Обзор Kaspersky Threat Management and Defense (KTMD) — комплекса по защите от целенаправленных атак

Обзор Kaspersky Threat Management and Defense (KTMD). Часть 1 - Основные возможности


Обзор Kaspersky Threat Management and Defense (KTMD). Часть 1 - Основные возможности

Мы детально изучили, а также протестировали инструментальную основу специализированного комплекса по противодействию передовым угрозам и целенаправленным атакам Kaspersky Threat Management and Defense, в состав которого входит два решения с единой технологической платформой, а именно Kaspersky Anti Targeted Attack Platform (KATA) — решение по обнаружению передовых угроз в сети и Kaspersky Endpoint Detection and Response (KEDR) — решение по обнаружению и реагированию на сложные угрозы на конечных точках, а также целый ряд экспертных сервисов Kaspersky Cybersecurity Services.

Сертификат AM Test Lab

Номер сертификата: 224

Дата выдачи: 25.06.2018

Срок действия: 25.06.2023

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Технологии, используемые в Kaspersky Threat Management and Defense
  3. Возможности по реагированию в рамках решения Kaspersky Endpoint Detection and Response
  4. Лицензирование и способы внедрения Kaspersky Threat Management and Defense
  5. Компоненты и системные требования Kaspersky Threat Management and Defense
  6. Установка KATA и KEDR

 

Введение

Об основных подходах и методах, заложенных в комплексе KTMD, мы уже рассказывали в одной из наших статей. Для воплощения указанной концепции на практике как раз и применяются Kaspersky Anti Targeted Attack Platform (KATA) и Kaspersky Endpoint Detection and Response (KEDR). О том, как они работают в условиях предприятия, приближенных к реальным, пойдет речь в сегодняшней статье.

В последние годы четко прослеживается устойчивый тренд на увеличение числа сложных кибератак и связанных с ними нетривиальных техник обхода злоумышленниками защитных рубежей, выстраиваемых службой информационной безопасности в компаниях. Главная опасность этих атак в том, что они тщательно подстраиваются под каждую конкретную организацию и могут быть не замечены в повседневных бизнес-процессах. Итогом может стать утечка конфиденциальных данных, простой предприятия, прямые денежные потери или удар по деловой репутации. Совершенно очевидно, что лавинообразное развитие цифровых технологий, таких как облачные сервисы, большие данные, мобильные устройства, машинное обучение, интернет вещей и их проникновение в корпоративную культуру предприятий уже не остановить. В таких условиях становится все сложнее выстраивать адаптивную политику безопасности и соответствовать требованиям регуляторов. Именно поэтому решения по выявлению имеющихся скрытых действий злоумышленников и планируемых целенаправленных атак, такие как Kaspersky Threat Management and Defense (KTMD), уже сейчас задают тренды мирового рынка информационной безопасности. Объединенные единой технологической платформой решения Kaspersky Anti Targeted Attack Platform (KATA) и Kaspersky Endpoint Detection and Response (KEDR) помогают защититься от нападения на всех его этапах, способны как обнаружить уже начавшуюся атаку, так и минимизировать ущерб от нее благодаря, в том числе, эффективному реагированию на рабочих местах. Сказанное выше совершенно не означает, что традиционные средства защиты вроде антивируса, межсетевого экрана или антиспам-фильтра нужно навсегда положить на полку. Согласно исследованиям «Лаборатории Касперского», 90% подобных угроз нейтрализуются именно такими решениями.

 

Рисунок 1. Сопоставление технологий безопасности и сложности угроз

 Сопоставление технологий безопасности и сложности угроз

 

Большинство более простых угроз действительно блокируются традиционными технологиями обеспечения безопасности, работающими на основе сигнатур или элементов эвристического анализа, однако сегодня хакеры проводят все более сложные атаки, нацеленные на конкретные компании. Современные атаки, в том числе атаки уровня Advanced Persistent Threats (APT), сегодня представляют собой реальную угрозу для предприятий.

Такого рода атаки недостаточно только обнаружить и расследовать связанные с этими атаками инциденты — службе информационной безопасности крайне важно также и реагировать на них, причем в максимально короткий срок.

В этой связи использование решений по защите рабочих мест с возможностью мониторинга активности на конечных точках в режиме реального времени и оперативного реагирования на инциденты, связанные со сложными угрозами, таких как Kaspersky Endpoint Detection and Response (KEDR), становится весьма актуальным. Таким образом, взятые на вооружение в компании KATA и KEDR, обогащенные экспертными сервисами «Лаборатории Касперского», позволяют выстраивать действительно работающую стратегию защиты от передовых угроз.

Честно признаемся, построить ИТ-инфраструктуру для эмулирования сложных атак масштаба, приближенную к реальным условиям корпорации даже средней руки, в рамках тестирования решений нам было бы крайне непросто. Поэтому для проведения испытаний мы попросили «Лабораторию Касперского» предоставить доступ к тестовой зоне. В итоге мы получили возможность на практике оценить удобство интерфейса и работоспособность ключевых функций.

 

Технологии, используемые в Kaspersky Threat Management and Defense

Решение KTMD состоит из трех функционально-смысловых блоков: сбор и агрегация данных, обнаружение (анализ данных, детектирование угроз и приоритизация вердиктов), реагирование.

 

Рисунок 2. Состав Kaspersky Threat Management and Defense

 Состав Kaspersky Threat Management and Defense

 

Для агрегации данных могут быть использованы:

  •  сетевые сенсоры, которые анализируют подаваемый на них сетевой трафик и выявляют подозрительные активности, поддерживая протоколы SPAN, ERSPAN, ICAP, POP3S или SMTP, а также при необходимости для проведения анализа могут извлекаться объекты как из сторонних систем, так и из других продуктов «Лаборатории Касперского», например, Kaspersky Secure Mail Gateway — KSMG, Kaspersky Security для Linux Mail Server — KLMS;
  • агенты рабочих мест, которые собирают сведения об активности пользователей, процессах, файловых активностях, сетевых коммуникациях и др.

Анализ данных и детектирование угроз осуществляется с помощью следующих встроенных технологий, составляющих единую платформу механизмов обнаружения для KATA/KEDR:

  • Sandbox. Передовая песочница собственной разработки (изолированная виртуальная среда для безопасного исполнения подозрительных объектов, позволяющей наблюдать за их поведением и оценивать новые угрозы), которая создавалась и совершенствовалась в результате непрерывного процесса разработки и тестирования всей линейки продуктов «Лаборатории Касперского», длившегося свыше десяти лет.
  • Intrusion Detection System (IDS). Система обнаружения вторжений. Сканирует трафик в режиме, приближенном к режиму реального времени, позволяет по предустановленным сигнатурам анализировать потоки данных на предмет аномалий.
  • Anti Malware Engine (Антивирусный движок). Сканирует получаемые от сенсоров файлы, используя сигнатурный, эвристический метод анализа, а также сведения об актуальных угрозах от KSN/KPSN.
  • URL Reputation Analyzer. Обнаруживает вредоноcные, фишинговые URL-адреса и URL-адреса, которые ранее использовались злоумышленниками для целевых атак и иных вторжений в IT-инфраструктуру организаций по всему миру.
  • Risk Score Engine (Модуль аналитики безопасности исполняемых под Android APK-пакетов). Модуль, позволяющий анализировать получаемые от сенсоров APK-файлы и проверять их различными методами, возвращая вердикт о степени вредоносности.
  • YARA Engine (Механизм обработки специализированных YARA-правил). Позволяет загружать в KATA/KEDR собственные YARA-правила для сканирования объектов. Если объект является архивом, KATA и KEDR открывает его и передает отдельные объекты для сканирования в движок YARA.
  • Certcheck (Система проверки уровня доверия к сертификатам). Данный модуль проверяет предъявленные ему подписанные сертификаты на предмет валидности и присутствия в базах подозрительных сертификатов.
  • Threat Intelligence. Модуль интеграции с глобальной базой знаний об угрозах Kaspersky Security Network (KSN). Выполняет проверку репутации файлов, доменов и URL-адресов в собственной репутационной базе знаний и предоставляет сведения о категориях веб-сайтов (например, вредоносный или фишинговый веб-сайт). Важной особенностью является то, что в случае строгих требований в компании к использованию облачных систем возможно применение полностью изолированного режима без потери качества через интеграцию с KPSN (Kaspersky Private Security Network), которое является полностью локальной версией KSN и позволяет использовать в работе все преимущества глобального репутационного центра без передачи какой-либо информации за пределы периметра организации. Благодаря этому другие модули решения получают дополнительные обогащенные данные, что повышает эффективность анализа вредоносной активности.
  • Verdict DataBase. База хранения вердиктов, полученных от всех аналитических модулей, помогающая в дальнейшем проводить пересканирование объектов в ранее полученных вердиктах и ретроспективный анализ.
  • Targeted Attack Analyzer (Анализатор целенаправленных атак). Специализированный инструмент, в основе которого лежат две технологии. Первая — это анализ поступающего потока метаинформации для построения паттернов «нормального поведения» и выявления отклонений от них. А вторая — это применение моделей на основе машинного обучения для сопоставления вердиктов от различных технологий анализа, описанных выше, с ретроспективными данными и телеметрией, поступающей в режиме реального времени, для возможности формирования единого сложносоставного инцидента с целью финального расследования и дальнейшего реагирования.

Реагирование в KATA и KEDR осуществляется следующими способами:

  • Подробности по каждому инциденту в режиме реального времени можно видеть непосредственно в консоли управления и на основании предоставленных данных и анализа можно продумывать дальнейшие шаги по нейтрализации угрозы.
  • Доставка оповещений на электронную почту.
  • Сформированные вердикты могут направляться для дальнейшего процесса блокирования в межсетевые экраны (FW/NGFW) и в решения по защите рабочих мест (EPP, в том числе и в Kaspersky Endpoint Security для бизнеса— KES), списки подозрительных или скомпрометированных URL-адресов и доменов — в защищенные веб (SWG) или почтовые шлюзы (в том числе и в Kaspersky Secure Mail Gateway — KSMG, для блокировки пересылки подозрительных сообщений).
  • Интеграция KATA и KEDR с SIEM-системами помогает последним в отсеивании нерелевантных событий для последующей корреляции и расследования, тем самым предоставляя сведения о тех обнаруженных угрозах, на которые действительно необходимо обращать внимание.
  • Оповещения могут автоматически направляться ответственной за реагирование команде (например, Security Operations Center — SOC), тем самым сокращая трудозатраты высокооплачиваемых специалистов на большое количество рутинных операций.
  • При подключении услуги круглосуточной службы мониторинга и реагирования на инциденты Kaspersky Managed Protection (KMP), входящей в комплекс KTMD, эксперты «Лаборатории Касперского» сами осуществляют анализ событий ИБ и реагирование на угрозы.
  • При использовании всех функций KATA и KEDR существует возможность автоматически или вручную нейтрализовать угрозы прямо на рабочих станциях, на этом остановимся подробнее, рассмотрим возможности по реагированию KEDR в следующем разделе.

 

Возможности по реагированию в рамках решения Kaspersky Endpoint Detection and Response

KEDR предназначен для непрерывного отслеживания любых аномалий и подозрительных процессов прямо на рабочих местах сотрудников, распознавания угроз и реагирования на инциденты. Основные возможности продукта весьма обширны, даже в stand-alone от KATA варианте:

  • поиск свидетельств взлома, в том числе индикаторов компрометации (IoC) в режиме реального времени;
  • обнаружение вторжений и помощь в минимизации ущерба их последствий;
  • интеграция с SIEM-системами для возможности сопоставления уведомлений и отслеживания активности на рабочих местах;
  • проверка уведомлений и потенциальных инцидентов, обнаруженных другими защитными решениями, в том числе от сторонних производителей;
  • расследование и централизованное управление инцидентами для неограниченного числа рабочих мест в рамках единого отлаженного рабочего процесса;
  • автоматизация рутинных операций администратора или специалиста по информационной безопасности.

 

Рисунок 3. Функции Kaspersky Endpoint Detection and Response

 Функции Kaspersky Endpoint Detection and Response

 

С помощью KEDR на выбранной рабочей станции прямо из централизованного интерфейса управления служба информационной безопасности может:

  • Заблокировать запуск файлов или процессов.
  • Отправить файл в карантин.
  • Удалить файлы.
  • Остановить процесс.
  • Выполнить команду (например, скрипт).
  • Настроить сетевую изоляцию конечных точек (будет доступно в августе 2018 г.).

В силу тесной идеологической и технологической интеграции KATA и KEDR в рамках единой технологической платформы используют единый набор механизмов обнаружения, корреляции и ретроспективного анализа на базе машинного обучения, единую песочницу, единую базу вердиктов, единый интерфейс и возможность единой инсталляции, что является большим преимуществом.

 

Лицензирование и способы внедрения Kaspersky Threat Management and Defense

Отметим политику лицензирования «Лаборатории Касперского». Как мы уже рассказывали, KATA тесно интегрирована с KEDR, оба решения построены на единой технологической платформе и дополняют друг друга как инструменты обнаружения сложных целевых атак на сети и конечных точках и оперативного реагирования на них. Однако они могут быть приобретены отдельно путем заказа у вендора лицензионного ключа, который активирует соответствующую функциональность:

  • Ключ KATA + KEDR. Полнофункциональное решение.
  • Ключ KEDR. Функциональность по обнаружению и реагированию на сложные угрозы только на уровне конечных точек.
  • Ключ KATA. Функциональность по обнаружению сложных угроз на уровне сети.

Исходя из этого, возможные варианты поставки и внедрения решений в компании выглядят следующим образом.

 

Рисунок 4. Варианты внедрения Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response

 Варианты внедрения Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response

  

Компоненты и системные требования Kaspersky Threat Management and Defense

Архитектуру единой технологической платформы KATA и KEDR составляют следующие компоненты:

  1. Network Sensor (Сетевой сенсор). Включает в себя: анализатор трафика, IDS, модуль интеграции с KSN/KSPN, модуль интеграции с KSMG.
  2. Central Node (Центральный узел). Выполняет проверку данных, исследует поведение объектов, а также публикует результаты исследования в веб-интерфейсе.
  3. Sandbox (Песочница). Запускает виртуальные образы операционных систем (32-разрядной Windows XP SP3, 64-разрядной Windows 7, Windows 10 (4 квартал 2018 г.)). Запускает файлы в этих операционных системах и отслеживает поведение файлов в каждой операционной системе для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации.
  4. Endpoint Sensors (Сенсоры конечных точек). Устанавливается на отдельные компьютеры и серверы, входящие в IT-инфраструктуру организации и работающие под управлением операционной системы Microsoft Windows. Они осуществляют постоянное наблюдение за процессами, запущенными на этих конечных точках, открытыми сетевыми соединениями и изменяемыми файлами, отправляются данные в Центральный узел. В качестве сенсоров конечных точек для KATA выступают агенты Kaspersky Endpoint Security (KES). Для KEDR предлагается два варианта: отдельный агент KEDR или единый с KES эндпоинт, который также используется при полнофункциональном развертывании KATA и KEDR.

Требования к оборудованию для Центрального узла:

  • не менее 16 ядер процессора с частотой 2,7 ГГц,
  • не менее 128 Гб оперативной памяти,
  • жесткий диск до 5 Tб,
  • не менее одного 1Гб/с Ethernet-адаптер.

Центральный узел и Network Sensor могут быть установлены на один сервер.

Требования к оборудованию для Network Sensor:

  • не менее 4 ядра процессора с частотой 2,7 ГГц,
  • не менее 16 Гб оперативной памяти,
  • жесткий диск от 300 Гб,
  • не менее одного 1Гб/с Ethernet-адаптер.

Такая аппаратная платформа позволяет компоненту Network Sensor держать нагрузку по трафику до 100 Мбит/с, обрабатывать до 5 почтовых сообщений в секунду, проксировать до 1000 агентов конечных точек.

Аппаратные требования для песочницы:

  • не менее 16 ядер процессора с частотой 2,7 ГГц,
  • не менее 64 Гб оперативной памяти,
  • жесткий диск от 300 Гб,
  • не менее двух 1Гб/с Ethernet-адаптер.

Стоит отметить, что Центральный узел и Песочница могут быть развернуты как на физических, так и на виртуальных машинах. Рекомендуемой производителем средой в последнем случае является VMware vSphere.

Системные требования к агентам рабочих станций кажутся незначительными на фоне характеристик современных компьютеров, но тем не менее они следующие:

  • Процессор: не менее Intel Pentium 2.0 ГГц или эквивалентный.
  • Объем оперативной памяти: не менее 25 МБ.
  • Дисковая подсистема: не менее 1 ГБ свободного пространства.
  • Сеть: один адаптер со скоростью 1 Гбит/с.
  • Windows 7/8.1/10 или Windows Server 2008 R2/2012/2012 R2/2016.

Далее приведем рекомендации по совместимости с установленным программным обеспечением сторонних производителей. На компьютере могут быть установлены другие антивирусные программы, агент KEDR может работать со следующими из них:

  • McAfee Endpoint Protection (кроме «Максимальной защиты», в настройках параметров необходимо отключить параметр Access Protection),
  • Symantec Endpoint Protection 12.1,
  • Trend Micro OfficeScan Endpoint Security,
  • Sophos Endpoint Protection.

Компонент Endpoint Sensors несовместим с RealTimes Desktop Service.

Совместимость или отсутствие таковой с каким-либо другим программным обеспечением не декларируется, ее тестирование отдается на откуп пользователю.

Компонент Endpoint Sensors работает под управлением операционной системы Windows. На компьютерах с компонентом Endpoint Sensors необходимо разрешить входящее соединение с сервером с компонентом Central Node напрямую, без использования прокси-сервера.

Наконец, для непосредственной работы с платформой офицеру безопасности необходим компьютер с одним из следующих установленных браузеров:

  • Mozilla Firefox версии 50 или выше,
  • Google Chrome для Windows версии 58 или выше,
  • Google Chrome для Linux версии 44 или выше,
  • Microsoft Edge версии 41 и выше,
  • Safari версии 5.1.10 и выше.

 

Установка KATA и KEDR

Без сомнения, решение нельзя назвать коробочным, и это наглядно проиллюстрировано как минимум наличием руководства по установке на более чем 300 страниц. Выбор схемы развертывания и установки компонентов определяется планируемой нагрузкой на серверы. Для оптимальной работы платформы рекомендованы две типовые схемы развертывания: на два или три сервера. В первом случае на одном сервере устанавливаются компоненты Network Sensor и Central Node, а на втором сервере устанавливается компонент Sandbox. Во втором варианте для каждого из компонентов программы в зависимости от объема данных под Central Node, Sandbox и Network Sensor выделяется один или более серверов.

 

Рисунок 5. Схема развертывания на два сервера

 Схема развертывания на два сервера

 

Стоит отметить, что весь процесс в документации описан настолько подробно, что если двигаться последовательно по предлагаемым шагам, то установка KATA и KEDR для опытного администратора не составит большого труда. Действия по установке и настройке выполняются в следующем в порядке:

  1. Установка образа диска с компонентом Sandbox.
  2. Настройка компонента Sandbox через веб-интерфейс Sandbox.
  3. Установка образов дисков операционных систем Microsoft Windows и программ для работы компонента Sandbox.
  4. Установка образов дисков с компонентами Central Node и Network Sensor в зависимости от схемы развертывания и установки программы:
    • Если используется схема развертывания на два сервера, установка компонентов Central Node и Network Sensor производится на одном сервере.
    • Если используется схема развертывания на три и более серверов, установка компонентов Central Node и Network Sensor осуществляется в следующем порядке: установка компонента Central Node на одном сервере, установка компонента Network Sensor на втором сервере или на нескольких серверах, установка компонента Endpoint Sensors на пользовательских рабочих станциях и серверах.

Более подробно о работе с Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response мы расскажем в следующей части статьи — Тестирование возможностей и работа с KATA и KEDR.  

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Выбор редакции: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.