© 1995-2021 Компания «Инфосистемы Джет»
Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response
Информационная безопасность

Как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response

Информационная безопасность Тренд

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Автор
Олег Глебов Руководитель развития решений по противодействию целенаправленным атакам «Лаборатории Касперского»

27.10.2016

Посетителей: 36

Просмотров: 30

Время просмотра: 1.9 мин.

Олег Глебов, руководитель развития решений по противодействию целенаправленным атакам «Лаборатории Касперского», рассказывает о том, как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response.

 

 

В 2017 г. будет выпущено новое для российского рынка решение класса EDR – Kaspersky Endpoint Detection and Response как часть комплексного решения – Kaspersky Anti Targeted Attack Platform. Решение позволит полностью дополнить спектр технологий для защиты рабочих мест и предоставить полный цикл управления инцидентами, начиная от обнаружения, быстрого сдерживания (containment), автоматизированного реагирования и заканчивая удобством централизованного проведения расследований и сбора необходимой информации.

 

Установка и архитектура

 

Сенсоры для рабочих станций и серверов представляют собой программные компоненты (агенты) автоматизированного сбора необходимой информации для выявления фактов компрометации рабочих станций и аномальной активности. Они управляются из единой консоли решения Kaspersky Anti Targeted Attack Platform как часть интегрированного решения. Сенсоры для рабочих станций легко распространяются в инфраструктуре в виде легкого установщика (не более 20 Mб), не требующего перезагрузки рабочих станций или прав администратора. Сам сенсор представлен в виде сервиса, требующего 15 Mб оперативной памяти в ОС.

Операционные системы

 

На сегодняшний день сенсоры поставляются для любых версий Windows ОС. В дальнейшем в новой версии (2017 г.) планируется совместимость с Linux, Android, Apple OS.

 

Совместимость с антивирусами

 

В текущей версии решения для удобства заказчиков прежде всего осуществляется пассивный сбор данных и мониторинг активности рабочей станций и состояния ОС. Тем самым сенсор не требует администраторских прав и работы на уровне ядра ОС. В результате решение будет полностью совместимо с любым традиционным продуктом безопасности, установленным на той же рабочей станции. Для пользователей решения для защиты рабочих мест Kaspersky Endpoint Security функционал сенсора AntiAPT решения будет автоматически доступен, начиная с версии SP10 mr3 (третий квартал 2016 г.). В дальнейшем в версии (2017 г.) будет расширен функционал блокирования и восстановления, а также будет добавлена работа в двухстороннем режиме с традиционными антивирусами.

 

Обучение агента

 

Сейчас задача обучения сенсора для рабочих мест и серверов решения Kaspersky Anti Targeted Attack Platform разрешенным и запрещенным процессам сводится к легкой установке и бесконфликтности, в результате решение не требует вносить ручных изменений для успешной работы.

 

Сенсор для рабочих станций и серверов в текущей версии только собирает необходимые для анализа данные. Эти данные позволяют решению автоматически строить шаблоны нормального поведения для каждой рабочей станции и в дальнейшем выявлять отклонения и подозрительную активность. В начале 2017 г. будет выпущена следующая версия сенсора, которая наряду со сбором данных для анализа будет выявлять инциденты ИБ в момент их возникновения на рабочем месте, локализовывать инциденты в пределах масштаба на момент обнаружения, поддерживать проведение централизованных расследований инцидентов, предоставлять механизмы реагирования на уровне рабочих мест подверженных атаке.

 

Поиск маркеров компрометации

 

Автоматический поиск маркеров, выявленных в «песочнице» на уровне сети, будет возможен в версии, которая выйдет в IV квартале 2016 г. Автоматический и ручной опрос рабочих станций на наличие файла, запущенного процесса, ключа реестра и т.д. будет включен в основой функционал сенсора в первой половине 2017 г.

 

Карантин скомпрометированной станции

 

Карантинизация процессов и всей рабочей станции будет доступна в первой половине 2017 г., когда сенсор Anti-APT решения получит функционал блокирования.

 

Анализ файлов с флеш-носителей

 

Функционал анализа файлов, загружаемых с флеш-носителей будет ключевым для следующей версии полнофункционального сенсора, которая планируется к выходу в середине 2017 г.

 

Блокирование активностей вредоносов

 

При использовании решения Kaspersky Endpoint Security каждый заказчик в автоматическом режиме получит возможность расшаривания вердиктов между Anti-APT детектирующими механизмами и антивирусным компонентом.

 

Устранение последствий заражения

 

В случае установленного агента Kaspersky Endpoint Security функционал устранения по новым детектам будет доступен в автоматическом режиме. Ручной режим устранения угроз и восстановления рабочих станций будет доступен в середине 2017 г.

 

Инструментарий для проведения расследований

 

В текущей версии Kaspersky Anti Targeted Attack Platform выгрузка дампов и логирование происходит с данными, полученными с сетевого трафика и впоследствии запущенными в «песочнице». Для сбора дампов памяти рабочих мест и серверов, а также для логирования событий и проведения централизованных расследований будет доступен сенсор следующей версии в середине 2017 г.

Уведомления об обновлении тем – в вашей почте

Обзор решений по защите от таргетированных атак

Обзор представляет решения Anti-APT от ведущих производителей: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA)

Advanced Persistent Threat скоро перейдут из понятия «Advanced» в понятие «Basic»…

Директор департамента ИБ Росбанка рассказал в интервью Jet Info, как правильно подойти к выбору решения Anti-APT

Самый SOC. В Москве прошел второй SOC-Forum

Ведущие вендоры, интеграторы, заказчики, государственные регуляторы и эксперты приняли участие в SOC-Forum v.2.0

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

"Лаборатория Касперского" и "Инфосистемы Джет": опыт совместного внедрения системы антивирусной безопасности в Министерстве Российской Федерации по налогам и сборам

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Как реализована защита от целенаправленных кибератак на конечных точках в решении TRAPS от Palo Alto Networks

«Не думайте, что хакеры живут на других планетах…»

Станислав Павлунин, вице-президент по безопасности Тинькофф Банка рассказ о подходе банка к защите от кибератак

Гонка вооружений ИБ. Сводки с полей

Как Банк «Союз» ускорил Time-to-Market при разработке интеграционной шины для своего кредитного конвейера

Обзор решений Anti-APT: от слов к делу

Современные вредоносы zero-day легко обходят традиционную защиту, поэтому появился новый класс решений Anti-APT

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня