ВИЗИТКА 


Денис Кащеев,
технический эксперт по комплексным
решениям «Лаборатории Касперского»

Как объять необъятное?
Kaspersky EDR для бизнеса Оптимальный против
сложных и неизвестных угроз

Вы, компьютерщики, чем-то сродни микробиологам. И у них, и у вас постоянно появляется что-то новенькое, и точно также никто поначалу не знает, что с этим делать…
Из откровений бизнес-аналитика

Не бывает так, что средства обмена данными постоянно развиваются, а средства нанесения ущерба при помощи ИТ – нет. Развитие идет по всем направлениям, и вредоносные ИТ-программы не отстают от других программ, а иногда, увы, и опережают их. Поэтому поговорим о превентивной защите от сложных угроз – о решении Kaspersky EDR для бизнеса Оптимальный.

Начнем с начала

Представим себе такую ситуацию. Жил да был системный администратор или администратор безопасности. Он потрудился на славу: проанализировал трафик и настроил правила на брандмауэре, установил корпоративный антивирус с регулярным обновлением баз, разграничил доступ на основе ролевой модели и настроил дополнительную систему контроля доступа на основе единого центра аутентификации и авторизации, а также систему мониторинга и анализа уязвимостей.

Может ли ответственный системный администратор спать спокойно?

И да, и нет.

С одной стороны, описанные выше меры, вполне укладываются в общую модель защиты от большинства известных угроз.

С другой стороны, самые опасные и головоломные проблемы происходят по самой неожиданной причине. «Маскирующиеся угрозы» – более сложные, чем массовые, способны обходить базовый автоматический антивирус, маскироваться под легитимное ПО. Один из методов проникновения заключается в распространении среди пользователей вполне безобидной на первый взгляд программы, которая время от времени извлекает из своих недр другое приложение с конкретными вредоносными целями.

Например, если организация много и часто работает с документами в формате PDF, то программа-контейнер в виде бесплатного PDF-редактора легко и быстро разойдется по многим рабочим станциям.

Извлекаемая программа, скрипт и тому подобное malware также может не выглядеть опасным, пока не пройдет проверку антивирусом. Если же антивирус обнаружит и блокирует угрозу, программа-источник повторно извлечет вредоносное средство – и так будет каждый раз от проверки до проверки.

Такие и многие другие варианты угроз называют сложными или маскирующимися. Их не труднее детектировать, локализовать и устранить базовыми инструментами.

Как было сказано выше, такой механизм часто бывает заточен для конкретного ИТ-окружения. В этом случае системный администратор или администратор ИБ должен обладать определенными знаниями не только о вверенной инфраструктуре, но и о работе бизнеса в целом, специфике взаимодействия подразделений и сервисов, особенностях применяемого ПО. Требуются специальные знания ИБ-аналитика, а это другая профессия и другая квалификация.

И что теперь делать?

Всё просто – использовать продукты, которые призваны решать такие проблемы. Endpoint Detection & Response (EDR) – инструменты для обнаружения и противодействия именно вредоносной активности на конечных устройствах, в первую очередь на рабочих станциях и серверах.

Первоначально требовались специальные знания в области сбора и анализа данных. Нужно понимать, что собирать и как анализировать.

Kaspersky EDR для бизнеса Оптимальный – как переход от простого сложному

С появлением Kaspersky EDR для бизнеса Оптимальный жить и работать в ИБ стало проще, так как инструменты EDR доступны даже небольшим компаниям без глубокой экспертизы в вопросах ИБ.

Этот продукт поддерживает «джентльменский» набор, необходимый для распознавания сложных угроз:

• сбор данных с конечных точек в режиме реального времени;
• запись информации о действиях пользователей, сетевой активности и запущенных процессах (приложениях);
• определение и анализ странного поведения элементов системы;
• уведомление служб безопасности;
• блокировку атаки – изоляцию подозрительных файлов, отключение процессов и сетевых соединений (сетевая изоляция устройства) в качестве карантинных мер.

Теперь не нужно обладать какими-то сакральными знаниями для того, чтобы зафиксировать и локализовать сложную угрозу. Решение Kaspersky EDR для бизнеса Оптимальный уже включает в себя фундаментальную защиту рабочих мест Kaspersky Endpoint Security.

Она усилена базовыми инструментами EDR, которые сопровождаются инструкциями по реагированию. При этом управлять всеми процессами ИБ можно из единой консоли.

Что произойдет, если сложная угроза будет обнаружена?

В случае обнаружения угрозы немедленно сработает оповещение. Оно придет заранее настроенному кругу лиц. В карточке оповещения будет отображена информация о возникшей угрозе, а также предложен комплекс мер для локализации возможной проблемы, например, сетевая изоляция и сканирование остальных компьютеров на наличие индикаторов компрометации (Scan IOC). Кроме того, в консоли управления доступны виджеты по обнаружениям с цепочкой распространения угроз, так что будет понятно, откуда угроза пришла и куда успела проникнуть.

А если все на виртуальных серверах?

По большому счету нет существенной разницы, как организована ИТ-инфраструктура. При возникновении угрозы начинается подозрительная активность и Kaspersky EDR для бизнеса Оптимальный это зафиксирует.

В то же время большинство известных гипервизоров базируется на операционной системе, и за этим хозяйством также необходимо присматривать.

Когда Kaspersky EDR для бизнеса Оптимальный особенно полезен?

В первую очередь это просто спасение для тех случаев, когда системный администратор или администратор ИБ вынужден работать в одиночку.

Один из стандартных примеров – удаленный филиал. В России 11 часовых зон, и когда в одном регионе разгар рабочего дня, в другом – рабочий день ещё не начинался. В таких условиях быстро получить квалифицированную помощь из центрального офиса проблематично. Остается надеяться на свои знания, на свою интуицию и на EDR-систему.

Ещё очень важно иметь возможность с кем-то посоветоваться.

Представим себе ситуацию, когда с некой системой происходит что-то странное. Например, не устанавливается всегда стабильно работающее ПО. Или сервер время от времени выпадает в «синий экран», или просто перезагружается. Именно не часто, иногда. Что делает в таких случаях администратор:

• внимательно читает логи;
• пытается определить, что происходит, сначала подручными инструментами вроде антивируса, а после методом «научного тыка»;
• если это не помогло – начинает усиленно искать в Интернет хоть что-то похожее;
• если и это не помогает – обзванивает своих друзей и задает вопросы на форумах.

В итоге, даже если проблема решена, остались последствия экспериментов по её локализации, произошла утечка некоторых данных при попытке получить помощь из сторонних источников.

Kaspersky EDR для бизнеса Оптимальный заме­няет все эти шаги: с ним не нужно вычитывать логи и ко­паться в рутине – KEDR Оптимальный уже всё проанализировал.

Ещё один пример из стандартной практики. На компанию из 100 сотрудников было разослано фишинговое сообщение с предложением скачать бесплатную программу «с сюрпризом». Следом всем пришло письмо от системного администратора с требованием немедленно удалить фишинговое сообщение, не открывая и, тем более, не производя никаких действий.

92 сотрудника выполнили требования сисадмина. 2 сотрудника были в отпуске, 5 проигнорировали необходимые меры предосторожности и запустили файл, 1 нарушитель файл не скачивал и не запускал, но и письмо не удалил.

В итоге антивирус так и не смог выявить первоисточник проблемы, сисадмин вынужден удалить профили не только у 5 пофигистов, но и у нескольких десятков ни в чем не повинных лояльных сотрудников и перезалить их компьютеры со стандартного образа. Следом опасный файл скачал и запустил работник, вначале не удаливший письмо... Спустя некоторое время на работу вышли ничего не подозревающие отпускники…

Можно ли было решить данную проблему с меньшими потерями?

Да, если использовать технологию Endpoint Detection & Response на самой начальной стадии. Но у системного администратора на тот момент не было ни инструментов, ни соответствующих навыков. С Kaspersky EDR для бизнеса Оптимальный такая возможность есть у любой организации, купившей соответствующую лицензию.

А если что-то не получилось?

Для решения сложных вопросов есть многоуровневая техподдержка. Помимо деления на 1-2-3 уровни при эскалации запроса, существуют ещё различия по уровню вовлеченности. Для предприятий, которые серьезно завязаны на ИТ и подвержены высоким рискам, существуют расширенные варианты квалифицированной помощи в самых сложных вопросах.

А у меня уже есть другой антивирус!

Есть отдельный агент на случай, если нужны только функции EDR без антивируса. Это решение доступно в рамках KEDR Expert.

Kaspersky EDR для бизнеса Оптимальный содержит встроенное решение класса EPP – легендарный Kaspersky Endpoint Security для бизнеса, который ежегодно подтверждает свою эффективность в международных независимых тестированиях. Перейти на него можно просто и быстро с помощью программы выгодной миграции «Лаборатории Касперского»

Хочу научиться! Где брать информацию?

Для начала можно посмотреть ролики и вебинары на канале Kaspersky в YouTube. Потом прочесть штатную документацию по продукту Kaspersky EDR для бизнеса Оптимальный. Если информации не хватает, стоит обратиться в учебные центры, во многих из них анонсированы учебные курсы по EDR-системам, продуктам от Kaspersky, в том числе Kaspersky EDR для бизнеса Оптимальный.

На самом деле нет ничего сложного, данный продукт настраивается в веб-консоли и доступен для широкого использования.

Резюме

Сложную угрозу можно превратить в довольно простую, если иметь под рукой соответствующий инструментарий, а также знания и опыт. Kaspersky EDR для бизнеса Оптимальный позволяет сократить разрыв между паникой: «Всё пропало, шеф, всё пропало!»-до уверенности: «Дышите ровно. Угроза предотвращена»!

Надо просто знать, что и где «подкрутить» …

[1] Страница продукта Kaspersky EDR для бизнеса Оптимальный https://go.kaspersky.com/ru-edr-optimum

[2] Техническая cправка Kaspersky EDR для бизнеса Оптимальный: https://support.kaspersky.com/KEDR_Optimum/2.3/ru-RU/220194.htm

[3] Защита конечных точек: почему вам нужен EDR? https://www.youtube.com/watch?v=91OGSdUs1Qw&t=1s

Ключевые слова: Kaspersky EDR для бизнеса Оптимальный, встроенное решение класса EPP, фишинг, логи, веб-консоль

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи