«Лаборатория Касперского» презентовала новую линейку продуктов Kaspersky Smart. Kaspersky Smart ориентирована на киберзащиту среднего бизнеса и осуществляет поддержку от 250 до 999 устройств. Kaspersky Smart I и II позволяют вести мониторинг событий в безопасности, обнаруживать и анализировать сложные угрозы, а также реагировать на них.
- Введение
- Особенности Kaspersky Smart
- Системные требования Kaspersky Smart
- Ключевая функциональность Kaspersky Smart
- 4.1. Kaspersky Smart I
- 4.1.1. Мониторинг событий в ИБ
- 4.1.2. Корреляция событий
- 4.2. Kaspersky Smart II
- 4.1. Kaspersky Smart I
- Smart I или Smart II?
- Выводы
Введение
Средний бизнес сталкивается с рядом проблем, которые требуют немедленного решения.
По данным «Лаборатории Касперского», в первой половине 2023 года на устройствах работников небольших компаний было зарегистрировано почти 100 тысяч срабатываний вредоносных файлов. Это подтверждает, что киберпреступники активно атакуют предприятия малого и среднего бизнеса. Целью злоумышленников является получение доступа к конфиденциальной информации: данным клиентов, финансовым отчётам и прочему. Также всё больше таких компаний подвергаются атакам с использованием программ-шифровальщиков. Всё это может привести к серьёзным последствиям, таким как финансовые потери, утечка данных, остановка бизнес-процессов и ухудшение репутации компании.
Киберпреступники постоянно совершенствуют свои методы атак, что делает защиту от них всё сложнее. Для выявления угроз в настоящее время необходимы серьёзные инструменты, требующие больших затрат на оборудование для хранения и обработки данных и оплату труда квалифицированных ИБ-специалистов. Немногие компании среднего бизнеса могут позволить себе вкладывать большие суммы в развитие информационной безопасности.
Постоянно увеличивается и регуляторное давление на различные сферы бизнеса. К организациям предъявляется всё больше обязательных для выполнения требований по ИБ. Здравоохранение, транспорт и связь, энергетика, банковский сектор — это далеко не полный перечень отраслей, которые подпадают под требования нормативных правовых актов. Кроме того, строгим предписаниям в вопросах кибербезопасности всё чаще необходимо следовать и участникам цепочек поставок крупных компаний и государственных организаций. Для помощи пользователям «Лаборатория Касперского» запустила регуляторный хаб знаний, в котором собраны все регулирующие документы по информационной безопасности и конкретные рекомендации по соответствию их требованиям для различных отраслей экономики.
Новая линейка решений Kaspersky Smart для умной защиты среднего бизнеса позволяет соответствовать требованиям, предъявляемым к организациям, автоматически обнаруживать сложные угрозы, оперативно реагировать на инциденты и проводить расследования.
Особенности Kaspersky Smart
Продукты линейки Kaspersky Smart функционируют на базе уже имеющихся в портфеле «Лаборатории Касперского» решений — средства защиты конечных точек Kaspersky EDR Expert (KEDR) и системы управления событиями (SIEM) KUMA. Kaspersky Smart I — это как раз SIEM, а Kaspersky Smart II — связка SIEM + KEDR.
Главное преимущество Kaspersky Smart I и II — снижение технических требований к аппаратной части и возможность размещения на имеющихся серверах или виртуальных машинах. Это позволяет существенно снизить затраты на оборудование, что, в свою очередь, делает решения Kaspersky Smart доступными для организаций среднего размера с точки зрения цены и ресурсов на эксплуатацию.
Несмотря на снижение аппаратных требований, Kaspersky Smart I и II обладают ключевой функциональностью, присущей решениям экспертного уровня (за исключением песочницы в KEDR).
Компонент Endpoint Agent поддерживает работу во всех популярных версиях операционных систем. Если в организации уже используется Kaspersky Endpoint Security, то установка дополнительных агентов на устройства не требуется. Разграничение функциональности осуществляется в рамках лицензии.
Системные требования Kaspersky Smart
Требования к ИТ-инфраструктуре организации зависят от количества подключённых устройств. Вендор в рамках решения осуществляет поддержку любого их числа в диапазоне от 250 до 1000.
Таблица 1. Системные требования для Kaspersky Smart I и II
|
Kaspersky Smart I |
Kaspersky Smart II |
|||
|
До 500 устройств |
До 1000 устройств |
До 500 устройств |
До 1000 устройств |
|
|
вЦП |
16 |
16 |
22 |
24 |
|
ОЗУ |
32 ГБ |
32 ГБ |
52 ГБ |
96 ГБ |
|
Твердотельный накопитель |
300 ГБ |
600 ГБ |
300 ГБ |
600 ГБ |
|
Жёсткий диск |
600 ГБ (при сроке хранения событий 30 дней) 2,2 ТБ (при сроке хранения событий 90 дней) |
1,1 ТБ (при сроке хранения событий 30 дней) 4,4 ТБ (при сроке хранения событий 90 дней) |
Рассчитывается индивидуально исходя из срока хранения и ОС на хостах |
|
SIEM лицензируется по количеству событий, поступающих в систему за одну секунду (EPS). Итоговое значение EPS для Kaspersky Smart рассчитывается следующим образом: количество устройств умножается на два и результат округляется до 100 в большую сторону.
Ключевая функциональность Kaspersky Smart
Kaspersky Smart I
Мониторинг событий в ИБ
В состав Kaspersky Smart I входит одна ключевая технология — SIEM. SIEM-система собирает события с различных устройств и приложений, а также анализирует их на предмет возможных угроз безопасности.
События из журналов регистрации подключённых устройств поступают в SIEM. После этого начинается процесс нормализации — приведения данных о событиях в различных форматах и из разных источников к единому стандарту, который облегчает их анализ и обработку. Потом события фильтруются и агрегируются (однотипные события объединяются в одно). Далее в игру вступают правила корреляции.
Корреляция событий
Корреляция позволяет определить, как одно событие влияет на другое или как несколько событий связаны между собой. При обнаружении последовательности событий, которая соответствует условиям правил, создаётся корреляционное событие. Kaspersky Smart поставляется с готовым набором правил корреляции. Также есть возможность создания собственных детектирующих правил, как из простых последовательностей событий, так и из сложных закономерностей.
При срабатывании правила корреляции создаётся сигнал (алерт), который указывает на возможную угрозу безопасности. Каждому такому сигналу автоматически присваивается уровень важности, который можно изменить вручную. Уведомление о создании алерта отправляют на электронную почту или в Telegram.
Kaspersky Smart позволяет создавать, просматривать и обрабатывать инциденты в ИБ. Инцидент создаётся на основе алерта.
При необходимости можно настроить автоматическое дополнение событий с помощью правил обогащения: например, к событию, в котором указано имя учётной записи пользователя, добавить сведения об отделе и должности. Это позволит упростить расследование инцидента.
Интеграция Kaspersky Smart с другими решениями (продуктами «Лаборатории Касперского», UserGate, R-Vision, Active Directory) позволяет расширить возможности программы: не только выявлять возможные угрозы ИБ, но и осуществлять реагирование на них. К примеру, можно заблокировать учётную запись пользователя, инициировать его выход из активных сессий, заблокировать доступ к сайту по IP-адресу, запустить антивирусную проверку (в случае интеграции с Kaspersky Security Center).
Kaspersky Smart II
Обнаружение сложных угроз
В состав Kaspersky Smart II включены две передовые технологии — SIEM и KEDR.
Kaspersky EDR Expert может автоматически выявлять сложные угрозы на конечных устройствах с помощью IoA-правил (правил для индикаторов атак). На основе данных телеметрии IoA-правила автоматически создают обнаружения (события, которые отмечены как подозрительные и, возможно, представляют угрозу ИБ).
Рисунок 1. Сбор телеметрии
В Kaspersky EDR Expert есть два вида IoA-правил:
- Правила «Лаборатории Касперского», которые соответствуют техникам в базе MITRE ATT&CK. Они устанавливаются автоматически и обновляются вместе с базами программы. Удалить правила «Лаборатории Касперского» нельзя, но можно добавить их в список исключений, тогда проверка баз событий по этим правилам проводиться не будет.
- Пользовательские правила, которые создаются специалистами организации-заказчика.
На основе обнаружений можно создать инцидент вручную или включить встроенные правила для автоматической связи обнаружений с инцидентами.
Поиск индикаторов компрометации и реагирование
Поиск индикаторов компрометации (IoC) заключается в сравнении артефактов события с набором признаков атаки (например, хеш-сумм файлов, конкретных URL-адресов). В случае совпадения Kaspersky EDR Expert выполняет заданное действие по реагированию.
В Kaspersky Smart II доступны следующие действия по автоматическому реагированию (помимо доступных в Kaspersky Smart I):
- изоляция хоста (и снятие изоляции);
- запрет запуска или открытия файлов;
- запуск исполняемого файла на устройстве по полному пути.
Smart I или Smart II?
Какую лицензию приобретать?
Снижение системных требований и возможность разместить Kaspersky Smart на виртуальных серверах значительно уменьшают затраты на приобретение компьютерного оборудования. Автоматизация рутинных процессов (в том числе корреляции большого количества данных) позволяет сэкономить время и другие внутренние ресурсы команды. Но важно понимать, что управление таким инструментарием в любом случае требует наличия профильных специалистов по ИБ и внутренней экспертизы.
При выборе решения необходимо руководствоваться возможностями организации. Если компания только начала стратегически выстраивать устойчивую к сложным угрозам систему ИБ и имеет небольшой штат профильных специалистов, то будет разумно ограничиться покупкой лицензии на Kaspersky Smart I. По мере совершенствования ИТ- и ИБ-процессов и увеличения числа ИБ-специалистов можно перейти к полной комплектации Kaspersky Smart.
С особенностями проектирования ИБ-системы можно ознакомиться в нашей статье.
Выводы
Снижение аппаратных требований делает решения линейки Kaspersky Smart доступными для среднего бизнеса. Их использование позволит предотвратить утечку данных и нарушение бизнес-процессов организации.
Kaspersky Smart I даёт возможность осуществлять мониторинг, потоковую корреляцию событий и управление инцидентами, совершать базовые действия по реагированию.
Kaspersky Smart II в дополнение к технологиям Kaspersky Smart I получает и анализирует события телеметрии, что позволяет обнаруживать сложные угрозы безопасности. Также в Kaspersky Smart II есть возможность совершать автоматические действия по реагированию на конечных точках.
В обоих решениях доступна интеграция «из коробки» с распространёнными источниками данных и ИТ-системами.
Все компоненты линейки внесены в реестр отечественного ПО и сертифицированы ФСТЭК России.
