Как это устроено: интегрированная платформа «Лаборатории Касперского» для защиты рабочих мест

Современные продвинутые кибератаки способны полностью парализовать работу бизнеса и нанести ощутимый финансовый и репутационный ущерб организации. Особенно эта проблема актуальна для средних компаний, испытывающих дефицит высококвалифицированных кадров по IT-безопасности, способных противодействовать сложным угрозам. Специально для таких обладающих ограниченными ресурсами и экспертизой организаций «Лаборатория Касперского» разработала интегрированное решение для защиты рабочих мест от угроз, которые трудно обнаружить.

Особенностью разработанного «Лабораторией Касперского» интегрированного решения является сочетание нескольких защитных компонентов — традиционной защиты Endpoint Protection, продвинутой песочницы и инструментов класса Endpoint Detection and Response (EDR). Все три решения управляются из единой облачной консоли Kaspersky Security Center и дополняют друг друга, обеспечивая комплексную защиту от сложных и маскирующихся угроз. Об особенностях первых двух компонентов интегрированного решения — Endpoint Protection и песочнице — мы рассказывали ранее (см. здесь и здесь). Теперь пришло время подробно остановиться на третьей не менее важной составляющей программного комплекса — системе класса EDR базового уровня, предоставляющей полную картину событий безопасности в корпоративной ИТ-инфраструктуре и позволяющей автоматизировать выполнение рутинных задач по выявлению, расследованию и нейтрализации инцидентов ИБ.

Инструменты класса EDR расширяют возможности защиты рабочих мест и позволяют ИБ-специалистам решать множество задач. Среди них:

Визуализация атаки и угроз на основе таких артефактов, как загрузка DLL-библиотек на рабочих станциях и серверах, установка соединений с внешними ресурсами, создание файлов, запуск приложениями дочерних процессов, изменение реестра ОС и других факторов. Такая карта активностей помогает определить путь распространения атаки, упрощает анализ первопричин инцидента и позволяет проводить более тщательное расследование.
Сканирование IT-инфраструктуры на предмет индикаторов компрометации (IoC) и иных признаков вредоносных действий на всех рабочих местах (Threat Hunting) — как в режиме реального времени, так и по расписанию.
Оперативное реагирование. Благодаря наличию обширного набора готовых сценариев, специалист ИБ-службы может всего в один клик применить подходящие ответные меры: поместить файлы на карантин, изолировать отдельный хост, остановить вредоносный процесс, удалить объект и выполнить многое другое.
Загрузка индикаторов компрометации (IoC) из сторонних источников. В случае, если компания получает дополнительные сведения об угрозах от внешних источников (например, регулятор делится своими данными IoC), специалист ИБ-службы может загрузить данные индикаторы в систему и просканировать рабочие станции и серверы.
Динамический анализ и выполнение подозрительных объектов в изолированной среде (песочнице).

Отличительной особенностью EDR является тесная интеграция с инструментами Endpoint Protection и использование единого программного агента на рабочих станциях. Это позволяет избежать дополнительной нагрузки и снижения производительности рабочих мест, а также существенно упрощает и ускоряет развёртывание продукта в организациях.

В интегрированную платформу входит упрощённая версия EDR, разработанная с учётом ресурсных и финансовых возможностей среднего бизнеса. Решение сочетает простой в использовании набор автоматизированных инструментов для обнаружения угроз и реагирования на них. Благодаря максимальной автоматизации операций, связанных с процессами обнаружения, расследования и реагирования на инциденты, базовые инструменты EDR минимизируют нагрузку на ИБ-персонал и снижают вероятность ошибок, вызванных человеческим фактором.

Технологии EDR успешно справляются с огромным пластом современных угроз, будь то атаки типа drive-by, атаки с использованием шифровальщиков и бесфайловых вредоносных программ, эксплуатация эксплойтов нулевого дня или попытки взлома корпоративной инфраструктуры с применением легитимных инструментов удалённого управления и администрирования. Базовые инструменты EDR представляют собой сбалансированное решение, которое покрывает потребности средних предприятий и позволяет оптимизировать расходы на защиту IT-активов.

Выпуск интегрированной платформы для защиты рабочих мест стал ответом «Лаборатории Касперского» на действия киберпреступников, практикующих всё более изощрённые схемы хакерских атак на IT-инфраструктуру организаций. Новый продукт уже доступен для клиентов в России и может быть интересен как компаниям среднего бизнеса, так и крупным предприятиям с разветвлённой филиальной сетью. С особенностями лицензирования интегрированного решения, системными требованиями, вариантами поставки, а также дополнительными сведениями о продукте можно ознакомиться на сайте kaspersky.ru/small-to-medium-business-security/endpoint-security-solution.

Источник: