«Лаборатория Касперского» анонсировала новые решения для корпоративной кибербезопасности
«Лаборатория Касперского» представила сразу два новых продукта для обеспечения безопасности крупных компаний. Они были презентованы 22 мая 2020 г. на конференции Kaspersky ON AIR «Управляя эволюцией». На вопросы участников ответил основатель компании Евгений Касперский.
По мнению Gartner, наиболее прогрессивной является модель SOC, построенная по аналогии с вооруженными силами ядерной державы, которые защищают ее на земле, в воздухе и на воде. Применительно к SOC, «ядерная триада» состоит из трех компонентов: SIEM для мониторинга логов, NTA для мониторинга сетевого трафика и EDR для мониторинга хостов.
К сожалению, сегодня большинство организаций используют только SIEM-системы, самые продвинутые внедряют NTA, а EDR только набирает популярность. Между тем, согласно отчетам аналитиков, рабочие места пользователей все чаще становятся целью атак киберпреступников. Именно через них злоумышленники получают доступ в ИТ-инфраструктуру организаций. А значит, EDR превращается не просто в желательный, но в необходимый компонент SOC.
Почему EDR
EDR позволяет контролировать не просто активности в сети, но и состояние устройств конечных пользователей. В EDR, как правило, входят различные инструменты обнаружения угроз: антивирус, средства поведенческого анализа, песочница, поиск индикаторов компрометации IoC, работа с индикаторами атак IoA, сопоставление с техниками MITRE ATT&CK, взаимодействие с Threat Intelligence и глобальной базой ИБ-угроз, ретроспективный анализ, проактивный поиск угроз Threat Hunting и т.д. Их можно запускать в ручном, полуавтоматическом и автоматическом режиме. А значит, появляется реальная возможность быстро обнаруживать сложные угрозы и оперативно реагировать на них, минимизируя ущерб для бизнеса.
Кроме того, полученные с помощью EDR данные вместе с другой информацией передаются в SIEM-систему, что дает возможность вывести уровень расследований в SOC на совершенно новый качественный уровень. С другой стороны, интеграция EDR с SIEM-системой существенно снижает число ложных срабатываний, что обеспечивает комфорт работы пользователей при одновременном соблюдении самых строгих мер ИБ.
Обнаружение сложных угроз на устройствах конечных пользователей и оперативное реагирование на них без использования EDR — очень трудоемкая задача. Сегодня, когда компании уделяют все больше внимания роботизации рутинных операций, позволяющей высвободить ценные человеческие ресурсы и направить их на решение более интеллектуальных задач, интерес к EDR неуклонно растет. Кроме того, массовый перевод сотрудников на удаленную работу в период самоизоляции может привести к тому, что организации примут решение распространить этот опыт и на последующий период. А значит, множество рабочих мест будет находиться вне зоны физической досягаемости службы ИБ. В отсутствие EDR это затруднит процесс расследования инцидентов. Не говоря уже о случаях, когда киберпреступники тщательно заметают следы, уничтожая или шифруя данные, — EDR фиксирует все их действия, и аналитики могут быстро получить к ним удаленный доступ.
Особенности Kaspersky Endpoint Detection and Response (KEDR)
«Лаборатория Касперского» одной из первых вывела на рынок EDR-решение Kaspersky Endpoint Detection and Response (KEDR). В его состав входит единый агент для надежной защиты и контроля рабочих мест, что позволяет избежать дополнительной нагрузки и снижения производительности рабочих мест, упростить процесс контроля и обеспечить полноценную защиту рабочих станций и серверов организации от сложных угроз.
Сбор, запись и централизованное хранение информации о событиях безопасности на всех рабочих местах позволяет обеспечить оперативный доступ к ретроспективным данным при расследовании продолжительных атак, даже в условиях недоступности рабочих мест или компрометации необходимых данных. Компании также могут оказывать содействие службе реагирования и регулирующим органам, предоставляя им необходимую информацию об обнаруженных угрозах.
Наглядное представление информации об инфраструктуре рабочих мест в централизованной веб-консоли позволяет сотрудникам служб ИБ оперативно реагировать на инциденты, минимизирует количество ручных задач и сокращает общие трудозатраты на мероприятия по реагированию с часов до минут.
В 2018 г. «Лаборатория Касперского» вошла в число «Сильных исполнителей» The Forrester New Wave: External Threat Intelligence Services, Q3 2018. В 2019 г. благодаря продуктам Kaspersky Anti Targeted Attack (KATA) и Kaspersky Endpoint Detection and Response (KEDR) компания признана «Лучшим игроком» в Quadrant Market Advanced Persistent Threat (APT) 2019, опубликованном Radicati Group. В 2020 г. Kaspersky Endpoint Detection and Response (KEDR) был удостоен премии Gartner Customer Choice 2020 как решение, получившее самые высокие баллы от пользователей (4,8 из 5 возможных).
Новые возможности
Сегодня «Лаборатория Касперского» разработала новую версию EDR. В отличие от своей предшественницы, ориентированной в основном на крупные компании, Kaspersky Endpoint Detection and Response Optimum более доступна по цене. А значит, ей могут пользоваться средние и малые предприятия. Кроме того, Kaspersky Endpoint Detection and Response Optimum — инструмент с централизованными автоматическими функциями для защиты от сложных и целевых кибератак, что также актуально для компаний, у которых нет возможности иметь штат специалистов, которые будут вручную контролировать инциденты.
Решение основано на классическом подходе EDR. Оно использует различные методы, призванные отслеживать любой маркер атаки, в том числе атаки без использования вредоносного ПО; латеральное перемещение; подозрительное поведение и прочие признаки.
С Kaspersky Endpoint Detection and Response Optimum в один клик доступны разные способы реагирования на новые угрозы: изоляция и проверка хоста; удаление файла и отправка файлов на карантин; завершение и предотвращение выполнения процесса. При этом решение позволяет обойтись без специальных знаний или большой команды специалистов — оно предоставляет подробные отчеты и помогает снизить нагрузку на ИТ-ресурсы.
Подробнее о новых продуктах «Лаборатории Касперского» можно было узнать на конференции Kaspersky ON AIR «Управляя эволюцией», которая состоялась 22 мая 2020 г. в 11.00. В ходе конференции эксперты «Лаборатории Касперского» рассказали об основных тенденциях в мире киберугроз и главных инцидентах 2019-2020 гг., подробно остановились на списке задач, стоящих перед службами информационной безопасности, и представили новые решения компании Kaspersky Endpoint Detection and Response Optimum и Kaspersky United Monitoring and Analysis Platform (KUMA). Участники конференции смогли задать вопросы Евгению Касперскому.
По итогам конференции «Лаборатория Касперского» опубликовала видеоматериалы для тех, кто не смог присутствовать на онлайн-встрече: