Обзор Kaspersky Endpoint Detection and Response для бизнеса Оптимальный

1. Введение
2. Функциональные возможности «Kaspersky EDR для бизнеса Оптимальный»
3. Архитектура решения «Kaspersky EDR для бизнеса Оптимальный»
4. Системные требования «Kaspersky EDR для бизнеса Оптимальный»
5. Установка и первоначальная настройка «Kaspersky EDR для бизнеса Оптимальный»
1. 5.1. Установка Kaspersky Security Center
2. 5.2. Установка Kaspersky Endpoint Agent
6. Сценарии использования «Kaspersky EDR для бизнеса Оптимальный»
1. 6.1. Анализ информации о вредоносных программах в «Kaspersky EDR для бизнеса Оптимальный»
2. 6.2. Создание индикаторов компрометации в «Kaspersky EDR для бизнеса Оптимальный»
3. 6.3. Карантин вредоносного файла в «Kaspersky EDR для бизнеса Оптимальный»
4. 6.4. Сетевая изоляция устройства в «Kaspersky EDR для бизнеса Оптимальный»
5. 6.5. Запрет запуска файлов в «Kaspersky EDR для бизнеса Оптимальный»
7. Выводы

Введение

По результатам исследования, проведённого «Лабораторией Касперского», в 2019 году доля фишинговых атак только в финансовом секторе по отношению ко всем зафиксированным случаям фишинга возросла с 44,7 % до 51,4 %. Помимо финансового и банковского секторов основными целями кибернападений являются государственные учреждения и промышленные предприятия. Организации, относящиеся к данным категориям, являются субъектами критической информационной инфраструктуры (КИИ) в соответствии с Федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации». По сведениям Министерства иностранных дел России, с начала 2020 года было выявлено более миллиарда атак только в отношении объектов КИИ.

Для защиты от сложных угроз и целевых атак крупные организации, выбирающие защиту от «Лаборатории Касперского», обычно применяют Kaspersky Anti Targeted Attack Platform, а для анализа событий по безопасности на конечных точках — решение Kaspersky Endpoint Detection and Response. Однако малым и средним компаниям оно может показаться дорогостоящим, тем более что часть его функциональности иногда не востребованна подобными предприятиями при выявлении, расследовании и обработке свойственных им киберинцидентов. Такие организации чаще всего используют для защиты рабочих мест продукт Kaspersky Endpoint Security для Windows. Впрочем, зачастую для противостояния более сложным современным угрозам им требуется базовая функциональность систем класса EDR, обеспечивающая лучшую видимость обнаружений, а также возможности для дальнейшего анализа и реагирования на угрозы.

В связи с этим «Лаборатория Касперского» решила дополнить линейку Kaspersky Security для бизнеса, представив «Kaspersky EDR для бизнеса Оптимальный», который включает в себя не только технологии защиты конечных устройств, доступные в продукте «Kaspersky Endpoint Security для бизнеса Расширенный», но и упомянутую выше базовую функциональность EDR: возможности по анализу обнаруженных угроз, реагированию на них и предотвращению подобных происшествий в будущем. Если в инфраструктуре компании уже развёрнут «Стандартный» или «Расширенный» уровень линейки, то переход на «Оптимальный» не потребует значительных усилий.

Функциональные возможности «Kaspersky EDR для бизнеса Оптимальный»

«Kaspersky EDR для бизнеса Оптимальный» предназначен для выявления и расследования кибератак, реагирования на них, а также предоставляет инструментарий для работы с инцидентами в сфере информационной безопасности.

К основным возможностям «Kaspersky EDR для бизнеса Оптимальный» относятся:

1. Обнаружение угроз и аккумуляция необходимой информации по ним в одном месте. В карточке инцидента автоматически строится граф цепочки развития угрозы, а также предоставляется доступ к информации об устройстве, сведениям по обнаружению кибератаки и событиям, имеющим отношение к безопасности (когда и какие действия, связанные с инцидентом, выполнялись в операционной системе).
2. Интеграция со средствами анализа угроз, такими как облачная служба Kaspersky Security Network, программа Kaspersky Private Security Network, информационная система Kaspersky Threat Intelligence Portal и база данных Kaspersky Threats.
3. Различные варианты реагирования на угрозы: помещение заражённых объектов в карантин или их удаление, сетевая изоляция хостов, работа с процессами на защищаемых рабочих станциях (поддерживается возможность запрета определённых процессов, их удалённого запуска или завершения).
4. Поиск на конечных устройствах индикаторов компрометации (IoC), сгенерированных на основании расследованного обнаружения или импортированных.
5. При интеграции с Kaspersky Sandbox подозрительные или неизвестные объекты могут автоматически отправляться на дополнительную проверку в песочницу.

Рисунок 1. Архитектура работы решения «Kaspersky EDR для бизнеса Оптимальный» совместно с Kaspersky Sandbox

Архитектура решения «Kaspersky EDR для бизнеса Оптимальный»

«Kaspersky EDR для бизнеса Оптимальный» включает в себя компонент Endpoint Agent, который устанавливается на рабочие станции в составе платформы защиты конечных точек Kaspersky Endpoint Security. Первоначальное развёртывание агентов и дальнейшая настройка осуществляются в привычной локальной консоли Kaspersky Security Center. Агентское приложение запускается на рабочих местах сотрудников компании или серверах под управлением операционных систем семейства Microsoft Windows.

Возможности решения могут быть расширены за счёт технологий песочницы Kaspersky Sandbox, которая выполняет дополнительную проверку подозрительных объектов путём анализа угроз нулевого дня (0-day) и других вредоносных сущностей, ускользающих от обнаружения, в изолированной среде. Эта функциональность может быть добавлена посредством приобретения лицензии Kaspersky Sandbox.

Таким образом, решение «Kaspersky EDR для бизнеса Оптимальный» может состоять из следующих компонентов:

• агент Kaspersky Endpoint Agent (в составе приложений Kaspersky Security для бизнеса),
• локальный сервер управления Kaspersky Security Center с соответствующей консолью администрирования,
• песочница Kaspersky Sandbox, которая не входит в состав решения по умолчанию, но позволяет улучшить детектирование труднообнаружимых угроз и реагирование на них.

Системные требования «Kaspersky EDR для бизнеса Оптимальный»

«Kaspersky EDR для бизнеса Оптимальный» не нуждается в большом количестве ресурсов; требования к ним — такие же, как у Kaspersky Endpoint Security и Kaspersky Security Center. Соответственно, при наличии этих средств защиты в инфраструктуре организации выделять дополнительные мощности под «Kaspersky EDR для бизнеса Оптимальный» не понадобится. Минимальные аппаратные требования для агентов и консолей управления приведены в таблицах ниже.

Таблица 1. Минимальные аппаратные требования для установки агента «Kaspersky EDR для бизнеса Оптимальный»

Таблица 2. Минимальные требования к установке консолей для управления «Kaspersky EDR для бизнеса Оптимальный»

Перечень поддерживаемых «Kaspersky EDR для бизнеса Оптимальный» операционных систем:

• Windows 7 SP1 Home / Professional / Enterprise (32- и 64-разрядная);
• Windows 8.1.1 Professional / Enterprise (32- и 64-разрядная);
• Windows 10 Home / Professional / Education / Enterprise (32- и 64-разрядная);
• Windows Server 2008 R2 Foundation / Standard / Enterprise (64-разрядная);
• Windows Server 2012 Foundation / Standard / Enterprise (64-разрядная);
• Windows Server 2012 R2 Foundation / Standard / Enterprise (64-разрядная);
• Windows Server 2016 Essentials / Standard / Datacenter (64-разрядная);
• Windows Server 2019 Essentials / Standard / Datacenter (64-разрядная).

Установка и первоначальная настройка «Kaspersky EDR для бизнеса Оптимальный»

Установка «Kaspersky EDR для бизнеса Оптимальный» не отличается от процесса внедрения Kaspersky Endpoint Security для Windows. Организациям, где данные продукты уже установлены, для получения возможности работать с инцидентами или IoC-файлами потребуется только добавить соответствующую лицензию.

Установка Kaspersky Security Center

В первую очередь потребуется запустить инсталляционный пакет и проследовать указаниям мастера установки.

Рисунок 2. Схема развёртывания Kaspersky Security Center

Мастер установки проверит наличие .NET Framework, предложит ознакомиться с лицензионным соглашением и политикой конфиденциальности, а также дать согласие на обработку персональных данных.

Далее происходит выбор варианта установки — стандартная или выборочная. При выборочной инсталляции мастер запрашивает примерное количество устройств, которыми планируется управлять.

Для работы Kaspersky Security Center требуется подключение к системе управления базами данных, параметры которого следует указать во время установки. Для администратора доступны два варианта подключения — к Microsoft SQL Server и к MySQL.

Рисунок 3. Параметры подключения к СУБД MySQL в процессе установки Kaspersky Security Center

Рисунок 4. Параметры подключения к СУБД Microsoft SQL Server в процессе установки Kaspersky Security Center

После успешного создания базы данных автоматически регистрируются новые учётные записи, от имени которых Kaspersky Security Center будет запускать собственные службы. Можно указать уже зарегистрированные служебные «учётки» — при их наличии.

В заключение создаётся (или указывается) папка общего доступа, которая предназначена для хранения установочных пакетов и пакетов обновлений продуктов «Лаборатории Касперского», а также настраиваются параметры сервера администрирования — его адрес, порты для подключения, длина ключа шифрования.

Рисунок 5. Стартовая страница веб-консоли Kaspersky Security Center

Стоит отметить, что установка веб-консоли Kaspersky Security Center выбирается опционально в мастере установки или осуществляется дополнительно либо на сам узел Kaspersky Security Center, либо на выделенный сервер. После установки веб-консоль Kaspersky Security Center будет доступна по адресу https://<DNS-name / IP address>:8080.

Установка Kaspersky Endpoint Agent

По завершении установки Kaspersky Security Center запускается мастер развёртывания защиты. С его помощью администратор может выполнить ряд подготовительных действий:

• настроить параметры уведомлений о событиях, связанных с безопасностью,
• загрузить инсталляционные пакеты,
• сконфигурировать агенты, которые будут установлены на отдельные хосты,
• указать хосты, где требуется установка агентов (мастер развёртывания защиты отображает перечень доменных серверов и АРМ, к которым имеется сетевой доступ),
• назначить параметры задач для удалённой установки агентов,
• указать лицензионный ключ (при необходимости) и учётную запись с правами администратора на АРМ, где будет производиться установка.

После выполнения этих действий можно запустить созданную задачу по установке. Стоит обратить внимание на то, что для использования возможностей «Kaspersky EDR для бизнеса Оптимальный» необходимо установить Kaspersky Endpoint Security 11.4 (и новее) для Windows с компонентом Endpoint Agent.

Рисунок 6. Параметры задачи удалённой установки в интерфейсе веб-консоли Kaspersky Security Center

Кроме того, в настройках можно указать необходимость автоматического удаления программ, несовместимых с устанавливаемыми продуктами (различные версии средств антивирусной защиты других производителей).

Существуют и другие способы развёртывания «Kaspersky EDR для бизнеса Оптимальный»:

• путём запуска установки из командной строки;
• с помощью мастера установки программы (аналогично установке Kaspersky Security Center);
• с помощью групповых политик операционной системы Microsoft Windows.

Рисунок 7. Перечень задач в интерфейсе веб-консоли Kaspersky Security Center

Сценарии использования «Kaspersky EDR для бизнеса Оптимальный»

Анализ информации о вредоносных программах в «Kaspersky EDR для бизнеса Оптимальный»

При обнаружении вредоносной программы на рабочей станции в Kaspersky Endpoint Security создаётся событие по информационной безопасности, которое можно также увидеть в отчёте «Kaspersky EDR для бизнеса Оптимальный». Помимо общих сведений о вредоносном объекте там доступны дополнительные данные о происшествии. Также вся информация размещается в карточке инцидента.

Рисунок 8. Отчёт «Kaspersky EDR для бизнеса Оптимальный» в консоли Kaspersky Security Center

Карточка инцидента доступна из веб-консоли Kaspersky Security Center. В ней можно выполнять следующие действия:

• посмотреть информацию об устройстве,
• проанализировать граф цепочки развития угрозы,
• поместить заражённые объекты на карантин или удалить их с устройства,
• запретить запуск исполняемых файлов,
• обеспечить сетевую изоляцию устройства с целью предотвращения дальнейшего распространения атаки,
• создать задачу по поиску индикаторов компрометации (IoC) и настроить автоматическое реагирование при обнаружении таковых.

Рисунок 9. Карточка инцидента в «Kaspersky EDR для бизнеса Оптимальный»

В верхней части карточки инцидента находится граф распространения угрозы на рабочей станции, с помощью которого можно увидеть, какие действия выполняла вредоносная программа и как развивалась атака на анализируемом компьютере. В проиллюстрированном выше случае на заражённом устройстве были созданы 2 временных файла и 2 процесса.

Рисунок 10. События инцидента в «Kaspersky EDR для бизнеса Оптимальный»

В дополнение к детектирующей и превентивной функциональности Kaspersky Endpoint Security для бизнеса «Kaspersky EDR для бизнеса Оптимальный» позволяет проанализировать расширенную информацию по обнаружению, такую как данные о файле, пользователе или хосте, а также параметры запуска вредоносного файла (в примере — команда PowerShell), которые можно в дальнейшем декодировать и проанализировать.

Создание индикаторов компрометации в «Kaspersky EDR для бизнеса Оптимальный»

Ввиду того что злоумышленники могут выбрать тактику заражения как можно большего количества хостов, в «Kaspersky EDR для бизнеса Оптимальный» предусмотрена возможность создания индикаторов компрометации или IoC-файлов.

В «Kaspersky EDR для бизнеса Оптимальный» есть три способа создания IoC: импортировать, создать вручную или сгенерировать на основании событий или файлов в процессе расследования.

Для импортирования индикаторов компрометации администратор может загрузить данные, полученные из других источников (например, ФинЦЕРТ), или подготовить их самостоятельно. Основное требование в данных случаях — это поддержка стандарта OpenIOC. В документации на «Kaspersky EDR для бизнеса Оптимальный» имеется подробное руководство по теме индикаторов компрометации, включая таблицу со списком IoC-терминов стандарта OpenIOC, которые поддерживаются Kaspersky Endpoint Agent.

Рисунок 11. Создание индикаторов компрометации в «Kaspersky EDR для бизнеса Оптимальный»

«Kaspersky EDR для бизнеса Оптимальный» также поддерживает возможность автоматического создания индикаторов компрометации после обнаружения угроз с помощью Kaspersky Sandbox (при наличии песочницы).

Данное решение позволяет администратору самостоятельно подготовить индикаторы компрометации, которые будут использоваться в дальнейшей работе, или же сгенерировать их в процессе расследования в несколько щелчков мышью. Сценарий поиска IoC из инцидента даёт возможность выявить угрозу сразу на всех машинах сети — в том числе на тех, где остановлена часть компонентов защиты или же полностью отключён Kaspersky Endpoint Security.

После запуска поиска индикаторов администратор безопасности сможет просмотреть перечень рабочих станций, на которых были найдены файлы с указанными хеш-суммами. В случае выявления признаков компрометации решение «Kaspersky EDR для бизнеса Оптимальный» позволяет в автоматизированном режиме реализовать различные варианты реагирования: от помещения вредоносных файлов на карантин до сетевой изоляции поражённых устройств.

На рисунке ниже представлен скриншот события в «Kaspersky EDR для бизнеса Оптимальный». Стоит отметить, что решение предоставляет детальную информацию по всем собранным событиям операционной системы, связанным с инцидентом.

Рисунок 12. Сведения о процессе, запущенном вредоносным объектом, в «Kaspersky EDR для бизнеса Оптимальный»

Из карточки инцидента можно сразу открыть страницу портала киберразведки (Threat Intelligence Portal) от «Лаборатории Касперского», где доступна дополнительная информация по вредоносному файлу. Для этого нужно нажать на хеш-сумму файла.

Рисунок 13. Портал Threat Intelligence Portal от «Лаборатории Касперского»

Карантин вредоносного файла в «Kaspersky EDR для бизнеса Оптимальный»

Полезной возможностью «Kaspersky EDR для бизнеса Оптимальный» может оказаться отправка файлов в карантин. Это также можно сделать из карточки инцидента. При нажатии кнопки «Поместить на карантин» создаётся соответствующая задача, после выполнения которой вредоносный файл будет помещён в защищённое хранилище. Это позволяет в дальнейшем работать с данным файлом через консоль Kaspersky Security Center — например, скачать его для проведения исследования.

Рисунок 14. Карточка инцидента в «Kaspersky EDR для бизнеса Оптимальный»

Сетевая изоляция устройства в «Kaspersky EDR для бизнеса Оптимальный»

В «Kaspersky EDR для бизнеса Оптимальный» предусмотрено два сценария сетевой изоляции — вручную и в автоматизированном режиме. При выявлении угроз информационной безопасности программный комплекс оборвёт сетевые соединения между заражённым хостом и сетью компании. Останутся только те, которые администратор заранее добавил в исключения, а также необходимые для взаимодействия с другими продуктами «Лаборатории Касперского» (в том числе для управления агентом Kaspersky Endpoint Agent). Добавление исключений позволит при необходимости вернуть сетевое взаимодействие с хостом из консоли управления Kaspersky Security Center.

Рисунок 15. Добавление исключений сетевой изоляции в «Kaspersky EDR для бизнеса Оптимальный»

Полезной является возможность оповещения пользователя о том, что его компьютер изолирован от сети компании. В критической ситуации такое оповещение позволит успокоить сотрудника и при этом снизить нагрузку на внутреннюю поддержку.

Рисунок 16. Параметры настройки сетевой изоляции устройства в «Kaspersky EDR для бизнеса Оптимальный»

Запрет запуска файлов в «Kaspersky EDR для бизнеса Оптимальный»

На устройствах с Kaspersky Endpoint Agent имеется возможность запретить запуск файлов, в том числе исполняемых, скриптовых и офисных (документов). Для использования данного механизма администратор может в первую очередь настроить применение запрещающих правил в режиме сбора статистики. Тогда «Kaspersky EDR для бизнеса Оптимальный» будет только регистрировать попытки запуска приложений и открытия документов.

По завершении первого этапа рекомендуется включать активный режим, который не позволит пользователям открывать запрещённые файлы. Добавление хешей запрещённых файлов может производиться как вручную, так и из карточки инцидента одним щелчком. При попытке выполнить такое действие сотруднику будет направляться уведомление.

Рисунок 17. Параметры настройки запрета запуска файлов в «Kaspersky EDR для бизнеса Оптимальный»

Выводы

«Kaspersky EDR для бизнеса Оптимальный» подойдёт тем организациям, которые уже используют продукты «Лаборатории Касперского» для обеспечения безопасности конечных устройств и / или нуждаются в усиленной защите последних с возможностями по расследованию инцидентов в сфере защиты информации, а также по реагированию на них (например, для выполнения требований регуляторов).

Разработчики «Kaspersky EDR для бизнеса Оптимальный» хорошо продумали те действия, которые выполняют администраторы безопасности в «боевой» среде. Например, возможность изолировать устройство в случае его заражения не позволит вредоносным программам распространиться по внутренней сети компании и вывести из строя критически значимые ресурсы. Реагирование может осуществляться одним кликом или в автоматизированном режиме при поиске IoC. Кроме того, администратору безопасности будет доступна возможность запрета запуска исполняемых файлов или документов в автоматизированном режиме. «Kaspersky EDR для бизнеса Оптимальный» имеет функцию поиска индикаторов компрометации и поддерживает возможность создавать собственные IoC-файлы. Работа с карточками инцидентов снижает временные затраты на выяснение причин инцидента и его последствий.

Другими словами, «Kaspersky EDR для бизнеса Оптимальный» решает множество задач в рамках процесса защиты инфраструктуры организации от компьютерных атак и в то же время помогает выполнить требования нормативных актов, в том числе предписаний ФСТЭК России по защите объектов критической информационной инфраструктуры (организация процесса реагирования на ИБ-инциденты в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждёнными приказом ФСТЭК России № 239 от 25.12.2017).

Достоинства:

• Отсутствует необходимость дополнительного развёртывания продукта в том случае, если в инфраструктуре уже применяется Kaspersky Security для бизнеса.
• Интуитивно понятный интерфейс и удобство использования.
• Создание карточки инцидента, в которой аккумулированы все сведения об атаке и действиях вредоносных программ.
• Импортирование или автоматизированное генерирование IoC-файлов и сканирование на предмет присутствия индикаторов компрометации на конечных устройствах.
• Возможность запрета запуска как исполняемых файлов, так и документов.
• Включение сетевой изоляции устройства двумя щелчками мышью.
• Возможность совместного использования с Kaspersky Sandbox.

Недостатки:

• На момент подготовки обзора отсутствуют сертификаты соответствия (впрочем, решение уже передано на сертификацию).
• На текущий момент «Kaspersky EDR для бизнеса Оптимальный» поддерживает работу только с агентским решением Kaspersky Endpoint Security.