. В распоряжении специалистов по ИБ оказывается вся картина событий в инфраструктуре рабочих мест. Предотвращение рядовых угроз выполняется автоматически. Реакция на комплексные инциденты и их сдерживание следует оперативно.

Ключевая задача Kaspersky Endpoint Detection and Response (EDR) – постоянный мониторинг ситуации, проактивный поиск признаков вредоносных действий на рабочих станциях и серверах. Продукт позволяет загружать индикаторы компрометации (IoC) в формате Open IoC и настраивать автоматические сценарии IoC-проверки, учитывает рекомендации ФинЦЕРТ и данные об угрозах из других источников. Обеспечивается выполнение нормативов регуляторов, стандартов финансовой отрасли, PCI DSS, № 187-ФЗ и указа о создании «ГосСОПКА».

Особый интерес представляет обогащение SIEM/SOC результатами анализа данных с рабочих станций и сопоставление их с событиями из других систем. Это позволяет вести внутренние расследования быстрей и эффективней.

В условиях быстрого изменения ситуации и постоянного появления новых угроз растет потребность в дополнительной внешней экспертизе и обучении. «Лаборатория Касперского» предоставляет такие сервисы заказчикам, использующим Kaspersky Endpoint Detection and Response, в том числе проводит обучающие тренинги. Их составляют индивидуально для каждого клиента в зависимости от того, каковы собственные кадры компании, каких знаний и навыков им недостаточно.

Kaspersky Endpoint Detection and Response (EDR) доступен как самостоятельный продукт или в составе комплексной платформы Kaspersky Threat Management and Defense. Эта платформа также включает специализированное решение для борьбы с целевыми атаками – Kaspersky Anti Targeted Attack Platform – и аналитические сервисы, помогающие понимать особенности различных киберугроз. Kaspersky Endpoint Detection and Response работает т как единый агент вместе с решением Kaspersky Security для бизнеса. Этот комплекс защитных технологий дает предприятиям возможность оперативно выявлять риски, в том числе даже самые сложные и скрытые кибератаки, и незамедлительно реагировать на них.

Песочница как средство защиты

Еще один инструмент, способный снять значительную долю рутинных операций с плеч сотрудников службы ИБ, – Kaspersky Sandbox. Его используют в первую очередь те компании, где нет специализированного отдела ИБ или он есть, но необходимо, чтобы его сотрудники полностью сосредоточились на критически важных задачах. Другая группа пользователей – географически распределенные организации с большим числом филиалов без ИБ-персонала. Небольшие компании, не готовые выделять отдельный бюджет на ИТ-безопасность, тоже находят именно этот продукт полезным и эффективным.

Sandbox проводит автоматический анализ целевых, неизвестных и скрытых угроз и при обнаружении самостоятельно блокирует их. В базовой конфигурации продукт поддерживает до тысячи конечных устройств, но легко масштабируется и для крупных инфраструктур.

Решение интегрировано с платформой Kaspersky Security для бизнеса, управляется через консоль Kaspersky Security Center, имеет API для взаимодействия со сторонними приложениями. Продукт продается в виде ISO-образа с предварительно настроенной CentOS 7 и всеми необходимыми защитными компонентами, готовым к развертыванию как на физическом сервере, так и на виртуальных серверах на базе VMware ESXi.

Когда Kaspersky Sandbox получает запрос на проверку файла от внешнего приложения, то запускает его в изолированной среде. В ней проводится поведенческий анализ, сбор и обработка артефактов. Если объект совершает вредоносные действия, Kaspersky Sandbox классифицирует его как вредоносное ПО и файлу присваивается вердикт. Этот вердикт в режиме реального времени отправляется в общий оперативный кеш вердиктов. С этого момента другие хосты, на которых установлено Kaspersky Security для бизнеса, получают данные о репутации файла, не анализируя его повторно.

Kaspersky Endpoint Detection and Response и Kaspersky Sandbox – решения нового поколения ИБ-инструментов, оптимизирующих работу специалистов по информационной безопасности: максимум корректного автоматического анализа и блокировки угроз, выполнение рутинных операций, централизованное управление.

 

информационная безопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 06/2020], Подписка на журналы

Kaspersky lab | Лаборатория Касперского


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

А что IT? А мы работаем, совершенствуемся в популярных технологиях и осваиваемся в новых. И пока до Луны ближе, чем до создания искусственного интеллекта, без работы мы не останемся.
«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.
Слушания в Конгрессе США, вызов на ковер руководителей Google, FB, Apple, Amazon. Мысли по итогам прочтения стенограммы.

Компании сообщают

Мероприятия

10.09.2020
IT Management Forum 2020

Москва, Новоданиловская наб., д. 6, отель Palmira Business Club

23.09.2020 — 24.09.2020
Форум Индустриальной Роботизации

Санкт-Петербург, Чернорецкий пер. 4-6

28.09.2020 — 29.09.2020
Профессиональная мобильная радиосвязь, спутниковая связь и навигация

Москва, Холидей Инн Москва Лесная

29.09.2020 — 02.10.2020
SMART INDUSTRY EXPO

Минск, Футбольный манеж

30.09.2020
IT в ретейле: Я - легенда.

Москва, Холидей Инн Москва Лесная

27.10.2020 — 29.10.2020
HI-TECH BUILDING 2020

Москва, Крокус Экспо