Обзор решения Kaspersky Threat Management and Defense по защите от целевых атак

Обзор решения Kaspersky Threat Management and Defense по защите от передовых угроз и целенаправленных атак

Обзор решения Kaspersky Threat Management and Defense по защите от передовых угроз и целенаправленных атак

В 2018 г. вышла новая версия платформы по обнаружению и противодействию целенаправленным атакам от «Лаборатории Касперского» Kaspersky Anti Targeted Attack (KATA), интегрированная с новым продуктом по обнаружению и реагированию на передовые угрозы на рабочих местах Kaspersky Endpoint Detection and Response (KEDR). Вместе они составляют основу комплексного решения Kaspersky Threat Management and Defense (KTMD). В статье расскажем о концепции применения KTMD и о том, чем полезно его внедрение, а также объясним, в чем преимущества решения в свете актуального сейчас законодательства о КИИ и ГосСОПКА.

 

  1. Введение
  2. Как работает платформа Kaspersky Anti Targeted Attack
  3. Как работает Kaspersky Endpoint Detection and Response
  4. Взаимодействие Kaspersky Anti Targeted Attack и Kaspersky Endpoint Detection and Response
  5. Сопутствующие сервисы «Лаборатории Касперского»
  6. Выводы

Введение

«Лаборатория Касперского» известна во всем мире не только как производитель антивирусных решений, но еще и как глобальный центр компетенций по исследованию комплексных угроз и сложных целенаправленных атак. Так, специалисты компании сыграли важную роль в обнаружении и аналитике самых знаменитых из них, в том числе: Stuxnet, RedOctober, Flame, Duqu, Carbanak. Поэтому совершенно логичным выглядит появление собственных разработок, ориентированных на обнаружение целенаправленных атак. Первым пазлом в картине стала платформа Kaspersky Anti Targeted Attack (KATA), выведенная на рынок в 2016 году. Затем уже в 2018 году был представлен Kaspersky Endpoint Detection and Response (KEDR), вместе c KATA составивший технологическую основу единой платформы, которая с применением ряда профессиональных сервисов «Лаборатории Касперского» в зависимости от потребности каждой конкретной организации и образует комплексное решение Kaspersky Threat Management and Defense (KTMD).

Современные способы проведения атак, в том числе с применением техник APT, представляют собой одну из наибольших опасностей для компаний. В основе адаптивной стратегии обеспечения безопасности, предлагаемой «Лабораторией Касперского», лежит циклическое выполнение действий в четырех основных областях: предотвращение, обнаружение, реагирование и прогнозирование. Именно такой подход вендор и имплементирует в своем решении KTMD на базе KATA и KEDR.

Рисунок 1. Стратегия обеспечения безопасности предприятия от «Лаборатории Касперского»

Платформа Kaspersky Anti Targeted Attack позволяет автоматизировать процесс сбора данных, сократить ручное обнаружение угроз и автоматизировать процесс анализа найденных инцидентов, используя новейшие технологии, глобальную аналитику и возможность корреляции событий на базе машинного обучения. За счет полного контроля и проверки сетевого трафика «на лету» KATA дает полное представление о том, что происходит в масштабах даже географически распределенной корпоративной IT-инфраструктуры.

Главным свойством Kaspersky Endpoint Detection and Response является ориентация на проактивное выявление проникающих в организацию новых угроз непосредственно на конечных рабочих станциях и серверах путем анализа событий в так называемой «серой зоне» (элементы инфраструктуры или процессы, которые однозначно не отнесены к доверенным или вредоносным), где могут располагаться новые, ранее не идентифицированные заражения.

KATA и KEDR могут лицензироваться по-разному — как единая платформа или же поставляться по отдельности. Оба продукта в рамках общей концепции и задач имеют унифицированный интерфейс управления, единый центр анализа, обработки инцидентов и корреляция событий, а также базу вердиктов и песочницу. Все это позволяет эффективно использовать преимущества от внедрения обоих решений и максимально оперативно реагировать на возникающие инциденты информационной безопасности.

Важно отметить, что KATA и KEDR в составе решения KTMD не замещают традиционные продукты по защите конечных рабочих станций, серверов и почтовых шлюзов, а дополняют их, образуя единую систему противодействия сложным угрозам путем мониторинга, поиска новых угроз и моментального реагирования на них.

Как работает платформа Kaspersky Anti Targeted Attack

Kaspersky Anti Targeted Attack (KATA) — это платформа, которая является частью адаптивного, интегрированного подхода к корпоративной безопасности, предлагаемого «Лабораторией Касперского». Платформа осуществляет мониторинг сетевого трафика в режиме реального времени, проводит анализ поведения подозрительных объектов в песочнице и позволяет проактивно защищать элементы инфраструктуры (сеть, рабочие места, глобальная среда), предоставляя подробную картину того, что происходит в масштабе всего предприятия. KATA обнаруживает комплексные угрозы практически в режиме реального времени и помогает в расследовании произошедших инцидентов информационной безопасности.

Рисунок 2. Функциональные компоненты Kaspersky Anti Targeted Attack Platform

KATA автоматически агрегирует данные со всей инфраструктуры организации за счет проверки сетевого трафика в режиме реального времени, что дает полное представление о том, что происходит в масштабах даже географически распределенной корпоративной сети. Сбор данных может осуществляется по протоколам SPAN, ICAP, POP3S или SMTP, также объекты для проведения анализа могут извлекаться как из сторонних систем, так и из иных продуктов «Лаборатории Касперского» (Kaspersky Security Mail Gateway — KSMG, Kaspersky security for Linux Mail Server — KLMS, в Kaspersky Security для бизнеса — KES). 

Непосредственно для выявления признаков заражений в полученных данных в KATA используется комплекс  взаимодополняющих технологий: поиск аномалий в сетевом трафике с помощью сформулированных IDS правил экспертами «Лаборатории Касперского» по анализу угроз, ориентированных на обнаружение следов сложных атак в сети, Antimalware engine (Антивирусный движок), Sandbox (Песочница), Threat intelligence services (Интеграция с глобальной базой знаний об угрозах), Targeted attack analyzer (Анализатор целенаправленных атак), YARA engine (Механизм обработки специализированных YARA-правил), Risk score engine (Модуль аналитики безопасности исполняемых под Android APK-пакетов).

Для корреляции инцидентов, поиска индикаторов компрометации и обнаружения самых сложных и запутанных целевых атак KATA объединяет данные c сети и конечных точек, а также использует передовую песочницу и проводит глубокий анализ угроз с применением технологий машинного обучения. Собирая общую картину инцидента из разрозненных данных, платформа формирует детальное представление обо всей цепочке спланированной злоумышленниками атаки. Это позволяет обнаруживать угрозы на самых ранних этапах и комплексно реагировать на инциденты любой сложности.

Стоит отдельно отметить используемую в KATA песочницу, позволяющую в автоматическом режиме параллельно запускать и изучать потенциально опасные объекты внутри изолированных виртуальных машин  и тем самым оценивать новые угрозы. Песочница создавалась и совершенствовалась параллельно с  непрерывным процессом разработки линейки решений «Лаборатории Касперского», которая продолжительное время (свыше десяти лет), была и есть внутренним инструментом по глубокому анализу угроз внутри исследовательского центра «Лаборатории Касперского».

KATA успешно взаимодействует и интегрируется с уже существующими системами на предприятиях, позволяя отправлять данные о событиях взлома или утечки — в SIEM-систему, а также дополнять периметровые средства защиты новым контекстом и вердиктами по обнаруженным угрозам. Эти вердикты, например, могут направляться в межсетевые экраны (FW/NGFW), в почтовые шлюзы (SEG, в том числе и в Kaspersky Secure Mail Gateway — KSMG) и в решения по защите рабочих мест (EPP, в том числе и в Kaspersky Security для бизнеса).  

Как работает Kaspersky Endpoint Detection and Response

Решение Kaspersky Endpoint Detection and Response (KEDR) позволяет обнаруживать инциденты безопасности, локализовать их на рабочем месте таким образом, чтобы можно было удаленно контролировать сетевой трафик и выполнение процессов, проводить расследования и восстанавливать рабочие места в том состоянии, в каком они были до заражения.

Рисунок 3. Возможности Kaspersky Endpoint Detection and Response

В противовес традиционным защитным средствам, которые зачастую сводятся к полной очистке системы и восстановлению из резервных образов, KEDR содержит обширный набор автоматизированных мер, позволяющих выстраивать комплексный подход к реакции на сложные угрозы.

Рисунок 4. Схема работы Kaspersky Endpoint Detection and Response

В KEDR реализован быстрый поиск по централизованной базе угроз и индикаторов компрометации (IoC). Это позволяет добавить проактивности в действия службы ИБ, так как вместо пассивного ожидания уведомлений специалисты могут самостоятельно искать и блокировать угрозы, проверяя конечные устройства на аномалии и нарушения безопасности.

Разработанная для всего решения KTMD собственная единая подсистема машинного обучения внедрена и доступна в KEDR (равно как и в KATA). Она представляет собой анализатор целевых атак (Targeted Attack Analyzer), который позволяет строить поведенческие паттерны и выявлять отклонения в работе конечных машин и процессов. Благодаря этому можно обнаружить потенциальное вторжение или уже развивающуюся атаку. Кроме того, данный модуль предоставляет возможность соотносить вердикты от разных технологий анализа с ретроспективой и данными, поступающими в режиме реального времени, что дает больше фактов в копилку принятия решений о вредоносности той или иной активности.

KEDR, в зависимости от потребностей конкретного заказчика, может включать в себя и описанную в предыдущем разделе уникальную песочницу (такую же, как в KATA) собственной разработки, которая позволяет автоматически забирать объекты с рабочих станций для глубокого анализа, при этом не передавая сведений за пределы периметра корпоративной среды.

Решение KEDR и КАТА совместимо с широким спектром сторонних средств безопасности, оно способно обогащать дополнительной аналитикой центр управления информационной безопасности организации с целью принятия более релевантных и оперативных решений. Например, при построении собственного центра управления и реагирования на угрозы информационной безопасности (SOC) логичным выглядит использование описанных возможностей для помощи в корреляции событий и отслеживании подозрительной активности на рабочих местах. А в случае интеграции с другими защитными решениями класса EPP, например, EDR позволяет проводить дополнительные проверки уведомлений о потенциальных инцидентах.

Взаимодействие Kaspersky Anti Targeted Attack и Kaspersky Endpoint Detection and Response

Работа с KATA и KEDR осуществляется через удобный, интуитивно понятный браузерный интерфейс, в котором специалисты службы безопасности могут полностью управлять всем циклом управления угрозами и принятия ответных мер: обнаружение, расследование, противодействие, уведомления и подготовка отчетов.

Рисунок 5. Интерфейс Kaspersky Anti Targeted Attack и Kaspersky Endpoint Detection and Response

Платформа KATA/KEDR может также быть интегрирована и автоматически обмениваться вердиктами с другими защитными решениями «Лаборатории Касперского». Kaspersky Private Security Network, Kaspersky Secure Mail Gateway, Kaspersky Security для бизнеса с целью установления связей на всех уровнях, что позволит применять своевременные меры реагирования сразу после обнаружения инцидента и обеспечить комплексную защиту от сложных угроз и целевых атак.

Рисунок 6. Синергия технологий и сервисов «Лаборатории Касперского» внутри Kaspersky Threat Management and Defense

Как было отмечено ранее, KEDR может поставляться как вместе с KATA, так и отдельно от него. Причем благодаря единому интерфейсу управления впоследствии легко докупить одну из двух недостающих лицензий и сразу же получить полный набор функций объединенных решений и пользоваться всеми преимуществами единой интегрированной платформы по противодействию передовым угрозам и целенаправленным атакам, охватывая как уровень сети, так и рабочие места и серверы.

Предлагаемые сервисы «Лаборатории Касперского»

В дополнение к KATA и KEDR и для достижения максимальной эффективности их применения «Лаборатория Касперского» предлагает следующие экспертные сервисы и профессиональные услуги:

  • Kaspersky Managed Protection (KMP) —  круглосуточный сервис мониторинга, анализа событий ИБ и выявления инцидентов (система аутсорсингового SOC, ориентированная на анализ сложносоставных инцидентов и ручной поиск угроз (Threat Hunting));
  • сервисы по цифровой криминалистике, анализу вредоносных программ и реагированию на инциденты (Kaspersky Incident Response);
  • предоставление потоков данных об угрозах (Threat Data Feeds), аналитических отчетов об APT и других атаках (Threat Intellegence Reports), а также онлайн-доступа к полной базе знаний «Лаборатории Касперского» об угрозах, доверенных объектах и различных взаимосвязях между ними.

В рамках оказания сервиса KMP эксперты «Лаборатории Касперского» осуществляют мониторинг работы установленных на предприятии продуктов Kaspersky Security для бизнеса, KATA и KEDR для выявления активных атак. Это достигается, в частности, за счет проактивного сбора данных сетевой и системной активности. 

Полученные данные обогащаются информацией из глобальной репутационной базы знаний Kaspersky Security Network — KSN, накопленной за все время деятельности «Лабораторией Касперского», что позволяет выявлять самые современные тактики и техники злоумышленников. При этом, когда в компании внедрены особые корпоративные политики и действуют повышенные требования к передаче любых данных за пределы периметра корпоративной инфраструктуры, предусмотрена возможность развернуть локальное исполнение KSN — Kaspersky Private Security Network (KPSN), которая содержит такие же актуальные сведения об угрозах информационной безопасности в мире, но не отсылает никаких сведений из организации в облако.

Таким образом, применение решений KATA и KEDR вместе с набором предлагаемых «Лабораторией Касперского» сервисов помогает построить в организации действительно полную и по-настоящему работоспособную комплексную систему по противодействию сложным угрозам и целенаправленным атакам.

Кроме того, специалисты «Лаборатории Касперского» в рамках оказания сопутствующих услуг готовы не только помогать с расследованием инцидентов в компании, готовить аналитические справки и отчеты разного уровня по всевозможным направлениям и проводить соответствующее обучение по следующим темам:

  • Тренинг по работе с системами. 
  • Анализ и обратная разработка вредоносных программ. 
  • Цифровая криминалистика.
  • Реагирование на инциденты.
  • Написание и использование YARA-правил и другие.

Выводы

Опыт последних лет доказывает, что для противостояния современным угрозам безопасности, а тем более сложным целенаправленным атакам, классических средств защиты вроде антивируса и межсетевого экрана может становится уже недостаточно. Согласно исследованию «Лаборатории Касперского», IT-риски крупных компаний, затраты на ликвидацию последствий и восстановление систем уже через неделю после инцидента увеличиваются в среднем на 200%.

Важно отметить, что реализованные в решении Kaspersky Threat Management and Defense технологии направлены на соответствие федерального закона № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации». Так, например, решение Kaspersky Anti Targeted Attack сертифицировано ФСТЭК России на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий. Знаковым событием в рамках процессов, связанных с ГосСОПКА, стало получение в феврале 2018 года сертификата ФСБ на соответствие требованиям к средствам обнаружения компьютерных атак класса В, что позволит заказчикам «Лаборатории Касперского» легитимно внедрять решения согласно законодательству о КИИ.

Именно поэтому стратегия «Лаборатории Касперского» по созданию единого интегрированного решения по мониторингу и управлению угрозами Kaspersky Threat Management and Defense на базе своих решений Kaspersky Anti Targeted Attack, Kaspersky Endpoint Detection and Response и сопутствующих сервисов является логичным ответом на современные вызовы кибербезопасности, а с технологической точки зрения такого рода продвинутые комплексные решения уже задают тренды рынку информационной безопасности. Так, у описанного решения на текущий момент уже более 150 пилотных внедрений на отечественных предприятиях. Кроме того, благодаря глобальному вектору развития «Лаборатории Касперского» платформа успешно продается не только в России, но и во многих других странах присутствия вендора.

Уже совсем скоро мы намерены детально ознакомиться с продуктами KATA и KEDR, протестировать их работу на практике. Следите за нашими публикациями.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru