Системы Endpoint Detection and Response (EDR) помогают защитить информационные системы от современных комплексных атак на конечные точки. «Лаборатория Касперского» не остаётся в стороне и создаёт свои EDR-системы. В 2017 году был выпущен Kaspersky EDR, усиливший платформу Kaspersky Anti Targeted Attack, а в 2020 году компания предложила «Kaspersky EDR для бизнеса Оптимальный», который входит в линейку продуктов «Kaspersky Security для бизнеса» и включает в себя всю функциональность комплекса защиты конечных точек «Kaspersky Endpoint Security для бизнеса Расширенный» вместе с базовыми возможностями EDR.
- Введение
- Актуальность применения EDR-решений
- «Kaspersky EDR для бизнеса Оптимальный»
- Kaspersky EDR
- Детальное сравнение Kaspersky EDR и «Kaspersky EDR для бизнеса Оптимальный»
- Выводы
Введение
Специалист Gartner в статье о построении центра по управлению безопасностью (SOC) выделил обнаружение угроз и реагирование на них в конечных точках сети (Endpoint Detection and Response) как один из элементов ядра SOC, его центральной триады. Современная защита конечных точек нуждается в приспособлении к современному же фронту сложных угроз и должна включать в себя функциональность по обнаружению комплексных атак, а также быть способной оперативно реагировать на выявленные инциденты.
В 2016 году «Лаборатория Касперского» выпустила платформу по обнаружению целенаправленных атак и противодействию им Kaspersky Anti Targeted Attack (KATA), усиленную позже в 2017 году решением по обнаружению и реагированию на рабочих местах — Kaspersky EDR. Благодаря этим продуктам в 2020 году компания признана «Лучшим игроком» в рыночном квадранте «Защита от APT-угроз» (Advanced Persistent Threat), опубликованном Radicati Group. Kaspersky EDR является «Технологическим лидером на рынке EDR-решений» по результатам исследования «SPARK Matrix» от Quadrant Knowledge Solutions, а также «Лаборатория Касперского» вошла в список шести лучших мировых разработчиков EDR-решений рейтинга Gartner Peer Insights Customers’ Choice в 2020 году.
«Лаборатория Касперского» предлагает этот эффективный EDR-инструмент средним и крупным организациям, имеющим зрелую систему ИБ и понимающим необходимость защиты от угроз более высокого уровня сложности, целевых угроз и APT-атак — например, финансовым или тем, чья инфраструктура относится к объектам КИИ. Kaspersky EDR обеспечивает высокий уровень защиты конечных устройств и повышает эффективность центров мониторинга и реагирования на инциденты (SOC), предоставляя улучшенные функции обнаружения угроз, в том числе на базе знаний о тактиках и техниках злоумышленников, а также ретроспективный анализ, многофункциональный инструмент анализа первопричин и возможность детального расследования. С помощью Kaspersky EDR эксперты смогут воссоздать всю последовательность действий злоумышленников, обнаружить самые изощрённые атаки и быстро принять эффективные контрмеры.
Платформа КАТА и Kaspersky EDR закрепились на рынке в среде крупных и средних компаний, но в 2020 году «Лаборатория Касперского» подумала об организациях поменьше и выпустила решение «Kaspersky EDR для бизнеса Оптимальный». Оно рассчитано на игроков малого и среднего бизнеса, желающих получить понимание того, что происходит с их инфраструктурой, и быть в состоянии реагировать на более совершенные угрозы при ограниченных технических, кадровых и материальных ресурсах.
Помимо EDR-решений «Лаборатория Касперского» также разработала продукт Managed Detection and Response (Kaspersky MDR), который позволяет передать задачи по рассмотрению инцидентов в сфере информационной безопасности и вынесению рекомендаций по их предотвращению на «аутсорс» аналитикам «Лаборатории Касперского». Это решение, возможно, будет интересно организациям, в которых штатные специалисты по информационной безопасности отсутствуют или вынужденно фокусируются на других, более важных направлениях деятельности. В данном материале мы не будем заострять внимание на продукте Kaspersky MDR, однако не упомянуть его было бы неправильно. С информацией о данном решении можно ознакомиться по ссылке.
Рисунок 1. Общее функциональное сравнение решений «Лаборатории Касперского»
В данной статье более подробно рассмотрим решения Kaspersky EDR и «Kaspersky EDR для бизнеса Оптимальный», а также проанализируем области применения каждого из них.
Актуальность применения EDR-решений
В настоящее время потенциальной целью атаки злоумышленника может стать любая организация, вне зависимости от её масштаба, степени оснащённости и сферы деятельности. Стремительное развитие информационных технологий и методов воздействия на информационные системы значительно удешевляют и упрощают поиск уязвимых мест и их использование, приводя к новому витку противостояния «снаряда и брони» в сфере компьютерной безопасности. Поэтому традиционные средства защиты не всегда могут обеспечить своевременное адекватное реагирование на инциденты в области информационной безопасности, поскольку за более-менее безобидной и распространённой угрозой может скрываться комплексная атака, способная привести к серьёзным и долгосрочным последствиям, которые в свою очередь выльются в финансовые и репутационные потери.
Краеугольным камнем построения системы информационной безопасности организации является обоснованность затрат на приобретение и обслуживание решений, направленных на защиту информации от внешних угроз, что зачастую является самым сложным, но вместе с тем и самым важным для специалиста по информационной безопасности. Дополнительно стоит обратить внимание на то, что эффективность средств защиты от сложных угроз измеряется не величиной полученного дохода, а степенью потенциального урона, которого организации удастся избежать. Не секрет, что приоритетной целью киберпреступников является извлечение из атаки максимальной выгоды при минимальных затратах на её реализацию, исходя из чего можно предположить, что наиболее эффективным будет построение многослойной системы защиты, взлом которой потребует большого количества ресурсов и окажется попросту невыгодным.
Следующим важным критерием являются временные затраты: своевременное обнаружение атак и реагирование на них способно значительно снизить вероятность достижения злоумышленником поставленной цели. Поэтому решение Kaspersky EDR, входящее также в состав платформы Kaspersky Anti Targeted Attack, позволяет дать своевременный ответ на самую изощрённую поступающую угрозу как на уровне рабочих мест, так и на уровне сети и в кратчайшие сроки приступить к устранению последствий. А в организациях поменьше, на которые также могут быть направлены современные непростые атаки, «Kaspersky EDR для бизнеса Оптимальный» в связке с Kaspersky Sandbox может помочь отразить угрозы на уровне рабочих мест без привлечения дополнительных ресурсов.
«Kaspersky EDR для бизнеса Оптимальный»
«Kaspersky EDR для бизнеса Оптимальный» разработан с учётом потребностей компаний малого и среднего бизнеса, которые только вступили в игру и пока не могут позволить себе приобретение и обслуживание мощного инструментария, но ощущают потребность в базовой EDR-функциональности, которая позволила бы контролировать информационную инфраструктуру рабочих мест организации и обеспечила бы необходимую скорость реакции на возможные инциденты. Этот продукт сочетает в себе возможности решений класса Endpoint Protection Platform (EPP) и базовые функции Endpoint Detection and Response (EDR), предоставляя расширенный спектр инструментов для анализа информации с конечных рабочих станций и серверов организации.
Рисунок 2. Схема работы решения «Kaspersky EDR для бизнеса Оптимальный»
К преимуществам этого решения можно отнести относительную простоту использования, поскольку оно работает совместно с «Kaspersky Endpoint Security для бизнеса Расширенный» и управляется из единой консоли Kaspersky Security Center. Дополнительно «Kaspersky EDR для бизнеса Оптимальный» может быть усилен песочницей Kaspersky Sandbox, в которую автоматически отправляются подозрительные файлы для анализа. Предусмотрен механизм передачи информации об обнаружениях и срабатываниях из единой консоли KSC в SIEM-системы.
Также достоинством для небольших организаций можно назвать крайне низкие требования к аппаратному обеспечению. Главное ограничение — недоступность ретроспективного анализа и проактивного поиска угроз, вызванная отсутствием функциональности по хранению «сырой» телеметрии с конечных устройств за весь период их мониторинга. В то же время система собирает с агентов на рабочих станциях информацию о срабатываниях и позволяет просмотреть сведения о том, что происходило на устройстве, проанализировать базовый граф цепочки развития угрозы. На основе анализа собранных данных администратор безопасности организации через консоль может выполнить действия по реагированию: поместить заражённые объекты на карантин или удалить их, запретить запуск файлов (в том числе исполняемых), изолировать заражённую машину, осуществить из полученного срабатывания настройку индикаторов компрометации (IoC) и дальнейший поиск по ним, применить правило реагирования.
Рисунок 3. Детализация обнаружения угрозы в «Kaspersky EDR для бизнеса Оптимальный»
В отличие от Kaspersky EDR в этом решении отсутствуют возможность взаимодействия с платформой KATA, поддержка работы с EPP-решениями сторонних производителей, хранение «сырой» телеметрии, детектирование на основе тактик и техник злоумышленников, обогащение данными из матрицы MITRE ATT&CK, глубокое взаимодействие с порталом Kaspersky Threat Intelligence и гибкий построитель запросов для проактивного поиска угроз.
Рисунок 4. Анализ первопричин в «Kaspersky EDR для бизнеса Оптимальный»
В «Kaspersky EDR для бизнеса Оптимальный» также отсутствует механизм автоматического создания политик, поэтому все исключения администратору безопасности необходимо указывать вручную, устанавливая их заранее либо по результатам рассмотрения инцидента.
Рисунок 5. Добавление исключения сетевой изоляции в «Kaspersky EDR для бизнеса Оптимальный»
Продукт зарегистрирован в реестре российского программного обеспечения, однако его приобретению организациями государственного сектора может помешать отсутствие сертификатов регуляторов в сфере информационной безопасности. На момент написания статьи ведутся работы по сертификации.
Kaspersky EDR
Данное решение предоставляет более широкий спектр инструментов для анализа инцидентов, а при интеграции с KATA превращается во многофункциональное средство противодействия целенаправленным атакам как на уровне рабочих мест и серверов, так и на уровне сети, но, в свою очередь, требует более серьёзного подхода к аппаратному обеспечению и более квалифицированного персонала.
Рисунок 6. Схема работы решения Kaspersky EDR
Рисунок 7. Схема централизованного реагирования на инциденты в Kaspersky EDR
Kaspersky EDR поддерживает работу с EPP-решениями сторонних производителей, а также работает со встроенной песочницей, обеспечивающей более глубокий анализ запускаемых приложений в сравнении с Kaspersky Sandbox, и сопоставляет события с матрицей тактик и техник злоумышленников MITRE ATT&CK для детального расследования.
Рисунок 8. Результат проверки файла в песочнице Kaspersky EDR
Рассматриваемое решение поддерживает взаимодействие с сетевыми сенсорами в составе платформы KATA, анализ сетевого, почтового и веб-трафика; также присутствует возможность взаимодействия с SIEM-системами. Для дальнейшего блокирования вредоносных действий сформированные вердикты могут направляться в экземпляры Kaspersky Security для почтовых серверов и для интернет-шлюзов, выполняющие роль сенсоров и позволяющие автоматически реагировать на найденные платформой KATA более сложные угрозы на сетевом уровне, а также взаимодействовать со сторонними сетевыми устройствами. Интеграция Kaspersky EDR с SIEM-системами помогает последним в отсеивании нерелевантных событий для последующей корреляции с иными источниками данных и дальнейшего расследования, тем самым предоставляя сведения о тех обнаруженных угрозах, на которые действительно необходимо обращать внимание.
Рисунок 9. Интеграция с SIEM-системой в Kaspersky EDR
Что касается сбора данных с сетевых сенсоров, то решение Kaspersky EDR в составе платформы KATA позволяет дополнять информацию об инцидентах сведениями по сетевому трафику, выявляя подозрительную активность по сетевым протоколам и при необходимости анализируя объекты, обнаруженные как сторонними системами, так и другими продуктами «Лаборатории Касперского».
Рисунок 10. Информация об обнаружении в Kaspersky EDR с описанием, рекомендациями и сопоставлением с базой знаний MITRE ATT&CK
Kaspersky EDR поддерживает полный спектр возможностей централизованного мониторинга, детального анализа первопричин и взаимодействия с рабочими станциями организации, а также позволяет производить гибкую настройку критериев поиска инцидентов из области информационной безопасности.
Рисунок 11. Система гибкого построителя запросов в Kaspersky EDR для проактивного поиска угроз
KATA с Kaspersky EDR осуществляет анализ данных и обнаружение угроз с помощью технологий, составляющих единую платформу механизмов детектирования, в состав которой входят песочница, система обнаружения вторжений, URL-репутация, взаимодействие с Kaspersky Security Network и порталом Kaspersky Threat Intelligence, антивирусное ядро, средства работы с индикаторами компрометации и индикаторами атак (IoA), иные компоненты. Интерфейс рассматриваемого решения помимо представления списка задач и действий позволяет уточнить информацию по каждой угрозе в соответствии с проверками всех встроенных аналитических механизмов платформы.
Рисунок 12. Обнаружение угроз в Kaspersky EDR на платформе КАТА различными встроенными детектирующими механизмами
Решение предоставляет рекомендации по расследованию и реагированию: например, найти похожие обнаружения или события, проверить объект на портале Kaspersky Threat Intelligence, создать правило запрета, изолировать машину и пр.
Рисунок 13. Рекомендации в Kaspersky EDR
Дополнительно решение позволяет создавать собственные правила обнаружения на основе YARA- и IDS-правил, IoC, IoA.
Рисунок 14. Процесс добавления пользовательских правил IoA в Kaspersky EDR
Kaspersky EDR зарегистрирован в реестре российского программного обеспечения и имеет сертификаты регуляторов в сфере информационной безопасности, поэтому может быть рассмотрен для приобретения государственными организациями.
Расплачиваться за более широкую функциональность приходится тем, что для полноценного развёртывания потребуются серверы с более мощным наполнением. Возможна установка компонентов на виртуальные ресурсы. Подробно с аппаратными и программными требованиями можно ознакомиться по ссылке.
Детальное сравнение Kaspersky EDR и «Kaspersky EDR для бизнеса Оптимальный»
Критерий | Kaspersky EDR для бизнеса Оптимальный | Kaspersky EDR |
Предложение от «Лаборатории Касперского» | «Kaspersky Endpoint Security для бизнеса Расширенный» (EPP) со включённой базовой EDR-функциональностью | Многофункциональный EDR-инструментарий, который может работать с любым продуктом «Kaspersky Security для бизнеса» через единый агент, а также с «Kaspersky Security для виртуальных и облачных сред» и сторонними решениями для защиты конечных точек (EPP) |
Целевая аудитория | Малые и средние предприятия с невысоким уровнем компетенций в ИБ или ограниченными ресурсами | Средние и крупные предприятия с быстро формирующимся или полностью сформированным опытом обеспечения ИБ |
Противодействие угрозам | От распространённых угроз до ряда усовершенствованных, таких как неизвестные шифровальщики, бесфайловые угрозы и др. | Любые типы угроз, в том числе сложные, комплексные атаки, угрозы уровня APT |
Поддерживаемые операционные системы | Windows | Windows; внедрение поддержки Linux-систем запланировано на I квартал 2021 года, macOS — на 2021 г. |
Формат использования | На предприятии, в облаке | На предприятии; поддержка облачной модели запланирована на 2021 год |
Аппаратные требования | Низкие | Требуется развёртывание сервера |
Функциональность EPP | Включена функциональность «Kaspersky Endpoint Security для бизнеса Расширенный» | Работает совместно с любыми продуктами линейки «Kaspersky Security для бизнеса», «Kaspersky Security для виртуальных и облачных сред» и сторонними EPP |
Совместная работа с EPP других вендоров | Не поддерживается | Поддерживается |
Обнаружение массовых угроз и ряда сложных | Используются детектирующие компоненты «Kaspersky Endpoint Security для бизнеса Расширенный» | Могут использоваться детектирующие компоненты «Kaspersky Security для бизнеса» или стороннего EPP |
Возможность добавления собственных детектирующих логик | Только создание IoC из результатов детектирования в «Kaspersky Endpoint Security для бизнеса Расширенный» | Поддержка пользовательских IoC и IoA, а также совместное с платформой КАТА создание YARA- и IDS-правил |
Глубокий анализ подозрительных файлов | Обеспечивается при интеграции с Kaspersky Sandbox | Присутствует встроенная песочница |
Проактивный поиск угроз (Threat Hunting) | Не поддерживается | Поддерживается |
Предоставление информации по обнаружению | Поддерживается | Поддерживается (более детальная информация) |
Анализ с использованием IoC | Поддерживается | Поддерживается |
Доступ к Threat Intelligence Portal | Используется Open Threat Intelligence Portal | Используется Kaspersky Threat Intelligence Portal |
Сопоставление с базой знаний тактик и техник злоумышленников MITRE ATT&CK | Не поддерживается | Поддерживается |
Ручная отправка файлов на анализ в песочницу | Поддерживается (требуется лицензия Kaspersky Sandbox) | Поддерживается |
Ретроспективный анализ | Не поддерживается | Поддерживается |
Базовый инструментарий цифровой криминалистики | Не поддерживается | Поддерживается |
Автоматическое реагирование | По результатам детектирования в «Kaspersky Endpoint Security для бизнеса Расширенный», а также при обнаружении ранее созданных IoC | Автоматическая блокировка на хостах по результатам детектирования в песочнице на уровне сети при работе с платформой KATA |
Запрет запуска файла | Поддерживается | Поддерживается |
Обеспечение сетевой изоляции | Поддерживается | Поддерживается |
Дополнительные действия по реагированию (запуск файла / скрипта, остановка процесса, работа с карантином, удаление файла) | Поддерживается | Поддерживается |
Предоставление рекомендаций по расследованию и реагированию | Не поддерживается | Поддерживается |
Выводы
В статье мы сравнили продукты Kaspersky EDR и «Kaspersky EDR для бизнеса Оптимальный». Оба инструмента позволяют осуществить переход от традиционных превентивных механизмов к более актуальным методам противодействия киберугрозам, предоставляя более широкий спектр инструментов для обнаружения и устранения угроз в информационной инфраструктуре предприятия.
Kaspersky EDR представляет собой уже признанный на международном рынке продукт с широкой функциональностью для сбора и анализа событий по информационной безопасности, поиска и обработки инцидентов на рабочих станциях.
Основные достоинства Kaspersky EDR:
- Победитель Gartner Peer Insights Customers’ Choice в категории EDR-решений в 2020 году, технологический лидер на рынке EDR-решений по результатам исследования «2020 SPARK Matrix» от Quadrant Knowledge Solutions.
- Взаимодействие с широкими возможностями платформы KATA.
- Поддержка работы с EPP-решениями других производителей.
- Наличие гибкой системы построения запросов для проактивного поиска угроз.
- Возможность ретроспективного анализа, сопоставление событий с базой знаний тактик и техник злоумышленников MITRE ATT&CK.
- Создание пользовательских политик обнаружения.
- Наличие сертификатов ФСБ и ФСТЭК России, присутствие в реестре отечественного программного обеспечения.
«Kaspersky EDR для бизнеса Оптимальный» — облегчённая версия Kaspersky EDR, которая представляет собой дополнение к средству защиты рабочих станций «Kaspersky Endpoint Security для бизнеса Расширенный».
Основные достоинства «Kaspersky EDR для бизнеса Оптимальный»:
- Отсутствует необходимость дополнительного развёртывания продукта в том случае, если в инфраструктуре уже применяется «Kaspersky Security для бизнеса».
- Интуитивно понятный интерфейс и удобство использования.
- Наличие базовых функций EDR-решения.
- Не требует больших затрат на обновление серверного оборудования.