Как объять необъятное? Kaspersky EDR для бизнеса Оптимальный против сложных и неизвестных угроз::Журнал СА
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6201
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6910
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4194
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2991
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3798
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3807
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6300
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3153
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3448
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7265
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10632
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12354
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13987
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9114
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7067
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5377
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4605
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3417
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3146
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3394
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3014
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Как объять необъятное? Kaspersky EDR для бизнеса Оптимальный против сложных и неизвестных угроз

Архив номеров / 2023 / Выпуск №11 (252) / Как объять необъятное? Kaspersky EDR для бизнеса Оптимальный против сложных и неизвестных угроз

Рубрика: Безопасность /  Продукты и решения

 ВИЗИТКА 


Денис Кащеев,
технический эксперт по комплексным
решениям «Лаборатории Касперского»

 

Как объять необъятное?
Kaspersky EDR для бизнеса Оптимальный против
сложных и неизвестных угроз

Вы, компьютерщики, чем-то сродни микробиологам. И у них, и у вас постоянно появляется что-то новенькое, и точно также никто поначалу не знает, что с этим делать…
Из откровений бизнес-аналитика

 

Не бывает так, что средства обмена данными постоянно развиваются, а средства нанесения ущерба при помощи ИТ – нет. Развитие идет по всем направлениям, и вредоносные ИТ-программы не отстают от других программ, а иногда, увы, и опережают их. Поэтому поговорим о превентивной защите от сложных угроз – о решении Kaspersky EDR для бизнеса Оптимальный.


Начнем с начала

Представим себе такую ситуацию. Жил да был системный администратор или администратор безопасности. Он потрудился на славу: проанализировал трафик и настроил правила на брандмауэре, установил корпоративный антивирус с регулярным обновлением баз, разграничил доступ на основе ролевой модели и настроил дополнительную систему контроля доступа на основе единого центра аутентификации и авторизации, а также систему мониторинга и анализа уязвимостей.


Может ли ответственный системный администратор спать спокойно?

И да, и нет.

С одной стороны, описанные выше меры, вполне укладываются в общую модель защиты от большинства известных угроз.

С другой стороны, самые опасные и головоломные проблемы происходят по самой неожиданной причине. «Маскирующиеся угрозы» – более сложные, чем массовые, способны обходить базовый автоматический антивирус, маскироваться под легитимное ПО. Один из методов проникновения заключается в распространении среди пользователей вполне безобидной на первый взгляд программы, которая время от времени извлекает из своих недр другое приложение с конкретными вредоносными целями.

Например, если организация много и часто работает с документами в формате PDF, то программа-контейнер в виде бесплатного PDF-редактора легко и быстро разойдется по многим рабочим станциям.

Извлекаемая программа, скрипт и тому подобное malware также может не выглядеть опасным, пока не пройдет проверку антивирусом. Если же антивирус обнаружит и блокирует угрозу, программа-источник повторно извлечет вредоносное средство – и так будет каждый раз от проверки до проверки.

Такие и многие другие варианты угроз называют сложными или маскирующимися. Их не труднее детектировать, локализовать и устранить базовыми инструментами.

Как было сказано выше, такой механизм часто бывает заточен для конкретного ИТ-окружения. В этом случае системный администратор или администратор ИБ должен обладать определенными знаниями не только о вверенной инфраструктуре, но и о работе бизнеса в целом, специфике взаимодействия подразделений и сервисов, особенностях применяемого ПО. Требуются специальные знания ИБ-аналитика, а это другая профессия и другая квалификация.


И что теперь делать?

Всё просто – использовать продукты, которые призваны решать такие проблемы. Endpoint Detection & Response (EDR) – инструменты для обнаружения и противодействия именно вредоносной активности на конечных устройствах, в первую очередь на рабочих станциях и серверах.

Первоначально требовались специальные знания в области сбора и анализа данных. Нужно понимать, что собирать и как анализировать.


Kaspersky EDR для бизнеса Оптимальный – как переход от простого сложному

С появлением Kaspersky EDR для бизнеса Оптимальный жить и работать в ИБ стало проще, так как инструменты EDR доступны даже небольшим компаниям без глубокой экспертизы в вопросах ИБ.

Этот продукт поддерживает «джентльменский» набор, необходимый для распознавания сложных угроз:

  • сбор данных с конечных точек в режиме реального времени;
  • запись информации о действиях пользователей, сетевой активности и запущенных процессах (приложениях);
  • определение и анализ странного поведения элементов системы;
  • уведомление служб безопасности;
  • блокировку атаки – изоляцию подозрительных файлов, отключение процессов и сетевых соединений (сетевая изоляция устройства) в качестве карантинных мер.

Теперь не нужно обладать какими-то сакральными знаниями для того, чтобы зафиксировать и локализовать сложную угрозу. Решение Kaspersky EDR для бизнеса Оптимальный уже включает в себя фундаментальную защиту рабочих мест Kaspersky Endpoint Security.

Она усилена базовыми инструментами EDR, которые сопровождаются инструкциями по реагированию. При этом управлять всеми процессами ИБ можно из единой консоли.


Что произойдет, если сложная угроза будет обнаружена?

В случае обнаружения угрозы немедленно сработает оповещение. Оно придет заранее настроенному кругу лиц. В карточке оповещения будет отображена информация о возникшей угрозе, а также предложен комплекс мер для локализации возможной проблемы, например, сетевая изоляция и сканирование остальных компьютеров на наличие индикаторов компрометации (Scan IOC). Кроме того, в консоли управления доступны виджеты по обнаружениям с цепочкой распространения угроз, так что будет понятно, откуда угроза пришла и куда успела проникнуть.


А если все на виртуальных серверах?

По большому счету нет существенной разницы, как организована ИТ-инфраструктура. При возникновении угрозы начинается подозрительная активность и Kaspersky EDR для бизнеса Оптимальный это зафиксирует.

В то же время большинство известных гипервизоров базируется на операционной системе, и за этим хозяйством также необходимо присматривать.


Когда Kaspersky EDR для бизнеса Оптимальный особенно полезен?

В первую очередь это просто спасение для тех случаев, когда системный администратор или администратор ИБ вынужден работать в одиночку.

Один из стандартных примеров – удаленный филиал. В России 11 часовых зон, и когда в одном регионе разгар рабочего дня, в другом – рабочий день ещё не начинался. В таких условиях быстро получить квалифицированную помощь из центрального офиса проблематично. Остается надеяться на свои знания, на свою интуицию и на EDR-систему.

Ещё очень важно иметь возможность с кем-то посоветоваться.

Представим себе ситуацию, когда с некой системой происходит что-то странное. Например, не устанавливается всегда стабильно работающее ПО. Или сервер время от времени выпадает в «синий экран», или просто перезагружается. Именно не часто, иногда. Что делает в таких случаях администратор:

  • внимательно читает логи;
  • пытается определить, что происходит, сначала подручными инструментами вроде антивируса, а после методом «научного тыка»;
  • если это не помогло – начинает усиленно искать в Интернет хоть что-то похожее;
  • если и это не помогает – обзванивает своих друзей и задает вопросы на форумах.

В итоге, даже если проблема решена, остались последствия экспериментов по её локализации, произошла утечка некоторых данных при попытке получить помощь из сторонних источников.

Kaspersky EDR для бизнеса Оптимальный заме­няет все эти шаги: с ним не нужно вычитывать логи и ко­паться в рутине – KEDR Оптимальный уже всё проанализировал.

Ещё один пример из стандартной практики. На компанию из 100 сотрудников было разослано фишинговое сообщение с предложением скачать бесплатную программу «с сюрпризом». Следом всем пришло письмо от системного администратора с требованием немедленно удалить фишинговое сообщение, не открывая и, тем более, не производя никаких действий.

92 сотрудника выполнили требования сисадмина. 2 сотрудника были в отпуске, 5 проигнорировали необходимые меры предосторожности и запустили файл, 1 нарушитель файл не скачивал и не запускал, но и письмо не удалил.

В итоге антивирус так и не смог выявить первоисточник проблемы, сисадмин вынужден удалить профили не только у 5 пофигистов, но и у нескольких десятков ни в чем не повинных лояльных сотрудников и перезалить их компьютеры со стандартного образа. Следом опасный файл скачал и запустил работник, вначале не удаливший письмо... Спустя некоторое время на работу вышли ничего не подозревающие отпускники…


Можно ли было решить данную проблему с меньшими потерями?

Да, если использовать технологию Endpoint Detection & Response на самой начальной стадии. Но у системного администратора на тот момент не было ни инструментов, ни соответствующих навыков. С Kaspersky EDR для бизнеса Оптимальный такая возможность есть у любой организации, купившей соответствующую лицензию.


А если что-то не получилось?

Для решения сложных вопросов есть многоуровневая техподдержка. Помимо деления на 1-2-3 уровни при эскалации запроса, существуют ещё различия по уровню вовлеченности. Для предприятий, которые серьезно завязаны на ИТ и подвержены высоким рискам, существуют расширенные варианты квалифицированной помощи в самых сложных вопросах.


А у меня уже есть другой антивирус!

Есть отдельный агент на случай, если нужны только функции EDR без антивируса. Это решение доступно в рамках KEDR Expert.

Kaspersky EDR для бизнеса Оптимальный содержит встроенное решение класса EPP – легендарный Kaspersky Endpoint Security для бизнеса, который ежегодно подтверждает свою эффективность в международных независимых тестированиях. Перейти на него можно просто и быстро с помощью программы выгодной миграции «Лаборатории Касперского»


Хочу научиться! Где брать информацию?

Для начала можно посмотреть ролики и вебинары на канале Kaspersky в YouTube. Потом прочесть штатную документацию по продукту Kaspersky EDR для бизнеса Оптимальный. Если информации не хватает, стоит обратиться в учебные центры, во многих из них анонсированы учебные курсы по EDR-системам, продуктам от Kaspersky, в том числе Kaspersky EDR для бизнеса Оптимальный.

На самом деле нет ничего сложного, данный продукт настраивается в веб-консоли и доступен для широкого использования.


Резюме

Сложную угрозу можно превратить в довольно простую, если иметь под рукой соответствующий инструментарий, а также знания и опыт. Kaspersky EDR для бизнеса Оптимальный позволяет сократить разрыв между паникой: «Всё пропало, шеф, всё пропало!»-до уверенности: «Дышите ровно. Угроза предотвращена»!

Надо просто знать, что и где «подкрутить» …


[1] Страница продукта Kaspersky EDR для бизнеса Оптимальный https://go.kaspersky.com/ru-edr-optimum

[2] Техническая cправка Kaspersky EDR для бизнеса Оптимальный: https://support.kaspersky.com/KEDR_Optimum/2.3/ru-RU/220194.htm

[3] Защита конечных точек: почему вам нужен EDR? https://www.youtube.com/watch?v=91OGSdUs1Qw&t=1s

 

Ключевые слова: Kaspersky EDR для бизнеса Оптимальный, встроенное решение класса EPP, фишинг, логи, веб-консоль

https://www.kaspersky.ru/small-to-medium-business-security/endpoint-optimum

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru