ИТ-портал компании «Инфосистемы Джет»

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Олег Глебов, руководитель развития решений по противодействию целенаправленным атакам «Лаборатории Касперского», рассказывает о том, как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response.

В 2017 г. будет выпущено новое для российского рынка решение класса EDR – Kaspersky Endpoint Detection and Response как часть комплексного решения – Kaspersky Anti Targeted Attack Platform. Решение позволит полностью дополнить спектр технологий для защиты рабочих мест и предоставить полный цикл управления инцидентами, начиная от обнаружения, быстрого сдерживания (containment), автоматизированного реагирования и заканчивая удобством централизованного проведения расследований и сбора необходимой информации.

Установка и архитектура

Сенсоры для рабочих станций и серверов представляют собой программные компоненты (агенты) автоматизированного сбора необходимой информации для выявления фактов компрометации рабочих станций и аномальной активности. Они управляются из единой консоли решения Kaspersky Anti Targeted Attack Platform как часть интегрированного решения. Сенсоры для рабочих станций легко распространяются в инфраструктуре в виде легкого установщика (не более 20 Mб), не требующего перезагрузки рабочих станций или прав администратора. Сам сенсор представлен в виде сервиса, требующего 15 Mб оперативной памяти в ОС.

Операционные системы

На сегодняшний день сенсоры поставляются для любых версий Windows ОС. В дальнейшем в новой версии (2017 г.) планируется совместимость с Linux, Android, Apple OS.

Совместимость с антивирусами

В текущей версии решения для удобства заказчиков прежде всего осуществляется пассивный сбор данных и мониторинг активности рабочей станций и состояния ОС. Тем самым сенсор не требует администраторских прав и работы на уровне ядра ОС. В результате решение будет полностью совместимо с любым традиционным продуктом безопасности, установленным на той же рабочей станции. Для пользователей решения для защиты рабочих мест Kaspersky Endpoint Security функционал сенсора AntiAPT решения будет автоматически доступен, начиная с версии SP10 mr3 (третий квартал 2016 г.). В дальнейшем в версии (2017 г.) будет расширен функционал блокирования и восстановления, а также будет добавлена работа в двухстороннем режиме с традиционными антивирусами.

Обучение агента

Сейчас задача обучения сенсора для рабочих мест и серверов решения Kaspersky Anti Targeted Attack Platform разрешенным и запрещенным процессам сводится к легкой установке и бесконфликтности, в результате решение не требует вносить ручных изменений для успешной работы.

Сенсор для рабочих станций и серверов в текущей версии только собирает необходимые для анализа данные. Эти данные позволяют решению автоматически строить шаблоны нормального поведения для каждой рабочей станции и в дальнейшем выявлять отклонения и подозрительную активность. В начале 2017 г. будет выпущена следующая версия сенсора, которая наряду со сбором данных для анализа будет выявлять инциденты ИБ в момент их возникновения на рабочем месте, локализовывать инциденты в пределах масштаба на момент обнаружения, поддерживать проведение централизованных расследований инцидентов, предоставлять механизмы реагирования на уровне рабочих мест подверженных атаке.

Поиск маркеров компрометации

Автоматический поиск маркеров, выявленных в «песочнице» на уровне сети, будет возможен в версии, которая выйдет в IV квартале 2016 г. Автоматический и ручной опрос рабочих станций на наличие файла, запущенного процесса, ключа реестра и т.д. будет включен в основой функционал сенсора в первой половине 2017 г.

Карантин скомпрометированной станции

Карантинизация процессов и всей рабочей станции будет доступна в первой половине 2017 г., когда сенсор Anti-APT решения получит функционал блокирования.

Анализ файлов с флеш-носителей

Функционал анализа файлов, загружаемых с флеш-носителей будет ключевым для следующей версии полнофункционального сенсора, которая планируется к выходу в середине 2017 г.

Блокирование активностей вредоносов

При использовании решения Kaspersky Endpoint Security каждый заказчик в автоматическом режиме получит возможность расшаривания вердиктов между Anti-APT детектирующими механизмами и антивирусным компонентом.

Устранение последствий заражения

В случае установленного агента Kaspersky Endpoint Security функционал устранения по новым детектам будет доступен в автоматическом режиме. Ручной режим устранения угроз и восстановления рабочих станций будет доступен в середине 2017 г.

Инструментарий для проведения расследований

В текущей версии Kaspersky Anti Targeted Attack Platform выгрузка дампов и логирование происходит с данными, полученными с сетевого трафика и впоследствии запущенными в «песочнице». Для сбора дампов памяти рабочих мест и серверов, а также для логирования событий и проведения централизованных расследований будет доступен сенсор следующей версии в середине 2017 г.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su