Михаил Стеблин:
«Если у заказчика уже есть наши продукты, то развертывание интегрированной системы занимает не более часа»

На вопросы «Системного администратора» отвечает инженер предпродажной поддержки «Лаборатории Касперского»

Беседовал Алексей Бережной

– Почему «Лаборатория Касперского» решила выпустить продукт для глобальных систем безопасности предприятий?

– «Лаборатория Касперского», несмотря на устоявшееся мнение, не является сугубо антивирусной компанией, а занимается всеми вопросами кибербезопасности. У нас есть большое портфолио решений, не связанных с антивирусным ПО, например, это платформа Kaspersky Anti Targeted Attack, Kaspersky EDR.

Лет десять назад, когда сложные кибератаки, которые не детектируются классическими средствами защиты, были единичны – не существовало широкого спектра решений, позволяющих выявлять такие угрозы. Но сегодня сложным целевым атакам подвержены не только компании уровня Enterprise. Стоимость такого вида нападений для злоумышленников стала гораздо ниже, а доступных инструментов и технологий - больше. И теперь необходимы универсальные инструменты, сервисы и механизмы, чтобы выявлять и блокировать подобные угрозы. Поэтому «Лаборатория Касперского» вышла на рынок с предложением интегрированной платформы, предназначенной для защиты от всех типов киберугроз, направленных на организацию.

В интегрированное решение для защиты рабочих мест входят хорошо известное средство Kaspersky Security для бизнеса, упрощенная версия Kaspersky EDR Optimum и песочница Kaspersky Sandbox. Все три продукта управляются из единой локальной или облачной консоли и дополняют друг друга, обеспечивая комплексную защиту от сложных угроз.

– Чем ваше решение отличается от других конкурентных предложений? И что бы вы хотели в нем улучшить? Что нам ждать в дальнейшем?

– Одним из важных преимуществ является то, что эта система дополняет классические средства защиты, предлагаемые «Лабораторией Касперского». Если у заказчика уже есть наши продукты, то развертывание интегрированной системы занимает не более часа. Мы более 20 лет ведем борьбу с разными угрозами. За это время накопились технологии информационной безопасности, в том числе, которые изначально разрабатывались для внутреннего использования, для анализа потенциально опасных объектов – например, песочница. Что касается вещей, которых не хватает в нашем продукте, то сейчас вышла только первая версия интегрированного решения. И одна из главных целей этой версии – понять, что ещё нужно заказчику.

– С какими трудностями вы столкнулись при разработке продукта?

– Основные трудности связаны с тем, что заказчики не всегда точно знают и понимают, как будут пользоваться новым решением, как оно может быть внедрено в их общую систему. Решения класса EDR (Endpoint Detection and Response), класса песочницы хоть и существуют уже достаточно давно, однако массово внедряются в России только последние несколько лет, и до конца определить правильный сценарий на этапе проектирования довольно сложно. Но, судя по отзывам заказчиков, нам это удается.

– Были ли использованы при создании продукта какие-то прорывные технологии?

– Есть новые патенты и технологии, например, в сфере machine learning, но говорить о каких-то необычайных изобретениях в области информационной безопасности, к сожалению, пока не приходится. И у злоумышленников с прорывными технологиями беда, потому что возможности, которые сегодня предоставляют аппаратные ресурсы, программное обеспечение, тоже достигли определенного потолка. Сегодня речь уже идет о качестве и обоснованности применения работающих технологий.

– Каковы системные требования к внедрению интегрированного решения? Нужно ли компании для этого купить новый сервер, обновить парк оборудования?

– Это как раз одна из причин, повлиявших на создание нашего интегрированного решения – мы хотим дать больше возможностей тем заказчикам, у которых нет мощных серверных ресурсов. Если у заказчика уже есть система безопасности на основании наших решений, то развертывание не требует выделения никаких дополнительных ресурсов. Уже есть сервер управления, с помощью которого работает централизованное управление компьютерами с установленными продуктами «Лаборатории Касперского», достаточно загрузить лицензию и настроить политику. Что касается песочницы Kaspersky Sandbox, то под нее необходимо выделять какие-то серверы. Минимальные требования для песочницы – 4 ядра процессора и 8 гигабайт памяти – приемлемо для виртуальной машины.

– Насколько все-таки упадет производительность ИТ-инфраструктуры после установки упрощенной версии EDR?

– Начнем с рабочей станции. Используется единый агент, который сам по себе не выполняет большого количества логических операций. Все эти операции вынесены либо на сервер управления, либо на сервер песочницы. Поэтому нагрузка на рабочую станцию не меняется.

Что касается нагрузки на сервер, то технические требования, которые предъявлялись к серверу администрирования Kaspersky Security Center, не меняются и после внедрения данного решения. Иными словами нагрузка на сервер отличается в пределах погрешности.

Для песочницы Kaspersky Sandbox требуются выделенные мощности, но при этом одна из задач песочницы – снять нагрузку с рабочей станции. Для тех рабочих станций (а такое бывает у крупных заказчиков), где стоит слабое «железо» и используется наше антивирусное решение при применении песочницы можно часть компонентов антивируса отключить. Тогда задачи по детектированию угроз и, следовательно, нагрузка на систему переходят на выделенный сервер песочницы. Если брать в сумме, то требования к «железу» не увеличиваются, они, скорее, уменьшаются. Таким образом, можно защищать машины, которые ранее подтормаживали.

– Есть ли подробная документация по системе? Многостраничный справочник, который можно полистать?

– Да, документация, естественно, есть и доступна онлайн на сайте https://support.kaspersky.com/ – там максимально описаны требования, как развернуть, как сделать. Ее можно выгрузить в формате PDF. Преимущество такого способа распространения в том, что мы все не идеальны и могли что-то не указать. Или что-то показалось пользователю непонятно. Мы общаемся с нашими пользователями и можем какие-то вещи добавлять в документацию, если вдруг стало что-то непонятно – обновлённая версия будет доступна в течение дня.

Ещё мы подготовили, помимо официальной документации, разнообразные процедуры тестирования продукта, сделали руководство по тестированию, которое показывает, как развернуть, установить решение. Для наших партнеров доступна вся техническая информация по этому продукту, включая Step-by-step-Guide, видеозапись технического тренинга. Мы постарались максимально облегчить задачу работы с новым продуктом.

– С EDR-системой не всегда будет работать безопасник. Это же не является ключевым требованием? Планируете ли вы сделать официальные учебные курсы по новому продукту?

– Действительно, всё в Kaspersky EDR максимально автоматизировано и не требует знаний ИБ для обнаружения, расследования и реагирования на инциденты. Что касается второго вопроса, то классических учебных курсов открывать не планируется, мы постарались сделать наши продукты максимально простыми и интуитивными, плюс максимально автоматизированными.

– Что делать, если система заблокировала хороший файл?

– Скажу сразу, что количество ложных срабатываний минимально. И всегда есть возможность в самой консоли KSC передать информацию нашим аналитикам. Есть и специальные ящики – отправьте файл, и он автоматически будет проанализирован роботами и людьми (мы обычно рекомендуем заказчикам класть вложение в запароленный архив). Если исправление необходимо, оно выйдет сразу. Заказчику необходимо просто нажать в почтовом клиенте кнопку «Написать письмо», положить во вложение файл, и дальше мы, со своей стороны, сделаем все, чтобы данный файл перестал считаться вредоносным. Помимо этой схемы у нас есть глобальное репутационное облако Kaspersky Security Network, которое используется в том числе для того, чтобы ложные срабатывания свести к минимуму. Вообще, что касается наших автоматизированных решений, одна из основных задач – не нарушать бизнес-процесс.

– Какая информация от этих программных модулей уходит в «Лабораторию Касперского»? Имеются в виду песочница и упрощенная Kaspersky EDR Optimum.

– Наши решения, установленные у заказчиков, могут автоматически взаимодействовать с «Лабораторией Касперского» по нескольким направлениям. Первое, самое простое – скачивать антивирусные базы. В этом случае они не передают никакую информацию кроме статуса лицензии – действительная она или нет.

Другой вариант взаимодействия: наше глобальное репутационное облако Kaspersky Security Network (KSN). Режим взаимодействия с ним тоже имеет два варианта.

Самый распространенный случай – наши продукты просто запрашивают репутацию файла, ссылки, домена для повышения уровня детектирования, поскольку выпуск антивирусных баз не очень быстрый процесс. В антивирусные базы не заложишь все, что хочешь, потому что они ограничены по размеру. А репутационное облако наполняется за счет информации со всего мира, за счет наших роботов и аналитиков, за счет спам-ловушек и так далее. Как только мы узнаем, что где-то в мире впервые детектировался вредоносный код, так сразу же информация о нем появится в репутационном облаке. При этом никаких личных данных мы не собираем. Соответственно, от заказчика в KSN уходит техническая информация: хеш-сумма файла, сигнатура и т.п.

Для заказчиков, которые по политикам безопасности не могут взаимодействовать со сторонними серверами за пределами периметра, но все-таки хотят сохранить высокий уровень детектирования вредоносного кода, есть специальная версия – Kaspersky Private Security Network. В этом случае все обновления и базы нашего KSN в однонаправленном режиме скачиваются в локальный KPSN, и это облако работает исключительно внутри периметра, не отдавая никаких данных вовне.

– Что бы вы хотели пожелать нашим читателям?

– Оставайтесь в безопасности. Старайтесь меньше подвергать себя риску. Сохраняйте высокий уровень кибербезопасности своей корпоративной сети. А в этом вам могут помочь, в том числе, и решения от «Лаборатории Касперского». 

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи