Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Операционные системы

На сегодняшний день сенсоры поставляются для любых версий Windows ОС. В дальнейшем в новой версии (2017 г.) планируется совместимость с Linux, Android, Apple OS.

Совместимость с антивирусами

В текущей версии решения для удобства заказчиков прежде всего осуществляется пассивный сбор данных и мониторинг активности рабочей станций и состояния ОС. Тем самым сенсор не требует администраторских прав и работы на уровне ядра ОС. В результате решение будет полностью совместимо с любым традиционным продуктом безопасности, установленным на той же рабочей станции. Для пользователей решения для защиты рабочих мест Kaspersky Endpoint Security функционал сенсора AntiAPT решения будет автоматически доступен, начиная с версии SP10 mr3 (третий квартал 2016 г.). В дальнейшем в версии (2017 г.) будет расширен функционал блокирования и восстановления, а также будет добавлена работа в двухстороннем режиме с традиционными антивирусами.

Обучение агента

Сейчас задача обучения сенсора для рабочих мест и серверов решения Kaspersky Anti Targeted Attack Platform разрешенным и запрещенным процессам сводится к легкой установке и бесконфликтности, в результате решение не требует вносить ручных изменений для успешной работы.

Сенсор для рабочих станций и серверов в текущей версии только собирает необходимые для анализа данные. Эти данные позволяют решению автоматически строить шаблоны нормального поведения для каждой рабочей станции и в дальнейшем выявлять отклонения и подозрительную активность. В начале 2017 г. будет выпущена следующая версия сенсора, которая наряду со сбором данных для анализа будет выявлять инциденты ИБ в момент их возникновения на рабочем месте, локализовывать инциденты в пределах масштаба на момент обнаружения, поддерживать проведение централизованных расследований инцидентов, предоставлять механизмы реагирования на уровне рабочих мест подверженных атаке.

Поиск маркеров компрометации

Автоматический поиск маркеров, выявленных в «песочнице» на уровне сети, будет возможен в версии, которая выйдет в IV квартале 2016 г. Автоматический и ручной опрос рабочих станций на наличие файла, запущенного процесса, ключа реестра и т.д. будет включен в основой функционал сенсора в первой половине 2017 г.

Карантин скомпрометированной станции

Карантинизация процессов и всей рабочей станции будет доступна в первой половине 2017 г., когда сенсор Anti-APT решения получит функционал блокирования.

Анализ файлов с флеш-носителей

Функционал анализа файлов, загружаемых с флеш-носителей будет ключевым для следующей версии полнофункционального сенсора, которая планируется к выходу в середине 2017 г.

Блокирование активностей вредоносов

При использовании решения Kaspersky Endpoint Security каждый заказчик в автоматическом режиме получит возможность расшаривания вердиктов между Anti-APT детектирующими механизмами и антивирусным компонентом.

Устранение последствий заражения

В случае установленного агента Kaspersky Endpoint Security функционал устранения по новым детектам будет доступен в автоматическом режиме. Ручной режим устранения угроз и восстановления рабочих станций будет доступен в середине 2017 г.

Инструментарий для проведения расследований

В текущей версии Kaspersky Anti Targeted Attack Platform выгрузка дампов и логирование происходит с данными, полученными с сетевого трафика и впоследствии запущенными в «песочнице». Для сбора дампов памяти рабочих мест и серверов, а также для логирования событий и проведения централизованных расследований будет доступен сенсор следующей версии в середине 2017 г.