Все мы знаем истории, когда вирусы парализовывали работу огромных компаний. Итог — большие финансовые потери, урон репутации. «Лаборатория Касперского» разработала свой многоступенчатый подход к организации защиты с помощью широкой линейки своих продуктов. Далее я более подробно расскажу об этом подходе и покажу пример установки и настройки одного из базовых продуктов кибербезопасности — Kaspersky EDR Optimum.
Содержание
Комплексный подход к безопасности
Информационной безопасности сейчас необходимо уделять максимум внимания, с этим нельзя не согласиться. Число атак на бизнес постоянно растет. Когда я начинал свою деятельность в системном администрировании, наиболее страшные вирусы просто выводили из строя операционные системы. Это создавало проблемы, но не критичные. Как правило, систему можно было оперативно восстановить.
В других атаках злоумышленники воровали пароли и рассылали зловредные письма, используя украденные учетные данные от почтовых серверов.
Сейчас одну из самых серьезных угроз представляют шифровальщики и кража персональных данных. Последствия этих атак очень трудно исправить, так как в первом случае чаще всего безвозвратно шифруются все полезные данные. А во втором приватная информация утекает к злоумышленникам. За это организации могут получить солидный штраф от контролирующих органов.
Я сам лично наблюдал последствия атак шифровальщиков. У меня цикл статей на сайте есть по этой теме, вынесенный в отдельный раздел. Когда тебя зашифровали, поздно что-то делать. Так что на первое место выходит предотвращение атак всеми доступными способами. И это не просто установка антивируса на рабочие станции.
Сейчас приходится более детально разбираться в этом вопросе и использовать комплекс защитных мер.
Для удобного подбора комплексной защиты «Лаборатория Касперского» сгруппировала все свои продукты кибербезопасности в 3 уровня для того, чтобы вы смогли подобрать себе линейку продуктов под свои задачи и ресурсы.
3 уровня защиты от «Лаборатории Касперского»
Как я уже сказал, «Лаборатория Касперского» представила ступенчатый подход к кибербезопасности. В его рамках все корпоративные продукты, технологии и сервисы разделены на три уровня. Необходимый конкретной компании уровень защиты зависит от размера организации и степени зрелости её службы информационной безопасности.
- Kaspersky Security Foundations. Этот уровень обеспечивает базовую защиту от широкого спектра угроз для компаний любого размера. Продукты из этого уровня могут быть установлены и настроены, даже если у вас нет IT отдела и постоянных сотрудников в нём.
- Kaspersky Optimum Security. Продукты этого уровня дают расширенные инструменты противодействия угрозам. Вы можете не только защищаться от атак, но и проводить расследование инцидентов. А также использовать накопленную информацию об атаках на вашу инфраструктуру для их предотвращения, даже если это совершенно новый вирус. Данный уровень приложений будет актуален для компаний, где есть IT отдел, в том числе люди, которые занимаются именно безопасностью.
- Kaspersky Expert Security. Самый продвинутый уровень защиты для организации экосистемы средств обеспечения безопасности. Данный уровень ориентирован на корпорации и крупные промышленные предприятия, где есть отдел IT-безопасности.
Далее я рассмотрю продукты уровня Kaspersky Optimum Security и покажу на конкретном примере, как их устанавливать и использовать.
Kaspersky Optimum Security
Данный уровень защиты состоит из следующих компонентов:
- Kaspersky EDR для бизнеса Оптимальный. Это расширение функционала Kaspersky Endpoint Security, который устанавливается в качестве антивируса на рабочие станции. С его помощью можно будет не только предотвращать угрозы, но и расследовать инциденты, анализировать первопричины заражений, автоматически формировать защиту на основе уже полученных данных, строить отчеты и многое другое. Ниже я буду устанавливать и настраивать этот продукт.
- Kaspersky Managed Detection and Response Optimum. Сервис с круглосуточной автоматической защитой на основе моделей машинного обучения и аналитических данных об угрозах и расследований атак, подготовленных специалистами компании Kaspersky. На основе событий безопасности в вашей системе могут быть запущены те или иные сценарии противодействия угрозам. То есть это система, которая автоматически реагирует на инциденты без вашего участия.
- Kaspersky Sandbox. Готовый продукт для организации песочницы, который интегрируется в существующую инфраструктуру защиты для дополнительных возможностей проверки и ограничения работы подозрительных приложений.
- Kaspersky Threat Intelligence Portal . Портал с базой данных опасных приложений, сайтов, IP-адресов, всего того, что связано с угрозами. Платформа позволяет проверять подозрительные файлы, хеши файлов, IP-адреса или веб-адреса на наличие связанных с ними киберугроз для дальнейшего своевременного реагирования на них.
- Kaspersky Automated Security Awareness Platform. Онлайн-платформа, с помощью которой можно повышать осведомленность сотрудников любых отделов, даже ИТ-персонала, в вопросах информационной безопасности. Включает в себя интерактивные уроки, тесты, повторение пройденного, в том числе закрепление знаний на примере симулированных фишинговых атак.
Далее я покажу, как установить и настроить базу для построения защиты уровня Optimum Security с помощью Kaspersky EDR для бизнеса Оптимальный.
Установка Kaspersky EDR для бизнеса Оптимальный
Kaspersky EDR Оптимальный устанавливается поверх существующей инфраструктуры Kaspersky на базе Kaspersky Security Center + Kaspersky Endpoint Security. Сначала нужно установить сервер администрирования Kaspersky SC (KSC), затем на рабочие станции развернуть антивирус Kaspersky ES (KES).
Для того, чтобы все это попробовать, необходимо отправить заявку на KES и EDR:
- https://www.kaspersky.ru/small-to-medium-business-security/optimum-security
- https://www.kaspersky.ru/small-to-medium-business-security/endpoint-advanced
На почту вам придут лицензионные ключи на 30 и 32 дня. Далее необходимо будет со страницы https://www.kaspersky.ru/small-to-medium-business-security/downloads/edr-optimum скачать и установить Kaspersky Security Center. Для этого загрузите Windows | Full package, если будете ставить на Windows.
В процессе установки сервера управления, вам будет предложено установить одну из бесплатных баз данных mssql express или mysql. Если у вас уже есть один из этих серверов, можно воспользоваться им.
В целом, в установке Kaspersky Security Center нет каких-то сложностей, так что я не буду на этом останавливаться. У продукта хорошая документация на русском языке, так что можно без проблем разобраться. Но я все установил и без инструкции. После установки заходить в консоль управления можно под учетной записью администратора компьютера, под которым выполнялась установка.
Дальнейшая логика установки EDR следующая. Если вы ранее работали с Security Center, то особых проблем у вас не возникнет. Я несколько лет управлял системой безопасности на базе Kaspersky, причем не в одной организации. Хотя это было несколько лет назад, логика работы продукта осталась примерно такой же, только интерфейс поменялся. Так что я быстро во всём разобрался.
Сначала вам надо загрузить установочные пакеты для дистрибутива клиентского антивируса — Kaspersky Endpoint Security. Делается это в разделе Обнаружение устройств и развертывание -> Развертывание и назначение -> Инсталляционные пакеты.
Затем в разделе Параметры консоли -> Веб-плагины установить два плагина — для Kaspersky Endpoint Agent и Kaspersky Endpoint Security.
Далее идём в Устройства -> Политики и профили и создаем политику для Kaspersky Endpoint Agent. В разделе Параметры программы -> Интерфейс и управление обязательно выбрать Endpoint Detection and Response Optimum.
В завершении развертывания необходимо создать три задачи:
- Перед развертыванием KES необходимо добавить компонент Endpoint Agent (или Endpoint Sensor) в свойствах установочного пакета KES в KSC.
- Задача для удаленной установки дистрибутива KES.
- Задача по распространению лицензионного ключа с лицензией на Kaspersky Endpoint Detection and Response Optimum.
Продукт активно развивается, так что какие-то пункты из данной инструкции могут поменяться. Но общая логика установки, думаю, такой же и останется. Теперь можно переходить к тестированию возможностей KES с лицензией EDR Optimum.
Имитация заражения и противодействие с помощью EDR
Давайте посмотрим, как на практике реализуется защита с помощью установленных ранее компонентов. Для теста я запустил на защищенной рабочей станции образец вируса. Локальный антивирус заблокировал его работу. Перемещаемся в KSC и смотрим информацию об инциденте.
Идём в раздел Мониторинг и отчёты -> Отчёты, открываем Отчёт об угрозах. Переходим на вкладку Подробнее.
Мы видим общую информацию о событии. Далее мы можем посмотреть подробности инцидента в отдельной карточке. Перемещаемся туда.
Здесь наглядно со всеми подробностями представлена информация, связанная с событием. Я скачал вирус в запароленном архиве через браузер. Распаковал его и запустил. Сверху показана цепочка процессов, связанных с запуском вируса. Сначала это был системный процесс svchost.exe, потом скачанная программа sw_test.exe и в конце сам запущенный вирус yhtbz.exe.
Через карточку инцидента вы можете изолировать устройство от сети, чтобы далее спокойно разобраться в произошедшем событии, не опасаясь, что прямо сейчас будет распространяться заражение.
Вы наглядно можете проследить за всеми действиями вируса. Для этого нужно выбирать соответствующие разделы под информацией о вирусе и смотреть внесенные им изменения.
- какие файлы создавал вирус;
- откуда и кем он был запущен;
- к каким ip-адресам он обращался;
- что изменил в реестре.
Наглядно всё это можно посмотреть в отдельной вкладке — Все события инцидента.
На основе данных из карточки вы сможете сразу же проверить файл по его хэшу на Kaspersky Threat Intelligence Portal и получить подробную аналитику. Также с помощью информации о файле вируса можно создать задачу по поиску этого файла на других машинах и настроить какое-то действие, если этот файл будет найден. Например, изолировать хост от сети или удалить файл и поместить на карантин.
Смотрите, какая получается картина. Вы видите не только конечный файл с вирусом, который был запущен в директории temp, но и источник заражения — исходный файл, который антивирусом не детектился, так как не проявлял никаких явно вредоносных активностей, но именно он являлся источником заражения. На основе функционала, представленного Kaspersky EDR Оптимальный, вы видите полную картину происходящего. С помощью информации в карточке инцидента у вас есть возможность сразу же изолировать заражённый хост, посмотреть аналитику по исходному файлу, запускающему вирус. Затем заблокировать на всех компьютерах запуск исходного файла по представленному хэшу, определить ip адреса, к которым обращается вирус и заблокировать их на шлюзе.
Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.
Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.
Более наглядно посмотреть все возможности Kaspersky EDR Optimum вы можете в видео:
Функционал очень крутой. Я лично ничего подобного ранее не видел. Расследования после вирусных атак приходилось проводить вручную, выискивая следы в системе и используя поисковики, чтобы находить подробности.
Заключение
Я рассказал, как организован подход «Лаборатории Касперского» к обеспечению комплексной защиты, а также наглядно показал, как он реализуется на практике на примере использования Kaspersky EDR для бизнеса Оптимальный. В целом мне нравятся защитные продукты этого бренда. Я постоянно использую их на почтовых серверах Linux в качестве антиспама и антивируса.
В офисах мне приходилось использовать 3 современных антивируса — от «Лаборатории Касперского» и других известных антивирусных производителей. Лично мне бренд Kaspersky и его Security Center нравится больше всего. Но нужно учитывать, что он в сумме и стоит немного дороже. Хотя линейки продуктов, как и функционал, у всех разные, и в лоб не всегда получится адекватно сравнить цены. Тут уже каждый сам выбирает, на чем остановиться исходя из задач и бюджета.
Источник: serveradmin.ru
Kaspersky EDR для бизнеса Оптимальный
Объединяет новейшие технологии защиты рабочих мест и гибкие инструменты контроля с технологиями EDR, которые эффективно противодействуют сложным атакам и повышают прозрачность инфраструктуры. Благодаря управлению всеми функциями из единой консоли и автоматизированным инструментам, решение повышает прозрачность инфраструктуры и экономит время администраторов.
- Документация Kaspersky EDR для бизнеса Оптимальный
- Скачать прайс-лист
- Цены, заказ
- Преимущества
- Ключевые функции
- Список приложений
Тип: Срок действия:
| 10-14 | 15-19 |
| 20-24 | 25-49 |
| 50-99 | 100-149 |
Kaspersky Endpoint Detection and Respose Оптимальный — это:
- Управление функциями EPP и EDR из единой консоли
- Автоматизированные средства реагирования на угрозы
- Возможность проведения анализа первопричин (root-cause analysis)
- Мощные инструменты контроля
- Расширенные возможности системного администрирования
- Интегрированные шифрование и патч-менеджмент
Обзор всей инфраструктуры
Kaspersky EDR для бизнеса Оптимальный увеличивает обзор происходящего в инфраструктуре, поэтому вы можете точно определить масштаб распространения атаки, чтобы устранить её последствия.
Автоматизированное реагирование на атаки
Благодаря автоматизированным средствам реагирования на атаки ваша система будет надежно защищена от сложных угроз, а специалисты ИБ не будут перегружены оповещениями.
Гибкие инструменты контроля
Инструменты контроля программ, устройств и использования интернета позволяют снизить роль человеческого фактора и повышают устойчивость вашей системы безопасности к интернет-угрозам, фишинговым рассылкам и социальной инженерии.
Управление из единой консоли
Управление всеми функциями, в том числе инструментами EDR, осуществляется из единой консоли Kaspersky Security Center c удобной системой отчетов и возможностью распределять зоны ответственности администраторов.
Полная прозрачность
«Лаборатория Касперского» демонстрирует уникальный на сегодня уровень открытости и независимости в отношении своих данных. Доверенные партнеры и правительственные организации могут проверить исходных код наших продуктов в Центрах прозрачности.
Выбор успешных компаний
Комплексная защита от киберугроз
Многоуровневая защита рабочих мест и серверов, включающая технологии анализа поведения и адаптивного контроля аномалий, станет надежной преградой даже для новых и неизвестных киберугроз.
Ускорение возврата инвестиций
Множество технологий защиты конечных точек объединены под одной лицензией и управляются из единой консоли. Благодаря этому не только увеличивается эффективность защиты, но и возрастает скорость возврата инвестиций в защитное решение.
Автоматическое реагирование
Средства автоматического реагирования на сложные атаки препятствуют распространению в сети угроз, которые способны обходить традиционные решения для защиты рабочих мест.
Признанные технологии защиты
На протяжении последних лет наши продукты для защиты конечных точек участвовали в независимых тестах и обзорах (и получали первые места) чаще, чем решения других производителей.
Расширенная техническая поддержка
Вы можете приобрести лицензию Kaspersky Endpoint Detection and Response с расширенной технической поддержкой (MSA). С ней решение ваших проблем в области IT-безопасности будет для специалистов «Лаборатории Касперского» приоритетной задачей.
Экономия ресурсов IT-администраторов
Патч-менеджмент и средства централизованной установки программ позволяют снизить нагрузку администраторов и оперативно устанавливать новейшие версии программ и приложений.
Защитита от продвинутых и сложных угроз, которые встречаются все чаще и становятся все опаснее
- Экономия времени и ресурсов благодаря простым автоматизированным инструментам
- Определение масштаба распространения сложной угрозы в сети организации
- Выяснение первопричины угрозы: выясните, как она проникла в вашу систему
- Предотвращение дальнейшего ущерба благодаря быстрому автоматическому реагированию
Приложения, входящие в состав Kaspersky Endpoint Detection and Respose Оптимальный:
- Kaspersky Endpoint Security для Windows
- Kaspersky Security Center
Купить лицензию Kaspersky EDR для бизнеса Оптимальный можно непосредственно на этой странице сайта kaspersky-security.ru.
Обратите внимание: стоимость лицензии Kaspersky EDR для бизнеса Оптимальный зависит от её типа и срока действия.
Вы можете выбрать первичную (Base) лицензию Kaspersky EDR для бизнеса Оптимальный, продление лицензии (Renewal), миграцию с лицензии другого производителя (Cross-grade).
Источник: www.kaspersky-security.ru
Kaspersky EDR для вашего бизнеса
Давно прошли те времена, когда для проведения сложной хакерской атаки необходимо было привлекать серьезные ресурсы и компетентных специалистов. Сейчас продвинутое вредоносное ПО можно без особых усилий приобрести в даркнете, а то и вообще арендовать на время по модели MaaS (Malware-as-a-service).
Создатели таких сервисов не только предлагают своим клиентам удобную консоль управления инструментами для несанкционированного вторжения в чужую ИТ-инфраструктуру, но и всегда готовы оказать техническую поддержку, если пользователь сервиса «путается в педалях». Эта практика сделала порог применения сложных целевых атак минимальным, причем целью нападающих, как правило, становятся те, с кого есть что взять. И это, конечно, в первую очередь компании.
Решения класса EDR
Шквал целевых атак привел к появлению особого типа инструментов обеспечения информационной безопасности, получивших название EDR (Endpoint Detection and Response). Активность EDR направлена на защиту конечных узлов корпоративной сети, которые чаще всего и становятся входными воротами атаки. Главными задачами EDR является обнаружение признаков вторжения, формирование автоматического ответа на атаку, предоставление специалистам возможности оперативно определить масштаб угрозы и ее источник, а также собрать данные для последующего расследования инцидента.
Функциональность EDR основана на способности этого типа ПО проводить подробный анализ событий и проактивный поиск угроз, автоматизировать повторяющиеся повседневные задачи по защите, проводить централизованный сбор данных мониторинга состояния конечных устройств. Все это помогает поднять производительность труда специалистов по ИБ, работающих, например, в SOC (Security operations center) крупной компании.
Kaspersky Endpoint Detection and Response
Несколько лет назад «Лаборатория Касперского» вышла на рынок EDR с собственным решением Kaspersky Endpoint Detection and Response (KEDR), которое успело заработать себе хорошую репутацию в глазах отраслевых экспертов. Компании, серьезно заботящиеся об информационной безопасности, как правило применяют KEDR в составе комплексного решения, в которое входят собственно сам KEDR, платформа Kaspersky Anti Targeted Attack (KATA) и сервис Managed Detection and Response (MDR).
Такая связка позволяет специалистам по кибербезопасности эффективно противостоять самым продвинутым и передовым типам современных атак. Как правило, к подобным решениям прибегают организации уровня Enterprise имеющие собственный SOC или хотя бы отдельный небольшой департамент безопасности. Стоимость необходимых лицензий на ПО и сервисы достаточно высока, но если речь идет, например, о банке национального масштаба, то потенциальные риски многократно превышают расходы на обеспечение ИБ.
Оптимальный EDR для среднего бизнеса
Зачастую компании среднего размера не могут позволить себе содержать собственный SOC или держать в штате несколько профильных специалистов. При этом они, конечно же, также заинтересованы в возможностях, предоставляемых решениями EDR. Специально для таких клиентов «Лаборатория Касперского» совсем недавно выпустила продукт «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ».
Всего за полгода данный продукт снискал заслуженную популярность. Он является частью т.н. «Оптимального фреймворка ИТ-безопасности», разработанного вендором именно для заказчиков, которые не могут позволить себе дорогостоящие специализированные программы для борьбы со сложными кибератаками.
Помимо вышеупомянутого «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ», включающего технологии класса EPP (Endpoint Protection Platform) и базовые технологии EDR, в состав фреймворка входят также инструмент Kaspersky Sandbox и сервис Kaspersky MDR Optimum.
Перечислим ключевые возможности «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ». Основной его функцией является мониторинг конечных устройств, обнаружение возникающих угроз и сбор сведений о них.
Для каждого выявленного инцидента составляется граф развития атаки, дополненный информацией об устройстве и активности его операционной системы. Для поиска угроз или следов прежних атак продукт может использовать индикаторы компрометации (IoC), выявленные в ходе проведенного расследования или загруженные из внешних источников.
Реакция защитных механизмов на выявленную угрозу может быть настроена исходя из характера атаки: изоляция сетевых хостов, карантин или удаление зараженных объектов файловой системы, блокирование или запрет на запуск определенных процессов в операционной системе и пр.
Функциональность продукта может быть существенно расширена, благодаря средствам интеграции с другими продуктами «Лаборатории Касперского» — облачным сервисом Kaspersky Security Network, информационной системой Kaspersky Threat Intelligence Portal и базой данных Kaspersky Threats. Данные технологии и сервисы входят в стоимость лицензии (KSN) или предоставляются бесплатно (OpenTIP, Kaspersky Threats).
Архитектура и развертывание
Для развертывания в корпоративной сети «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» не требуется больших вычислительных ресурсов. На всех конечных устройствах должен быть установлен Kaspersky Endpoint Security с включенным компонентом Endpoint Agent, совместимый с любыми операционными системами Windows, начиная с Windows 7 SP1/Windows Server 2008 R2 и занимающий не более 2 Гбайт дискового пространства. Для его полноценной работы достаточно одноядерного процессора с тактовой частотой 1,4 ГГц и 1 Гбайт (x86), 2 Гбайт (x64) оперативной памяти.
Несколько выше системные требования к компьютеру, с которого будет осуществляться управление решением. Речь идет о локальном сервере Kaspersky Security Center, оснащенном консолью администрирования, но можно воспользоваться и облачным сервисом Kaspersky Security Center Cloud Console. В обоих случаях доступ к управлению продуктом осуществляется через веб-браузер. Для работы локального сервера Kaspersky Security Center потребуется доступ к СУБД Microsoft SQL Server или MySQL.
Развертывание Kaspersky Security Center происходит при помощи мастера инсталляции и не занимает много времени. В процессе установки создается папка для хранения установочных пакетов и обновлений, а также конфигурируется сервер администрирования.
Установка Kaspersky Endpoint Security с включенным компонентом Endpoint Agent выполняется централизованно, при помощи мастера развертывания защиты. В процессе инсталляции администратору предлагается определить перечень защищаемых хостов, скачать установочные файлы, настроить политику уведомлений о событиях безопасности и пр. После этого, собственно, начнется развертывание в соответствии с выбранными опциями.
Альтернативным способом распространения Kaspersky Endpoint Security с включенным компонентом Endpoint Agent по сети может быть использование групповых политик Windows.
С выходом «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» компании получили возможность использовать современные инструменты обнаружения и реагирования на угрозы без необходимости инвестирования в собственную службу ИБ.
Решение вполне может обслуживаться силами системных администраторов заказчика, для повышения квалификации которых «Лаборатория Касперского» подготовила соответствующие тренинги.
Источник: habr.com
