Лаборатория Касперского запатентовала технологию защиты от целевых атак

Лаборатория Касперского запатентовала технологию защиты от целевых атак

Компания «Лаборатория Касперского» запатентовала новую технологию защиты от целевых атак. Она основана на алгоритмах машинного обучения и автоматизирует обнаружение одного из самых эффективных и опасных киберпреступных инструментов — утилит для скрытного удаленного управления компьютером. При этом технология работает даже в тех случаях, когда преступники передают данные по зашифрованным каналам связи.

Утилиты для удаленного управления компьютером используются организаторами целевых атак, чтобы незаметно осуществлять вредоносную активность на устройствах жертв. После установки программа получает на компьютере администраторские права и дает злоумышленникам возможность искать на нем конфиденциальную информацию, которая затем передается на командный сервер. Такой сценарий особенно опасен для корпоративных сетей. Если несанкционированный доступ не удается вовремя обнаружить, ущерб может быть колоссальным.

Новая технология «Лаборатории Касперского» анализирует активность всех приложений на компьютере пользователя и выявляет случаи аномального поведения. Она обнаруживает все зависимости между событиями на устройстве. Сравнивая их с устоявшимися поведенческими шаблонами, технология принимает решение о детектировании удаленной атаки на компьютер. Затем устанавливается, какое именно приложение используется для удаленного администрирования. Опасность могут представлять как неизвестные утилиты, так и скомпрометированные доверенные программы или их отдельные компоненты.

«Обнаружение атак удаленного доступа, особенно если они происходят по зашифрованным каналам связи, критически важно для защиты от APT-угроз. Часто это одна из ранних стадий нападения: инструменты удаленного администрирования внедряются преступниками в сеть жертвы во время поиска и кражи ценной информации. Вот почему важно обнаруживать такую подозрительную активность в самом начале. Наша новая технология позволит специалистам по информационной безопасности предотвращать инциденты, даже если предыдущие уровни защиты по тем или иным причинам не сработали», — отметил Олег Глебов, руководитель направления развития решений по противодействию целенаправленным атакам «Лаборатории Касперского».

Новая технология станет доступна как компонент платформы Kaspersky Anti Targeted Attack Platform (KATA) в 2018 году. Решение KATA противостоит целевым атакам на всех этапах и способно как обнаружить уже начавшуюся атаку и минимизировать ущерб от нее, так и защитить предприятие от потенциальных угроз, оценив риски для безопасности в текущей инфраструктуре. KATA собирает информацию обо всех событиях в сети, находит аномалии при помощи передовых технологий и машинного обучения, объединяя информацию в инциденты и помогая реагировать на них из единого интерфейса.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

InfoWatch EndPoint Security 13.1 улучшает алгоритмы шифрования

Группа компаний (ГК) InfoWatch, российский разработчик комплексных решений в сфере информационной безопасности (ИБ) предприятий, сообщает о выпуске InfoWatch EndPoint Security 13.1 — решения для мониторинга и контроля целостности рабочих станций и информационных ресурсов организаций с улучшенными алгоритмами шифрования. Продукт позволяет контролировать доступ сотрудников к различным устройствам и программам, автоматически шифрует данные для защиты от несанкционированного доступа, в том числе по ГОСТу, и обеспечивает аудит информационных систем организации.

Для удобного и быстрого мониторинга использования ИТ-инфраструктуры предприятий, продукт InfoWatch EndPoint Security с помощью инструмента «Insight» создает наглядные отчеты, которые позволяют оценить и спрогнозировать использование сотрудниками рабочих станций, оргтехники, различных накопителей информации, сетевых и интернет-ресурсов, программных приложений.

«Программный продукт InfoWatch EndPoint Security позволяет предприятиям выполнить ряд базовых шагов по построению систем защиты, — отметил руководитель направления InfoWatch Endpoint Security Сергей Поздняков. — Решение проводит аудит всех информационных систем в организации, позволяет определить узкие места в ИТ-инфраструктуре и выявить неправомерные действия сотрудников, установить правила для отслеживания легитимных действий и инцидентов информационной безопасности. При этом, настроенные службой ИБ политики безопасности применяются на устройствах, где установлен агент, даже если компьютер находится за пределами компании и не имеет подключения к сети».

Решение InfoWatch EndPoint Security предоставляет возможность разграничивать права доступа сотрудников к устройствам и сетевому окружению, например, флэш-накопителям, локальным дискам, принтерам, и к программам, создавая черные и белые списки, а также контролировать операции с конкретными типами файлов. Кроме того, программный продукт позволяет ограничивать скачивание данных через браузер, доступ к облачным хранилищам и передачу документов в мессенджер Skype.

Новая версия InfoWatch EndPoint Security 13.1 содержит улучшенные алгоритмы и способы шифрования данных.

«Съемные носители, ноутбуки, облачные хранилища — это, как правило, наиболее уязвимые звенья корпоративной ИТ-инфраструктуры, где сотрудники часто хранят большие объемы конфиденциальной информации, — сказал Сергей Поздняков. — Такие каналы часто привлекают внимание злоумышленников, подвержены постороннему доступу и потере контроля над ними с последующей компрометацией данных. Поэтому без должного уровня защиты возникают риски, которые могут вести к репутационным и финансовым потерям. InfoWatch EndPoint Security шифрует файлы в локальных каталогах ноутбуков и ПК, на внешних устройствах, в сетевых каталогах и в облачных хранилищах и тем самым обеспечивает целостность и конфиденциальность данных. Доступ к данным возможен только пользователям, установленным политиками безопасности. Шифрование данных не нарушает обычную работу устройства и может производиться как автоматически в фоновом режиме, так и самим пользователем или офицером безопасности с помощью контекстного меню».

Решение позволяет настраивать доступ к зашифрованным данным в зависимости от потребностей и бизнес-процессов организации, например, при индивидуальном шифровании  файл будет доступен только конкретному пользователю, а для предоставления доступа определенному кругу лиц доступна функция шифрования по группам.

Для выполнения криптографических операций в операционной системе продукт может использовать как базовый криптопровайдер Windows, так и сторонний криптопровайдер, который позволяет использовать стандарт шифрования ГОСТ 28147-89.

Решение может интегрироваться с DLP-системой InfoWatch Traffic Monitor и дополнять ее данными о действиях пользователей. InfoWatch EndPoint Security направляет в DLP-систему теневые копии файлов при их копировании на съемные носители. Кроме того, продукт позволяет отслеживать изменения, связанные с аппаратной частью рабочего места сотрудника, например, замену жестких дисков, модулей оперативной памяти или графических адаптеров.

Интеграция InfoWatch EndPoint Security в инфраструктуру организации предполагает развертывание программного агента на компьютерах сотрудников, а также установку сервера управления для работы ИБ-специалистов. Для установки агента InfoWatch EndPoint Security на устройстве требуется 1 ГБ свободного места на диске и 512 МБ оперативной памяти. Программный продукт быстро масштабируется на любое количество станций.

Дополнительно о ключевых особенностях продукта вы можете узнать здесь.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru