Сертификат AM Test Lab
Номер сертификата: 224
Дата выдачи: 25.06.2018
Срок действия: 25.06.2023
- Установка и первоначальная настройка KATA и KEDR
- Обнаружение атак в Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response
- Реагирование на угрозы в Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response
- Управление компонентами и возможности интеграции
- Соответствие требованиям регуляторов и результаты независимых тестов
- Техподдержка «Лаборатории Касперского» в рамках комплекса KTMD
- Экспертные сервисы по кибербезопасности «Лаборатории Касперского»
- Выводы
Первая часть статьи — Обзор Kaspersky Threat Management and Defense (KTMD) — комплекса программных средств и сервисов по защите от передовых угроз и целенаправленных атак.
Установка и первоначальная настройка KATA и KEDR
Ввиду того, что серверная часть решения построена на базе стандартной CentOS, после установки для инициализации компонентов (Sandbox, Central Node, Network Sensor) на каждый из них требуется зайти терминально, например, с помощью PuTTY.
Рисунок 1. Конфигурация серверных компонентов KATA/KEDR
Привычного для начального конфигурирования сетевых устройств «DOS’овского» интерфейса вполне хватает, чтобы настроить сетевые параметры и протоколы съема трафика.
После выполнения процедуры инициализации появляется возможность доступа к уже более приятному инструменту работы с решением — веб-интерфейсу. Основное окно работы — это вкладка Мониторинг. Оно является ситуационным центром для офицера информационной безопасности, здесь представлены дашборды, позволяющие оценить текущую ситуацию по обнаружению угроз. Причем область отображения данных можно гибко настраивать, удалять и перемещать графики, регулировать масштаб.
Рисунок 2. Дашборды мониторинга в KATA/KEDR
Среди прочего, крайне полезная и информативная функция — отображение графиков «Топ-10» применительно к наиболее часто встречающимся доменам, почтовым адресам или IP, а на графике «Мониторинг работоспособности модулей и компонентов» всегда можно получить данные о «здоровье» платформы в целом.
Рисунок 3. Статус компонентов
Добавление, изменение и управление пользователями производится в соответствующем меню. Примечательно, что по умолчанию доступны сразу три предустановленные учетные записи: Администратор, Старший сотрудник службы информационной безопасности и Сотрудник службы информационной безопасности. При этом различие между последними двумя не только в том, что под учетной записью с ролью Старший сотрудник (как и из-под Администратора) возможно добавлять, включать и отключать учетные записи пользователей, но также и изменять набор доступных им функций при работе с политиками и задачами. Наличие такого расширенного спектра функций обусловлено опытом практических внедрений, в ходе которых, например, требовалось разрешить мониторинг подозрительной активности в отношении VIP-пользователей компании только для CISO, но не для его подчиненных.
Рисунок 4. Работа с пользователями в KATA/KEDR
Обнаружение атак в Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response
Как мы уже отмечали ранее, платформа собирает данные с различных сенсоров и из подключенных источников и отображает обнаруженные в них признаки целевых атак и вторжений в виде интерактивной таблицы обнаружений. Причем если сразу несколько аналитических движков детектировали одну и ту же угрозу, она попадает с повышенным приоритетом во вкладку «Комплексные обнаружения».
Рисунок 5. Возможности по обнаружению атак в KATA/KEDR
Для удобства поиска детектов предусмотрена гибкая система фильтров, используя которую можно отсортировать обнаружения для отображения в таблице по одной или нескольким графам или выполнить поиск по указанным показателям. Можно создавать персонализированные фильтры, сохранять и удалять (хранятся локально), а также запускать поиск обнаружений по условиям, заданным в них ранее. В каждое обнаружение можно «провалиться» и посмотреть детальную информацию о нем.
Рисунок 6. Информация об обнаружении в KATA/KEDR
В зависимости от конкретной технологии решения, которая обнаружила угрозу, доступны подробные результаты соответствующей проверки. Так, во время проведения тестирования мы обнаружили пришедший по электронной почте вредоносный файл agreement.doc, проверка которого в песочнице показала наличие на борту известного эксплойта. Кстати, к одной платформе, развернутой на предприятии, можно подключать сколько угодно много песочниц, при этом конфигурирование каждой из них осуществляется независимо друг от друга посредством собственного интерфейса через прямой консольный доступ.
Рисунок 7. Результаты проверки файла в песочнице
Одна из самых интересных и интерактивных функций решения — это «Поиск угроз».
Рисунок 8. Работа со списком угроз в KATA/KEDR
Для формирования поисковых запросов можно использовать три режима: режим конструктора, режим исходного кода и режим контекстного поиска. В режиме конструктора создание и изменение поисковых запросов осуществляется помощью раскрывающихся списков с вариантами типа значения поля и операторов. Для каждого типа значения поля доступен свой релевантный набор операторов сравнения. Например, при выборе типа значения поля EventType будут доступны операторы = и !=. Многие выражения и поля интуитивно понятны, а после изучения соответствующего раздела документации работа с такой «умной поисковой строкой» становится не такой уж сложной задачей. В режиме исходного кода поисковые запросы задаются с помощью специальных текстовых команд, синтаксис которых приближен к языкам программирования. Пример такой команды:
EventType = "filechange"
AND (
FileName CONTAINS "worm"
OR UserName = "director"
)
Самый интеллектуальный режим — контекстного поиска, используя его можно прямо из каждого детекта «провалиться» в поиск «похожих» событий на конечных точках.
Рисунок 9. Пример поиска угроз в KATA/KEDR
Обнаружив и выделив интересующую угрозу, далее возможно изучить все детали по ней. Причем данные о событии на примере обнаружения вредоносного файла представляют собой не просто сухую текстовую информацию, но и включают в себя интерактивную карту зависимостей, а также связанных между собой конкретных действий (создание, изменение файла, установка удаленного соединения, загрузка модулей, запуск процесса и т. п.).
Рисунок 10. Детализация событий в KATA/KEDR
Реагирование на угрозы в Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response
На этапе расследования из централизованного интерфейса поддерживается возможность по любому параметру (MD5, URL, путь файла и пр.) запустить задачу на автоматическое исполнение команды, результатом которой будет, например, удаление файла, завершение процесса, помещение файла в карантин, запуск скрипта или сторонней программы.
Рисунок 11. Реагирование на события в KATA/KEDR
Весь пул обнаруженных угроз, в ответ на которые принято решение принимать неотложные меры, попадает в раздел «Задачи». Например, в ходе тестирования нам попался вредоносный объект вида Trojan-PSW, запакованный внутри архива .zip. При этом интерфейс этого раздела, помимо отображения списка задач и предпринятых действий, позволяет здесь же предоставить уточняющую информацию по каждой угрозе с учетом проверок всеми встроенными движками платформы. Когда каждый из них выносит негативный вердикт, сомнений в опасности данного обнаружения уже не остается, применяется реакция «удалить» или «отправить в карантин». Мы, обладая профессиональной паранойей, удалили вредонос, позже проверили и подтвердили результат, зайдя локально на рабочую станцию.
Рисунок 12. Работа с задачами в KATA/KEDR
Для предотвращения повторных заражений по уже известным параметрам обнаруженных ранее вредоносных активностей, решение позволяет создавать автоматические политики. Например, можно управлять запретами запуска небезопасных файлов на выбранных хостах. Файлы идентифицируются по хешу с помощью алгоритмов хеширования MD5 и SHA256. Можете создавать, удалять и изменять запреты. Все изменения в политиках «прилетают» на рабочие станции после установки авторизованного соединения между локальными сенсорами и сервером управления. Если соединение с хостами по каким-то причинам временно отсутствует, продолжают действовать старые политики, кроме того, изменения в политиках на лету не влияют на уже запущенные процессы.
Рисунок 13. Процесс добавления политик в KATA/KEDR
Идея с максимально полной автоматизацией реагирования выглядит крайне актуальной. В ходе тестирования сотрудники «Лаборатории Касперского» рассказали нам о больших планах по развитию этой функциональности, пообещав добавить ее в следующих релизах.
Управление компонентами и возможности интеграции
Как мы уже отмечали, компонент Endpoint Sensors устанавливается на компьютеры и серверы под управлением Windows. В соответствующем разделе интерфейса управления можно оценить регулярность получения данных с конечных точек, на которых установлен указанный компонент, а также регулировать обновление сведений о нем. Например, сотрудники службы информационной безопасности определяют, какой период бездействия конечных станций считать нормальной активностью, чтобы своевременно принимать меры при подозрениях на несанкционированное отключение агентов. Кроме очевидной возможности поиска среди самих хостов с установленными сенсорами, по каждому из них отображается детальная информация, такая как история запрета запусков файлов, перечень хэшей, список задач, проверка по базе обнаружений.
Рисунок 14. Управление компонентами Endpoint Sensors в KATA/KEDR
Платформа является открытой к получению данных об угрозах и их описанию из разного рода источников, в том числе благодаря поддержке импорта индикаторов компрометации — IoC (набор данных о вредоносном объекте или действии в определенном виде), формат которых для корректности интеграции должен базироваться на общедоступном стандарте OpenIoC. При их загрузке и учете в проверках вероятность обнаружения может повыситься, если в результате найдутся точные совпадения данных об объекте с уже известными в IoC-файлах.
Рисунок 15. IoC-проверка в KATA/KEDR
Управление лицензиями организовано аналогично другим решениям «Лаборатории Касперского»: чтобы начать пользоваться программой, необходимо загрузить полученный от производителя файл ключа с расширением *.key. При этом нет необходимости подключения к интернету в процессе активации, что может быть важным аспектом для некоторых организаций, в которых планируется использование платформы для защиты от сложных угроз в полностью изолированном режиме, без связи с внешними сетями (согласно внутрикорпоративным политикам безопасности). К таким компаниям, например, можно отнести некоторые субъекты критической информационной инфраструктуры и ряд ведомств.
Рисунок 16. Управление лицензиями в KATA/KEDR
Возможность обогащения информацией об угрозах из различных внешних источников с целью принятия более релевантных решений, а также способность осуществлять реагирование по различным сценариям являются ключевыми особенностями платформы. Так, она способна публиковать обнаружения в SIEM-систему, которая уже используется в организации, по протоколу CEF или Syslog, при этом присутствует возможность настроить TLS-шифрование, загрузив соответствующий ключ.
Рисунок 17. Интеграция с SIEM-системой в KATA/KEDR
Соответствие требованиям регуляторов и результаты независимых тестов
«Лаборатория Касперского» является отечественным разработчиком средств информационной безопасности, и ее решения включены в реестр отечественного программного обеспечения. KATA здесь также не является исключением, что, согласитесь, немаловажный факт для многих российских заказчиков.
Решение KATA имеет сертификат ФСТЭК России на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий.
Очень важным в свете развития законодательства о безопасности критической информационной инфраструктуры стало получение KATA недавно (в феврале 2018 года) сертификата ФСБ России на соответствие требованиям к средствам обнаружения компьютерных атак класса В.
В ходе независимых тестов Advanced Threat Defense за 2017-2018, проводимых международной компанией ICSA Labs (исследовательское подразделение компании Verizon), платформа KATA показала стопроцентный результат обнаружения угроз, не допустив во время тестов ни одного ложного срабатывания.
Таким образом, KATA не только полностью готова технологически к применению на крупных и критически важных для страны предприятиях, но и позволяет реализовывать проекты по защите от сложных угроз и целенаправленных атак в полном соответствии с федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», а также согласно нормативному регулированию по вопросам подключения к ГосСОПКА.
Техподдержка «Лаборатории Касперского» в рамках комплекса KTMD
Для осуществления технической поддержки пользователей Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response, равно как и для заказчиков других своих решений, «Лаборатория Касперского» предлагает рассмотреть различные варианты соглашения о сервисном обслуживании (Maintenance Service Agreement — MSA). Стандартный уровень сопровождения клиентов уже включен в лицензию и предполагает обработку запросов в рабочие часы в порядке очереди.
Рисунок 18. Уровни расширенной поддержки «Лаборатории Касперского»
Расширенный уровень обслуживания в зависимости от потребностей компании поможет обеспечить оперативную поддержку ее систем безопасности, в том числе KATA и KEDR. «Лаборатория Касперского» — глобальный производитель, поэтому имеет региональные команды опытных сертифицированных инженеров по всему миру, которые оперативно готовы ответить на запросы и помочь в устранении инцидентов, обнаруженных как описываемой платформой, так и другими решениями, а также спланировать стратегию безопасности таким образом, чтобы минимизировать их повторение в будущем.
Экспертные сервисы по кибербезопасности «Лаборатории Касперского»
Для повышения эффективности эксплуатации Kaspersky Anti Targeted Attack Platform, Kaspersky Endpoint Detection and Response и иных своих решений вендор предлагает экспертные сервисы информационной безопасности Kaspersky Cybersecurity Services, которые входят в единый комплекс Kaspersky Threat Management and Defense.
Одним из таких сервисов является круглосуточная служба мониторинга событий безопасности Kaspersky Managed Protection (KMP), которая включает в себя:
- Высокий уровень защищенности от целевых атак и вредоносных программ при поддержке аналитиков «Лаборатории Касперского».
- Обнаружение атак, выполняемых без применения вредоносных программ (non-malware attacks) или с применением неизвестных ранее инструментов, а также эксплуатирующих уязвимости нулевого дня.
- Мгновенная защита от только что обнаруженных угроз путем автоматического обновления антивирусных баз в режиме реального времени.
- Ретроспективный анализ инцидентов, включающий данные о методах и технологиях, использованных против вас злоумышленниками.
Вендор реализует комплексный подход: у «Лаборатории Касперского» есть технологические и сервисные продукты для организации полного цикла защиты от целевых атак: подготовка —обнаружение и расследование — анализ данных — автоматизированная защита. В рамках сервиса реагирования на обнаруженный у заказчика инцидент (Incident Response) «Лаборатория Касперского» проводит глубокое исследование инцидента, в результате которого формируются более эффективные действия по устранению атаки, а также мероприятия по недопущению подобных атак в будущем.
Сервисы реагирования на инциденты (Kaspersky Incident Response) и Kaspersky Managed Protection гармонично дополняют друг друга, поскольку результативная реакция может быть определена в рамках расследования инцидентов; вместе с тем, для расследования нужны факты, которые могут быть установлены с помощью анализа событий в рамках Kaspersky Managed Protection.
Несмотря на тесную связь и преимущества интеграции, Kaspersky Managed Protection и Kaspersky Incident Response представлены в виде разных сервисов в сервисном портфеле «Лаборатории Касперского», что позволяет заказчику более гибко определить подходящее для него предложение.
В рамках KTMD может быть поставлен сервис обнаружения целевых атак (Targeted Attack Discovery), предназначенный прежде всего для компаний с низким уровнем организации операционной безопасности (или вовсе без таковой). Эксперты «Лаборатории Касперского» выявят, идентифицируют и проанализируют как активные атаки, так и произошедшие в прошлом, установят список систем, которые были скомпрометированы в ходе этих атак, помогут обнаружить вредоносную активность, найти возможные источники инцидентов и спланировать наиболее эффективные действия по устранению последствий.
Для этого выполняются следующие работы:
- Анализ ландшафта угроз, специфичных для организации;
- Глубокая проверка IT-инфраструктуры и данных (например, файлов журналов) на наличие признаков компрометации;
- Анализ исходящих сетевых соединений на предмет подозрительной активности;
- Выявление возможных источников атаки и определение, какие еще системы могли подвергнуться компрометации. Результатом проведенных в рамках сервиса работ является финальный отчет. Он содержит результаты анализа данных из внешних источников, а также описания обнаруженных атак на базе анализа собранных данных в инфраструктуре заказчика. Отчет содержит рекомендации по устранению последствий обнаруженных атак.
Кроме того, вендор предлагает услугу информирования об угрозах, в рамках которой клиентам поставляются:
- Потоки данных об угрозах (Threat Data Feeds).
- Аналитические отчеты об APT и угрозах для финансового сектора.
- Кастомизированные отчеты об угрозах, актуальных для конкретной организации или региона.
- Threat Intelligence Portal (онлайн-платформа, предоставляющая доступ к непрерывно пополняемой базе знаний об индикаторах угроз и их взаимосвязях).
- Облачная песочница.
Команда экспертов «Лаборатории Касперского», обладая большим опыт и накопленными компетенциям по борьбе с разноплановыми киберугрозами, готова провести анализ защищенности как всей корпоративной инфраструктуры компании, так и отдельных сервисов или устройств. Приведем далеко не полный список подобных услуг:
- Тестирование на проникновение;
- Анализ защищенности приложений;
- Анализ защищенности банкоматов и POS-терминалов;
- Анализ защищенности транспортной инфраструктуры;
- Анализ защищенности критичных промышленных инфраструктур;
- Анализ защищенности Internet of Things и умных технологий.
Помимо описанных сервисов, у «Лаборатории Касперского» один из самых зрелых и широких в России набор тренингов для специалистов и программ повышения осведомленности для рядовых сотрудников по вопросам информационной безопасности. Например, эксперты вендора готовы провести курс для сотрудников службы ИБ предприятия «Расследование и реагирование на инциденты с помощью платформы KTMD».
Выводы
В этом обзоре (в рамках цикла статей про подходы «Лаборатории Касперского» к построению на предприятиях эффективной стратегии по обнаружению и реагированию на сложные угрозы и целенаправленные атаки) мы на практике познакомились с работой важнейшей технологической составляющей в реализации этой стратегии — решениями KATA/KEDR.
Тестирование платформы, несмотря на множество используемых передовых технологий в ней и ориентацию на сложные угрозы, не вызвал особых трудностей. Современный интуитивно понятный интерфейс, широкие возможности интеграции и подробные руководства от производителя позволят внедрить платформу в организациях любого масштаба, а наличие сертификатов ФСТЭК России и ФСБ гарантирует соответствие таких внедрений требованиям действующего законодательства, в том числе касающегося вопросов защиты КИИ и подключения к ГосСОПКА.
C учетом высокой скорости проникновения угроз и возможности нанесения потенциального ущерба, реакция на вредоносные действия должна быть максимально оперативной. Именно поэтому крайне важно применять такие продвинутые специализированные решения, как Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response в совокупности с сервисами в рамках единого комплекса Kaspersky Threat Management and Defense. Такие решения в значительной степени автоматизируют процесс поиска вредоносных программ и вторжений в корпоративную сеть и сводят время ответных действий к минимуму, тем самым «замыкая круг» процедур обеспечения информационной безопасности, включающих не только обнаружение, расследование, но и оперативное реагирование.
Вместе с тем, набор решений и сопутствующих сервисов «Лаборатории Касперского» по защите от сложных угроз и целенаправленных атак не одинок на рынке, подобные инструменты представлены известными в индустрии информационной безопасности иностранными производителями уже несколько лет.
Отметим серьезный прогресс «Лаборатории Касперского», который за сравнительно небольшой срок развития Kaspersky Anti Targeted Attack Platform (первый анонс датирован 2016 годом) помог сделать его первым отечественным решением в своем классе, заметным на мировом рынке. За неполных 2 года разработки по сравнению с первыми релизами решение KATA представило удобный интерфейс, современные технологии обнаружения, возможность корреляции и ретроспективного анализа, в основе чего лежит динамическое машинное обучение, а также способность подключать множество источников. Но самым главным и ожидаемым, на наш взгляд, стал выход в 2018 году решения Kaspersky Endpoint Detection and Response, благодаря которому комплексная стратегия «Лаборатории Касперского» по защите организаций от сложных угроз получила важнейший недостающий фрагмент пазла — полноценный охват возможных точек проникновения и оперативное реагирование на угрозы.
Достоинства
- Наличие сертификата ФСБ России, сертификата ФСТЭК России, присутствие в реестре отечественного ПО.
- Широкие возможности по интеграции различных источников данных об угрозах (особенно — со своими решениями).
- Обширные возможности по реагированию на конечных точках, тесно интегрированные с одним из лучших в своем классе решений EPP/AV — Kaspersky Endpoint Security.
- Возможность автоматической обработки данных для выявления сложных многовекторных угроз.
- Поиск поведенческих аномалий.
- Возможность развернуть локальный частный репутационный сервис, без потери качества детектирования при соблюдении обязательного требования отключения внешних сетей в компании.
- Локальная команда инженеров и экспертов в России.
- Активация лицензии без обязательного доступа в интернет.
Недостатки
- Для модуля IDS нельзя загружать свои правила.
- Отсутствие в настоящее время блокировок в веб-трафике (отметим, что в дорожной карте у «Лаборатории Касперского» на 2019 год запланирован выпуск веб-шлюза для защиты доступа к интернет-ресурсам Kaspersky Security Web Gateway (KSWG)).
- Интеграция возможна не со всеми сторонними решениями по защите рабочих станций и с рядом ограничений.
- Удобство интерфейса управления уступает некоторым конкурентам.