«Лаборатория Касперского» реализует новый ступенчатый подход к корпоративной кибербезопасности
В его рамках все корпоративные продукты, технологии и сервисы разделены на три уровня. Необходимый конкретной компании уровень защиты зависит от её размера и степени зрелости службы ИБ.
Уровень Kaspersky Security Foundations предоставляет базовую адаптивную защиту от широкого спектра киберугроз. Это фундаментальный уровень для любого бизнеса, независимо от его величины.
Уровень Kaspersky Optimum Security представляет собой оптимальный выбор для компаний, в которых кибербезопасностью занимается IT-отдел или небольшая команда ИБ-специалистов. В этот уровень включена защита от скрытых угроз на всех уровнях атаки с помощью продвинутых механизмов обнаружения с алгоритмами машинного обучения и песочницей, а также улучшенное обнаружение инцидентов с помощью портала Kaspersky Threat Intelligence. На этой ступени защита конечных устройств усилена базовыми функциями EDR. Также сюда входят тренинги для повышения цифровой грамотности.
Самый продвинутый уровень — это Kaspersky Expert Security. Он предназначен для корпораций и промышленных предприятий с развитой системой IT-безопасности и позволяет создать экосистему безопасности на основе решений «Лаборатории Касперского». Центральным элементом этого уровня является SIEM-система Kaspersky Unified Monitoring and Analysis Platform. Также на нём доступны платформа для обнаружения продвинутых угроз на уровне сети Kaspersky Anti Targeted Attack и Kaspersky EDR — мощная система информационной безопасности, которая предоставляет ИБ-специалистам полную картину событий в инфраструктуре рабочих мест и серверов и обеспечивает их эффективную защиту от сложных угроз и APT-атак. Кроме того, на этом уровне предлагается доступ к аналитическим данным портала Kaspersky Threat Intelligence и тренингам для ИБ-специалистов.
На всех трёх уровнях компании могут получить расширенную техническую поддержку и оперативную экспертную помощь в случае инцидентов, а также воспользоваться знаниями и опытом специалистов «Лаборатории Касперского» для оценки уровня защищённости систем.
Для противодействия сложным атакам требуются специальные опыт и знания, а бюджет на кибербезопасность не всегда позволяет проводить тренинги для сотрудников и нанимать дополнительных экспертов. Недостаток ресурсов может приводить к задержкам в реагировании на киберинциденты и в результате увеличивать потери организации. По данным «Лаборатории Касперского», в среднем стоимость утечки данных обходится крупному предприятию в сумму примерно 7 миллионов рублей.
Чтобы помочь растущим компаниям более оптимально расходовать ресурсы сотрудников ИБ-отделов, затрачиваемые на анализ угроз, их расследование и реагирование на них, «Лаборатория Касперского» распространила ступенчатый подход и на сервис Kaspersky Managed Detection and Response. Теперь он предусматривает два варианта поставки — Optimum и Expert, что делает его доступным не только крупным корпорациям, но и среднему бизнесу. Сервис Kaspersky Managed Detection and Response даёт возможность получить преимущества центра мониторинга и реагирования на инциденты информационной безопасности (SOC) без необходимости строить его внутри компании и не требует наличия у сотрудников специализированных навыков поиска угроз и анализа киберинцидентов.
«Для эффективной защиты от киберугроз нужен набор мер, хорошо скоординированных друг с другом, лёгких в управлении и соответствующих потребностям клиентов. Наш ступенчатый подход к кибербезопасности работает именно так. Ещё одно его преимущество — в отличие от одного узкоспециализированного решения он даёт понимание, куда двигаться, и предполагает возможность перехода при росте уровня зрелости ИТ-системы. В случае MDR, например, на базовом уровне предлагается полностью автоматизированный сервис, а на более продвинутом экспертная помощь и поддержка», — объясняет Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России, странах СНГ и Балтии.
Больше информации можно найти по ссылке.
По вопросу помощи в подборе и приобретении решения обращаться по тел. (3852) 502 – 670 или по электронной почте itsec@galex.ru
Передача функции обеспечения информационной безопасности на аутсорсинг
Некоторые компании готовы передавать функции по киберзащите на аутсорсинг провайдерам соответствующих услуг, MSSP (Managed Security Services Provider). Особенно эта практика используется на западных рынках, и во многих случаях привлечение MSSP вполне оправдано и выгодно.
Внешние эксперты сегодня могут помочь со всем спектром задач в области кибербезопасности — от обучения специалистов до реализации функций SOC. Иногда бизнес отдает лишь экономически невыгодные ему или слишком трудоемкие задачи. Кроме того, у организации может не быть мощностей и экспертов для разворачивания ресурсоемких SOC. Сотрудничество с профильным аутсорсером позволяет найти решение, которое закрывает потребности бизнеса и не заставляет тратить лишние средства.
Все перечисленные продукты «Лаборатории Касперского» готовы к применению поставщиками услуг безопасности (MSSP). Таким образом, компания предоставляет свои продукты организациям, которые хотят работать с проверенными MSSP, и делится своим опытом с поставщиками услуг, готовыми к разработке высокоуровневого предложения по защите от сложных угроз.
Сегодня бизнес должен быть оснащен технологиями, актуальной информацией и знаниями, позволяющими гибко адаптироваться к постоянно меняющемуся ландшафту угроз. Специалисты «Лаборатории Касперского» более 20 лет изучают киберугрозы и разрабатывают передовые технологии защиты от них. Обладая глубокой экспертизой и обширным опытом реализации сложных проектов в области кибербезопасности, «Лаборатория Касперского» готова обеспечить многоуровневую поддержку компании любого размера для повышения эффективности в борьбе со все более сложными угрозами.
Имитация заражения и противодействие с помощью EDR
Давайте посмотрим, как на практике реализуется защита с помощью установленных ранее компонентов. Для теста я запустил на защищенной рабочей станции образец вируса. Локальный антивирус заблокировал его работу. Перемещаемся в KSC и смотрим информацию об инциденте.
Идём в раздел Мониторинг и отчёты -> Отчёты, открываем Отчёт об угрозах. Переходим на вкладку Подробнее.
Мы видим общую информацию о событии. Далее мы можем посмотреть подробности инцидента в отдельной карточке. Перемещаемся туда.
Здесь наглядно со всеми подробностями представлена информация, связанная с событием. Я скачал вирус в запароленном архиве через браузер. Распаковал его и запустил. Сверху показана цепочка процессов, связанных с запуском вируса. Сначала это был системный процесс svchost.exe, потом скачанная программа sw_test.exe и в конце сам запущенный вирус yhtbz.exe.
Через карточку инцидента вы можете изолировать устройство от сети, чтобы далее спокойно разобраться в произошедшем событии, не опасаясь, что прямо сейчас будет распространяться заражение.
Вы наглядно можете проследить за всеми действиями вируса. Для этого нужно выбирать соответствующие разделы под информацией о вирусе и смотреть внесенные им изменения.
Вы увидите:
- какие файлы создавал вирус;
- откуда и кем он был запущен;
- к каким ip-адресам он обращался;
- что изменил в реестре.
Наглядно всё это можно посмотреть в отдельной вкладке — Все события инцидента.
На основе данных из карточки вы сможете сразу же проверить файл по его хэшу на Kaspersky Threat Intelligence Portal и получить подробную аналитику. Также с помощью информации о файле вируса можно создать задачу по поиску этого файла на других машинах и настроить какое-то действие, если этот файл будет найден. Например, изолировать хост от сети или удалить файл и поместить на карантин.
Смотрите, какая получается картина. Вы видите не только конечный файл с вирусом, который был запущен в директории temp, но и источник заражения — исходный файл, который антивирусом не детектился, так как не проявлял никаких явно вредоносных активностей, но именно он являлся источником заражения. На основе функционала, представленного Kaspersky EDR Оптимальный, вы видите полную картину происходящего. С помощью информации в карточке инцидента у вас есть возможность сразу же изолировать заражённый хост, посмотреть аналитику по исходному файлу, запускающему вирус. Затем заблокировать на всех компьютерах запуск исходного файла по представленному хэшу, определить ip адреса, к которым обращается вирус и заблокировать их на шлюзе.
Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.
Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.
Более наглядно посмотреть все возможности Kaspersky EDR Optimum вы можете в видео:
Watch this video on YouTube
Функционал очень крутой. Я лично ничего подобного ранее не видел. Расследования после вирусных атак приходилось проводить вручную, выискивая следы в системе и используя поисковики, чтобы находить подробности.
Установка Kaspersky EDR для бизнеса Оптимальный
Kaspersky EDR Оптимальный устанавливается поверх существующей инфраструктуры Kaspersky на базе Kaspersky Security Center + Kaspersky Endpoint Security. Сначала нужно установить сервер администрирования Kaspersky SC (KSC), затем на рабочие станции развернуть антивирус Kaspersky ES (KES).
Для того, чтобы все это попробовать, необходимо отправить заявку на KES и EDR:
- https://www.kaspersky.ru/small-to-medium-business-security/optimum-security
- https://www.kaspersky.ru/small-to-medium-business-security/endpoint-advanced
На почту вам придут лицензионные ключи на 30 и 32 дня. Далее необходимо будет со страницы https://www.kaspersky.ru/small-to-medium-business-security/downloads/edr-optimum скачать и установить Kaspersky Security Center. Для этого загрузите Windows | Full package, если будете ставить на Windows.
В процессе установки сервера управления, вам будет предложено установить одну из бесплатных баз данных mssql express или mysql. Если у вас уже есть один из этих серверов, можно воспользоваться им.
В целом, в установке Kaspersky Security Center нет каких-то сложностей, так что я не буду на этом останавливаться. У продукта хорошая документация на русском языке, так что можно без проблем разобраться. Но я все установил и без инструкции. После установки заходить в консоль управления можно под учетной записью администратора компьютера, под которым выполнялась установка.
Дальнейшая логика установки EDR следующая. Если вы ранее работали с Security Center, то особых проблем у вас не возникнет. Я несколько лет управлял системой безопасности на базе Kaspersky, причем не в одной организации. Хотя это было несколько лет назад, логика работы продукта осталась примерно такой же, только интерфейс поменялся. Так что я быстро во всём разобрался.
Сначала вам надо загрузить установочные пакеты для дистрибутива клиентского антивируса — Kaspersky Endpoint Security. Делается это в разделе Обнаружение устройств и развертывание -> Развертывание и назначение -> Инсталляционные пакеты.
Затем в разделе Параметры консоли -> Веб-плагины установить два плагина — для Kaspersky Endpoint Agent и Kaspersky Endpoint Security.
Далее идём в Устройства -> Политики и профили и создаем политику для Kaspersky Endpoint Agent. В разделе Параметры программы -> Интерфейс и управление обязательно выбрать Endpoint Detection and Response Optimum.
В завершении развертывания необходимо создать три задачи:
- Перед развертыванием KES необходимо добавить компонент Endpoint Agent (или Endpoint Sensor) в свойствах установочного пакета KES в KSC.
- Задача для удаленной установки дистрибутива KES.
- Задача по распространению лицензионного ключа с лицензией на Kaspersky Endpoint Detection and Response Optimum.
Продукт активно развивается, так что какие-то пункты из данной инструкции могут поменяться. Но общая логика установки, думаю, такой же и останется. Теперь можно переходить к тестированию возможностей KES с лицензией EDR Optimum.
Kaspersky Optimum Security
Данный уровень защиты состоит из следующих компонентов:
- Kaspersky EDR для бизнеса Оптимальный. Это расширение функционала Kaspersky Endpoint Security, который устанавливается в качестве антивируса на рабочие станции. С его помощью можно будет не только предотвращать угрозы, но и расследовать инциденты, анализировать первопричины заражений, автоматически формировать защиту на основе уже полученных данных, строить отчеты и многое другое. Ниже я буду устанавливать и настраивать этот продукт.
- Kaspersky Managed Detection and Response Optimum. Сервис с круглосуточной автоматической защитой на основе моделей машинного обучения и аналитических данных об угрозах и расследований атак, подготовленных специалистами компании Kaspersky. На основе событий безопасности в вашей системе могут быть запущены те или иные сценарии противодействия угрозам. То есть это система, которая автоматически реагирует на инциденты без вашего участия.
- Kaspersky Sandbox. Готовый продукт для организации песочницы, который интегрируется в существующую инфраструктуру защиты для дополнительных возможностей проверки и ограничения работы подозрительных приложений.
