KATA 8.0 получила новые инструменты для выявления сетевых угроз

«Лаборатория Касперского» представила Kaspersky Anti Targeted Attack 8.0 — новую версию своей платформы для защиты от целевых кибератак. В обновлении сделали ставку на две вещи: более точное выявление сетевых угроз и более тесную интеграцию с другими средствами защиты.

Одно из главных изменений — новая технология поиска аномального поведения в сети.

Она не пытается анализировать весь трафик подряд, а сосредотачивается на ключевых протоколах, которые часто фигурируют в атаках, — например, DNS, HTTP и Kerberos. Такой подход должен снизить число ложных срабатываний и упростить работу ИБ-командам, которым и без того хватает шума.

Ещё одна новая функция — обнаружение теневых ИТ. Речь идёт о случаях, когда сотрудники используют внешние сервисы, которые не одобрены политиками безопасности компании. Сейчас KATA умеет отслеживать более 5 тысяч таких сервисов, включая облачные хранилища и платформы для совместной работы. Для компаний это способ лучше видеть, куда на самом деле уходит корпоративный трафик и какие инструменты используются в обход официальных правил.

В платформе также появилось ретроспективное сканирование копий трафика. ИБ-специалисты теперь могут загружать PCAP-файлы — вручную или автоматически из других систем — и прогонять их через актуальные правила детектирования, песочницы, IDS и другие механизмы анализа. Это должно помочь в более глубоком разборе инцидентов, особенно когда угрозу нужно искать уже постфактум.

Отдельно в новой версии расширили сбор наблюдаемых данных из сетевого трафика. Причём речь не только о явно вредоносных объектах: система собирает и имена файлов, URL, хеши и по «безопасным» на первый взгляд объектам. Логика здесь понятная: иногда подозрительная активность прячется как раз там, где ничего откровенно опасного сначала не видно.

Вторая большая часть обновления — интеграции. KATA 8.0 стала плотнее работать как с собственными решениями «Лаборатории Касперского», так и со сторонними продуктами. Например, защищённые паролем почтовые вложения теперь можно отправлять на проверку в песочницу, телеметрию можно передавать в MDR, а подозрительные файлы с конечных точек — автоматически направлять на анализ. Кроме того, появились коннекторы для NGFW, чтобы на основе выявленной вредоносной активности можно было быстрее применять правила блокировки.

Также вырос масштаб подключения компонентов в NDR-сценариях: к одному Central Node теперь можно подключать до 15 тысяч Endpoint Agent на базе KES для Windows и Linux. Это скорее инфраструктурная деталь, но для крупных организаций она вполне практическая.