Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response
Информационная безопасность Информационная безопасность

Как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response

Главная>Информационная безопасность>Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response
Информационная безопасность Тренд

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Дата публикации:
27.10.2016
Посетителей:
128
Просмотров:
99
Время просмотра:
2.3

Авторы

Спикер
Олег Глебов Руководитель развития решений по противодействию целенаправленным атакам «Лаборатории Касперского»
Олег Глебов, руководитель развития решений по противодействию целенаправленным атакам «Лаборатории Касперского», рассказывает о том, как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response.

 

 

В 2017 г. будет выпущено новое для российского рынка решение класса EDR – Kaspersky Endpoint Detection and Response как часть комплексного решения – Kaspersky Anti Targeted Attack Platform. Решение позволит полностью дополнить спектр технологий для защиты рабочих мест и предоставить полный цикл управления инцидентами, начиная от обнаружения, быстрого сдерживания (containment), автоматизированного реагирования и заканчивая удобством централизованного проведения расследований и сбора необходимой информации.

 

Установка и архитектура

 

Сенсоры для рабочих станций и серверов представляют собой программные компоненты (агенты) автоматизированного сбора необходимой информации для выявления фактов компрометации рабочих станций и аномальной активности. Они управляются из единой консоли решения Kaspersky Anti Targeted Attack Platform как часть интегрированного решения. Сенсоры для рабочих станций легко распространяются в инфраструктуре в виде легкого установщика (не более 20 Mб), не требующего перезагрузки рабочих станций или прав администратора. Сам сенсор представлен в виде сервиса, требующего 15 Mб оперативной памяти в ОС.

Операционные системы

 

На сегодняшний день сенсоры поставляются для любых версий Windows ОС. В дальнейшем в новой версии (2017 г.) планируется совместимость с Linux, Android, Apple OS.

 

Совместимость с антивирусами

 

В текущей версии решения для удобства заказчиков прежде всего осуществляется пассивный сбор данных и мониторинг активности рабочей станций и состояния ОС. Тем самым сенсор не требует администраторских прав и работы на уровне ядра ОС. В результате решение будет полностью совместимо с любым традиционным продуктом безопасности, установленным на той же рабочей станции. Для пользователей решения для защиты рабочих мест Kaspersky Endpoint Security функционал сенсора AntiAPT решения будет автоматически доступен, начиная с версии SP10 mr3 (третий квартал 2016 г.). В дальнейшем в версии (2017 г.) будет расширен функционал блокирования и восстановления, а также будет добавлена работа в двухстороннем режиме с традиционными антивирусами.

 

Обучение агента

 

Сейчас задача обучения сенсора для рабочих мест и серверов решения Kaspersky Anti Targeted Attack Platform разрешенным и запрещенным процессам сводится к легкой установке и бесконфликтности, в результате решение не требует вносить ручных изменений для успешной работы.

 

Сенсор для рабочих станций и серверов в текущей версии только собирает необходимые для анализа данные. Эти данные позволяют решению автоматически строить шаблоны нормального поведения для каждой рабочей станции и в дальнейшем выявлять отклонения и подозрительную активность. В начале 2017 г. будет выпущена следующая версия сенсора, которая наряду со сбором данных для анализа будет выявлять инциденты ИБ в момент их возникновения на рабочем месте, локализовывать инциденты в пределах масштаба на момент обнаружения, поддерживать проведение централизованных расследований инцидентов, предоставлять механизмы реагирования на уровне рабочих мест подверженных атаке.

 

Поиск маркеров компрометации

 

Автоматический поиск маркеров, выявленных в «песочнице» на уровне сети, будет возможен в версии, которая выйдет в IV квартале 2016 г. Автоматический и ручной опрос рабочих станций на наличие файла, запущенного процесса, ключа реестра и т.д. будет включен в основой функционал сенсора в первой половине 2017 г.

 

Карантин скомпрометированной станции

 

Карантинизация процессов и всей рабочей станции будет доступна в первой половине 2017 г., когда сенсор Anti-APT решения получит функционал блокирования.

 

Анализ файлов с флеш-носителей

 

Функционал анализа файлов, загружаемых с флеш-носителей будет ключевым для следующей версии полнофункционального сенсора, которая планируется к выходу в середине 2017 г.

 

Блокирование активностей вредоносов

 

При использовании решения Kaspersky Endpoint Security каждый заказчик в автоматическом режиме получит возможность расшаривания вердиктов между Anti-APT детектирующими механизмами и антивирусным компонентом.

 

Устранение последствий заражения

 

В случае установленного агента Kaspersky Endpoint Security функционал устранения по новым детектам будет доступен в автоматическом режиме. Ручной режим устранения угроз и восстановления рабочих станций будет доступен в середине 2017 г.

 

Инструментарий для проведения расследований

 

В текущей версии Kaspersky Anti Targeted Attack Platform выгрузка дампов и логирование происходит с данными, полученными с сетевого трафика и впоследствии запущенными в «песочнице». Для сбора дампов памяти рабочих мест и серверов, а также для логирования событий и проведения централизованных расследований будет доступен сенсор следующей версии в середине 2017 г.

Уведомления об обновлении тем – в вашей почте

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

Как реализована защита от целенаправленных кибератак на конечных точках в решении Trend Micro Endpoint Sensor

Интервью с Борисом Симисом, заместителем генерального директора компании Positive Technologies

Один день из жизни Ричарда Джилла, специального агента секретной службы США, превратился в кошмар наяву

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Интервью Алексея Комкова, Технического директора компании "Лаборатория Касперского"

Интервью Комкова Алексея, технического директора компании "Лаборатория Касперского" информационному бюллетеню "Jet ...

Гонка вооружений ИБ. Сводки с полей

Как Банк «Союз» ускорил Time-to-Market при разработке интеграционной шины для своего кредитного конвейера

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Основные классы угроз в компьютерном сообществе 2003 года, их причины и способы устранения

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

"Лаборатория Касперского" и "Инфосистемы Джет": опыт совместного внедрения системы антивирусной безопасности в Министерстве Российской Федерации по налогам и сборам

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Опыт MSSP по противодействию кибератакам

В статье описан опыт использования различных технологий в SOC для противодействия целенаправленным атакам

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня