Спецпроекты

Российский бизнес приспособил песочницы под нужды ИБ

Безопасность Интеграция

Компании по всему миру сталкиваются со все более сложными киберугрозами, которые приводят к простоям и финансовым потерям. Изощренные методы киберпреступников требуют простых и эффективных способов защиты, не требующих дополнительных инвестиций в ИБ-департаменты. Выход был найден в практически полной автоматизации процессов информационной безопасности с применением передовых подходов.

Компаниям угрожают все более изощренными атаками

Российский бизнес с каждым новым годом сталкивается со все более серьезными проблемами с обеспечением безопасности, и это — отражение глобальной картины. По данным различных исследований, до 91% компаний по всему миру в 2019 г. сталкивались с кибератаками. А каждая десятая их жертва пострадала именно от целевых нападений. История с коронавирусом почти наверняка только ухудшила эту статистику, доказав, что киберпреступники готовы воспользоваться любым удобным шансом, чтобы нащупать бреши в защите крупных и даже небольших организаций. Но даже при многовекторном подходе и расширении поверхности атак, основной мишенью для злоумышленников остаются рабочие места сотрудников.

Наиболее привычным средством защиты от цифровых угроз для российских компаний (для международных, впрочем, тоже) остаются решения класса Endpoint Protection Platform (EPP). Но упомянутое расширение технологического арсенала хакеров, зачастую опережающее средние темпы внедрения ИБ-инструментов на среднестатистическом предприятии, рушит планы ИБ-департаментов. К тому же, в последнее время появились новые классы угроз, основанные на сложных бесфайловых вирусах, которым EPP-системы в одиночку противостоять не могут, хотя и отражают подавляющее большинство традиционных атак.

Киберпреступники готовы воспользоваться любым удобным шансом, чтобы нащупать бреши в защите крупных и даже небольших организаций

Чтобы защита организации соответствовала уровню угрожающей ей опасности, ИБ-вендоры разработали EDR-решения, которые закрывают проблемы, недоступные классическим EPP-системам. Архитектуру такого подхода можно рассмотреть на примере одной из последних разработок в этой области — интегрированного решения «Лаборатории Касперского». В нем стандартные и многоуровневые средства защиты конечных точек сочетаются с автоматизированными — EDR и песочницей.

Из каких элементов состоит интегрированное решение

Kaspersky Endpoint Security

Основой для нового интегрированного решения стала платформа для базовой защиты Kaspersky Endpoint Security, которое, впрочем, доступно в нескольких пакетных вариантах и подходит предприятиям любого размера. Технология отличается от многих альтернативных вариантов особым вниманием к защите серверов, благодаря чему осуществляется полный контроль программ, веб-окружения и самих конечных устройств.

Еще до начала атаки Kaspersky Endpoint Security в автоматическом режиме ищет уязвимости, которые расширяют площадь потенциального вторжения, устанавливает исправления, формирует список доверенных приложений, а также создает, хранит и копирует образы системы. Эти функции заточены на поиск подозрительного поведения, источником которого становятся в том числе бесфайловые вирусы, шифровальщики, программы-вымогатели и эксплойты нулевого дня. Во внимание Kaspersky Endpoint Security попадают даже угрозы, которые сначала имитируют выполнение безвредных действий (в качестве примера можно привести скрипты PowerShell). Автоматизация приносит с собой еще и экономию времени администратора, которое тот может потратить на более сложные и менее рутинные задачи, чем развертывание новых систем или обновление программного обеспечения. Вся система при этом управляется через единую консоль. А начиная с пакета «Расширенный», становится доступным еще и шифрование данных, которое делает невозможными утечки данных с потерянного устройства.

Kaspersky Endpoint Detection and Response Optimum

Дополняет интегрированное решение Kaspersky Endpoint Detection and Response Optimum (KEDR Optimum), которое фактически является инструментом автоматического реагирования на инциденты, серьезно расширяющим возможности систем класса EPP. Оно получает информацию как раз от Kaspersky Endpoint Security. KEDR Optimum дает бизнесу возможность в упрощенном формате, с понятными средствами визуализации и автоматического реагирования работать с наиболее сложными и продвинутыми угрозами.

Решение оповещает ИБ-департамент о том, каких систем касается оповещение о событии безопасности, какие другие системы это потенциально затронет, существует ли реальная угроза или она уже миновала, какие еще хосты атакованы и в какой последовательности.

Наряду с данными о событиях безопасности, KEDR Optimum предоставляет администратору простые инструменты реагирования, в том числе и автоматические. Это помогает не ограничиваться обнаружением проблемы, а еще и понимать степень угрозы для бизнес-процессов и ее происхождение. Все управление централизовано и автоматизировано, что приводит к кадровой и финансовой выгоде: можно распределять сотрудников по задачам в зависимости от степени их неотложности, а также оптимизировать ИТ-ресурсы.

Прямо из локальной или облачной консоли можно помещать файлы на карантин и предотвращать их исполнение и дальнейшее распространение внутри периметра безопасности, а также изолировать скомпрометированные хосты.

Несмотря на высокий уровень продвинутой функциональности, EDR-системы, как правило, достаточно сложны в управлении и требуют высокого уровня квалификации от профильного сотрудника ИБ-департамента. Практика показывает, что позволить себе дорогих узкопрофильных специалистов могут далеко не все организации — до этой черты не достают даже наиболее успешные компании верхнего сегмента СМБ. Именно поэтому связка Kaspersky Endpoint Security и KEDR Optimum нуждается в дополнительном элементе.

Kaspersky Sandbox

Им стала песочница Kaspersky Sandbox, благодаря которой бороться со сложными комплексными угрозами можно без привлечения дополнительных сотрудников в ИТ-отделы и ИБ-департаменты. Для крупных компаний это делает защиту более дешевой (при одновременном повышении уровня качества), а для СМБ-сегмента — в принципе доступной. Помимо этого, стоит отметить снижение нагрузки на существующих специалистов и оптимизацию затрат на поддержание высокого уровня защищенности филиалов территориально распределенных предприятий.

Как это происходит на практике? Во-первых, Kaspersky Sandbox и Kaspersky Security для бизнеса управляются через единую консоль Kaspersky Security Center. Сначала базовое решение делает запрос на получение данных о подозрительном объекте из общего оперативного кеша вердиктов на сервере песочницы. Благодаря этому Kaspersky Security понимает, проверялся ли уже этот объект, и в случае положительного ответа может в автоматическом режиме его удалить, отправить на карантин, провести дополнительную проверку критических областей или просто уведомить администратора, если это предполагают существующие настройки. Если же файл еще не проходил проверку, то решение направляет его в Kaspersky Sandbox. В песочнице происходит запуск объекта в изолированной среде с последующим сканированием на виртуальной машине, выглядящей для вирусов как обычная рабочая машина пользователя. Поведенческий анализ и сбор данных позволяют сделать однозначное заключение об опасности или безопасности и присвоить ему некий вердикт, который — круг замкнулся — направляется в общий оперативный кеш вердиктов.

Такой автоматизированный подход дает возможность без привлечения дорогих экспертов управлять подозрительными объектами, экономя силы, время и деньги ИБ-департаментов предприятий.

Когда нужно решать ИБ-проблемы комплексно

Дополняющие друг друга и управляемые через единую консоль решения, в связке обеспечивают наиболее полную защиту рабочих мест сотрудников. Даже объединение этих платформ оказывается менее сложным и куда более простым в управлении, чем каждое из них по отдельности.

При переходе на интегрированное решение не нужно ничего дополнительно устанавливать. Из традиционной консоли Kaspersky Security Center можно подключить EDR-решение, а затем и песочницу Kaspersky Sandbox. Купить все три продукта можно в составе пакета «Kaspersky Total Security Plus для бизнеса», которое включает в себя и расширенную техподдержку. Этот вариант подойдет, скорее, крупным предприятиям. СМБ-сектору доступно решение «Kaspersky EDR для бизнеса Оптимальный», к которому можно приобрести и песочницу, если в ней есть необходимость.