В 2017 г. будет выпущено новое для российского рынка решение класса EDR – Kaspersky Endpoint Detection and Response как часть комплексного решения – Kaspersky Anti Targeted Attack Platform. Решение позволит полностью дополнить спектр технологий для защиты рабочих мест и предоставить полный цикл управления инцидентами, начиная от обнаружения, быстрого сдерживания (containment), автоматизированного реагирования и заканчивая удобством централизованного проведения расследований и сбора необходимой информации.
Установка и архитектура
Сенсоры для рабочих станций и серверов представляют собой программные компоненты (агенты) автоматизированного сбора необходимой информации для выявления фактов компрометации рабочих станций и аномальной активности. Они управляются из единой консоли решения Kaspersky Anti Targeted Attack Platform как часть интегрированного решения. Сенсоры для рабочих станций легко распространяются в инфраструктуре в виде легкого установщика (не более 20 Mб), не требующего перезагрузки рабочих станций или прав администратора. Сам сенсор представлен в виде сервиса, требующего 15 Mб оперативной памяти в ОС.
Операционные системы
На сегодняшний день сенсоры поставляются для любых версий Windows ОС. В дальнейшем в новой версии (2017 г.) планируется совместимость с Linux, Android, Apple OS.
Совместимость с антивирусами
В текущей версии решения для удобства заказчиков прежде всего осуществляется пассивный сбор данных и мониторинг активности рабочей станций и состояния ОС. Тем самым сенсор не требует администраторских прав и работы на уровне ядра ОС. В результате решение будет полностью совместимо с любым традиционным продуктом безопасности, установленным на той же рабочей станции. Для пользователей решения для защиты рабочих мест Kaspersky Endpoint Security функционал сенсора AntiAPT решения будет автоматически доступен, начиная с версии SP10 mr3 (третий квартал 2016 г.). В дальнейшем в версии (2017 г.) будет расширен функционал блокирования и восстановления, а также будет добавлена работа в двухстороннем режиме с традиционными антивирусами.
Обучение агента
Сейчас задача обучения сенсора для рабочих мест и серверов решения Kaspersky Anti Targeted Attack Platform разрешенным и запрещенным процессам сводится к легкой установке и бесконфликтности, в результате решение не требует вносить ручных изменений для успешной работы.
Сенсор для рабочих станций и серверов в текущей версии только собирает необходимые для анализа данные. Эти данные позволяют решению автоматически строить шаблоны нормального поведения для каждой рабочей станции и в дальнейшем выявлять отклонения и подозрительную активность. В начале 2017 г. будет выпущена следующая версия сенсора, которая наряду со сбором данных для анализа будет выявлять инциденты ИБ в момент их возникновения на рабочем месте, локализовывать инциденты в пределах масштаба на момент обнаружения, поддерживать проведение централизованных расследований инцидентов, предоставлять механизмы реагирования на уровне рабочих мест подверженных атаке.
Поиск маркеров компрометации
Автоматический поиск маркеров, выявленных в «песочнице» на уровне сети, будет возможен в версии, которая выйдет в IV квартале 2016 г. Автоматический и ручной опрос рабочих станций на наличие файла, запущенного процесса, ключа реестра и т.д. будет включен в основой функционал сенсора в первой половине 2017 г.
Карантин скомпрометированной станции
Карантинизация процессов и всей рабочей станции будет доступна в первой половине 2017 г., когда сенсор Anti-APT решения получит функционал блокирования.
Анализ файлов с флеш-носителей
Функционал анализа файлов, загружаемых с флеш-носителей будет ключевым для следующей версии полнофункционального сенсора, которая планируется к выходу в середине 2017 г.
Блокирование активностей вредоносов
При использовании решения Kaspersky Endpoint Security каждый заказчик в автоматическом режиме получит возможность расшаривания вердиктов между Anti-APT детектирующими механизмами и антивирусным компонентом.
Устранение последствий заражения
В случае установленного агента Kaspersky Endpoint Security функционал устранения по новым детектам будет доступен в автоматическом режиме. Ручной режим устранения угроз и восстановления рабочих станций будет доступен в середине 2017 г.
Инструментарий для проведения расследований
В текущей версии Kaspersky Anti Targeted Attack Platform выгрузка дампов и логирование происходит с данными, полученными с сетевого трафика и впоследствии запущенными в «песочнице». Для сбора дампов памяти рабочих мест и серверов, а также для логирования событий и проведения централизованных расследований будет доступен сенсор следующей версии в середине 2017 г.