- Kaspersky Threat Intelligence Portal. Портал с базой данных опасных приложений, сайтов, IP-адресов, всего того, что связано с угрозами. Платформа позволяет проверять подозрительные файлы, хеши файлов, IP-адреса или веб-адреса на наличие связанных с ними киберугроз для дальнейшего своевременного реагирования на них.
- Kaspersky Automated Security Awareness Platform. Онлайн-платформа, с помощью которой можно повышать осведомленность сотрудников любых отделов, даже ИТ-персонала, в вопросах информационной безопасности. Включает в себя интерактивные уроки, тесты, повторение пройденного, в том числе закрепление знаний на примере симулированных фишинговых атак.
Далее я покажу, как установить и настроить базу для построения защиты уровня Optimum Security с помощью Kaspersky EDR для бизнеса Оптимальный.
Экспертная защита: Kaspersky Expert Security
Наконец, третий уровень ИБ-потребностей наиболее характерен крупному бизнесу, корпорациям. Здесь ИБ уже занимает значимую позицию в стратегии развития компании, в топ-менеджменте может появиться роль директора по информационной безопасности (Chief Information Security Officer). За кибербезопасность уже, как правило, отвечает выделенная экспертная команда, финансирование ведется в рамках отдельного бюджета.
Kaspersky Expert Security – экспертное предложение для средних и крупных организаций со зрелой ИБ-экспертизой, которое помогает противостоять всему спектру современных сложных угроз, APT-подобных и целевых атак. У ИБ-экспертов теперь есть всё необходимое, чтобы отражать кибератаки любого масштаба и сложности: технологии мирового уровня, оперативные и достоверные данные об угрозах, экспертные знания и всесторонняя поддержка со стороны «Лаборатории Касперского».
Инструменты пополняются такими технологиями, как SIEM (Security information and event management), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response). «Лаборатория Касперского» предлагает свои решения данных классов: соответственно, Kaspersky Unified Monitoring & Analysis Platform, Kaspersky EDR, Kaspersky Anti Targeted Attack. Могут также использоваться инструмент анализа высокопрофессионального вредоносного ПО — Kaspersky Research Sandbox или решение по выявлению авторства продвинутых атак, сложного вредоносного ПО — Kaspersky Threat Attribution Engine.
Приоритетными задачами служб информационной безопасности становятся выявление угроз за минимальное количество времени, ускоренное реагирование и анализ первопричин инцидента
Для решения этих задач недостаточно поставить и настроить защитный софт, возникает потребность в сопутствующих сервисах: для полноценной работы SOC требуются потоки данных об угрозах, экспертам-операторам SOC нужны аналитические отчеты и доступ к данным об актуальных угрозах – Kaspersky Threat Intelligence. Также не стоит забывать о важности повышения экспертизы существующих ИБ-экспертов с помощью различных обучающих программ, например Kaspersky Cybersecurity Training. И еще у экспертов должна быть возможность положиться на внешних ИБ-экспертов для анализа защищенности (Kaspersky Security Assessment), оперативной помощи с инцидентами (Kaspersky Incident Response) и круглосуточной управляемой защиты (Kaspersky MDR Expert).
Крупный бизнес и госорганы имеют также специфические требования к применяемым технологиям. Так, для защиты органов государственной власти РФ и госучреждений могут применяться только сертифицированные продукты. Многие решения «Лаборатории Касперского» имеют сертификаты соответствия ФСТЭК России и ФСБ, включены в единый реестр российского ПО. Все это дает возможность их использования в организациях с повышенными требованиями к уровню безопасности и защите данных, в том числе составляющих государственную тайну.
Заключение
Я рассказал, как организован подход «Лаборатории Касперского» к обеспечению комплексной защиты, а также наглядно показал, как он реализуется на практике на примере использования Kaspersky EDR для бизнеса Оптимальный. В целом мне нравятся защитные продукты этого бренда. Я постоянно использую их на почтовых серверах Linux в качестве антиспама и антивируса.
В офисах мне приходилось использовать 3 современных антивируса — от «Лаборатории Касперского» и других известных антивирусных производителей. Лично мне бренд Kaspersky и его Security Center нравится больше всего. Но нужно учитывать, что он в сумме и стоит немного дороже. Хотя линейки продуктов, как и функционал, у всех разные, и в лоб не всегда получится адекватно сравнить цены. Тут уже каждый сам выбирает, на чем остановиться исходя из задач и бюджета.