ЛК обновила защиту виртуальных сред и реализовала поддержку VMware NSX

ЛК обновила защиту виртуальных сред и реализовала поддержку VMware NSX

ЛК обновила защиту виртуальных сред и реализовала поддержку VMware NSX

«Лаборатория Касперского» представила обновленную версию решения Kaspersky Security для виртуальных сред. Благодаря новым функциям защита от киберугроз в режиме реального времени теперь обеспечивается не только на подключенных, но и на выключенных виртуальных машинах.

Таким образом одинаковый уровень информационной безопасности поддерживается во всей виртуальной инфраструктуре. Кроме того, обновленное решение полностью совместимо с новейшей платформой виртуализации VMware NSX и защищает каждую машину и каждую сеть без воздействия на их производительность.

Усовершенствованное взаимодействие центра обработки данных (ЦОД) на базе VMware NSX с защитным продуктом Kaspersky Security для виртуальных сред открывает перед пользователями и системными администраторами новые возможности. Так, решение «Лаборатории Касперского» распознает и предотвращает сетевые вторжения (IDS/IPS), сложные угрозы и уязвимости нулевого дня на всех виртуальных хостах под управлением VMware NSX. При этом процесс развертывания всех компонентов защитного решения полностью автоматизирован, а у каждой виртуальной машины появляются индивидуальные и точно настроенные средства защиты. 

Также Kaspersky Security для виртуальных сред и платформа VMware NSX обмениваются тегами безопасности, которые могут изменяться по заданным правилам, например, при обнаружении нового типа вредоносного ПО в сети. Такое постоянное взаимодействие между виртуальной инфраструктурой и защитным решением означает, что ЦОД может в режиме реального времени реагировать на любой инцидент информационной безопасности и при необходимости автоматически изменять конфигурацию всей виртуальной сети. В то же время функционал проверки включенных и выключенных виртуальных машин позволяет обеспечить защиту всего корпоративного программно-определяемого ЦОД вне зависимости от технологических и бизнес-процессов, в нем протекающих. 

«Производительность и безопасность виртуальных сред представляют собой дилемму для IT-специалистов с тех пор, как виртуализация начала «завоевывать» корпоративный сектор. Наше сотрудничество с VMware позволило решить эту дилемму без каких-либо «жертв» с обеих сторон. Обновленное решение Kaspersky Security для виртуальных сред обеспечивает высокий уровень кибербезопасности виртуальной инфраструктуры и не оказывает практически никакого воздействия на производительность платформы VMware NSX. В итоге те средства защиты, которые мы теперь предлагаем для VMware NSX и VMware vShield Endpoint, позволяют IT-специалистам решать любые задачи по обеспечению безопасности виртуальных машин и сетей», – рассказывает Виталий Мзоков, руководитель направления защиты ЦОД и облачных сред «Лаборатории Касперского».

«Новая версия решения Kaspersky Security для виртуальных сред поддерживает полную интеграцию с платформой VMware NSX – это означает, что наши пользователи могут продолжать задействовать все возможности виртуализации и при этом быть уверенными в надежной защите своей виртуальной инфраструктуры. Мы уже давно сотрудничаем с «Лабораторией Касперского» и рады, что с каждым новым обновлением наших решений они становятся все более эффективными и удобными для пользователей», – отмечает Александр Василенко, глава представительства компании VMware в России и СНГ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru