Защита от целенаправленных атак с помощью продуктов KATA и KEDR
По мнению аналитиков Gartner, корпоративному сектору необходим новый класс решений для рабочих мест, которые должны уметь обнаруживать и локализовывать киберугрозы, расследовать инциденты и восстанавливать рабочие места в том состоянии, в котором они были до заражения. Такой подход они называют “Endpoint Detection and Response”.
Уже по названию соответствующего продукта — Kaspersky Endpoint Detection and Response (KEDR) — понятно, что он является частью комплекса Kaspersky Threat Management and Defense (KTMD), отвечающего за противодействие комплексным угрозам на уровне сети предприятия. Данное решение не только ведет непрерывный мониторинг угроз на рабочих местах, но и визуализирует процессы в графическом виде, что значительно упрощает работу оператора по выявлению комплексных и сложных киберинцидентов.
Поиск осуществляется посредством вовлечения централизованной базы угроз и индикаторов компрометации (IoC) с последующим моделированием поведенческих паттернов для конкретных узлов сети и последующего выявления аномалий в их работе. Результатом работы модуля Kaspersky EDR могут служить изоляция объекта, удаление (или помещение в карантин) потенциально опасного источника, а также восстановление из резервной копии (откат) поврежденного или зараженного компонента ОС или прикладной программы. И все это прозрачно и незаметно для конечного пользователя.
Важна не только обработка, но и сбор информации — и здесь незаменимую помощь способна оказать другая разработка «Лаборатории Касперского» — платформа Kaspersky Anti Targeted Attack (KATA). В ее обязанности входит мониторинг сетевого трафика в режиме реального времени и последующий разбор поведения подозрительных объектов в защищенной области («песочнице»). При этом анализ ведется на уровне сетевых протоколов SPAN, ICAP, POP3S и SMTP с дополнительным импортом данных из союзных продуктов — таких, как Kaspersky Security Mail Gateway (KSMG), Kaspersky security for Linux Mail Server (KLMS) или Kaspersky Security для бизнеса (KES).
Затем данные обрабатываются при помощи целого комплекса механизмов (в том числе Anti Malware engine, Sandbox, Threat intelligence services, Targeted attack analyzer, YARA engine, Risk score engine), после чего формируется набор решений о присутствии в исследуемой цепочке признаков многоступенчатой атаки и/или скрытых угроз. Система машинного обучения позволяет непрерывно увеличивать точность распознавания киберугроз и отслеживать атаки на самых ранних этапах. Сформированные в результате работы КАТА решения (вердикты) могут быть незамедлительно направлены в межсетевые экраны, почтовые шлюзы (например, в Kaspersky Secure Mail Gateway) или в решения по защите рабочих мест (такие, как Kaspersky Security for Business).
Остается добавить, что KATA и KEDR могут лицензироваться и унитарно, и как единая платформа. Их объединяют унифицированные интерфейс управления, центр анализа и обработки инцидентов, механизм корреляции событий и база вердиктов — а это, в свою очередь, позволяет максимально эффективно реагировать на привходящие киберинциденты. Разумеется, если эти решения работают в комплексе с классическими средствами защиты серверов и рабочих станций.
Смотреть все статьи по теме "Информационная безопасность"