Как это устроено: интегрированная платформа «Лаборатории Касперского» для защиты рабочих мест

Современные продвинутые кибератаки способны полностью парализовать работу бизнеса и нанести ощутимый финансовый и репутационный ущерб организации. Особенно эта проблема актуальна для средних компаний, испытывающих дефицит высококвалифицированных кадров по IT-безопасности, способных противодействовать сложным угрозам. Специально для таких обладающих ограниченными ресурсами и экспертизой организаций Лаборатория Касперского разработала интегрированное решение для защиты рабочих мест от угроз, которые трудно обнаружить.

Особенностью разработанного Лабораторией Касперского интегрированного решения является сочетание нескольких защитных компонентов традиционной защиты Endpoint Protection, продвинутой песочницы и инструментов класса Endpoint Detection and Response (EDR). Все три решения управляются из единой облачной консоли Kaspersky Security Center и дополняют друг друга, обеспечивая комплексную защиту от сложных и маскирующихся угроз. Об особенностях первых двух компонентов интегрированного решения Endpoint Protection и песочнице мы рассказывали ранее (см. здесь и здесь). Теперь пришло время подробно остановиться на третьей не менее важной составляющей программного комплекса системе класса EDR базового уровня, предоставляющей полную картину событий безопасности в корпоративной ИТ-инфраструктуре и позволяющей автоматизировать выполнение рутинных задач по выявлению, расследованию и нейтрализации инцидентов ИБ.

Инструменты класса EDR расширяют возможности защиты рабочих мест и позволяют ИБ-специалистам решать множество задач. Среди них:

• Визуализация атаки и угроз на основе таких артефактов, как загрузка DLL-библиотек на рабочих станциях и серверах, установка соединений с внешними ресурсами, создание файлов, запуск приложениями дочерних процессов, изменение реестра ОС и других факторов. Такая карта активностей помогает определить путь распространения атаки, упрощает анализ первопричин инцидента и позволяет проводить более тщательное расследование.
• Сканирование IT-инфраструктуры на предмет индикаторов компрометации (IoC) и иных признаков вредоносных действий на всех рабочих местах (Threat Hunting) как в режиме реального времени, так и по расписанию.
• Оперативное реагирование. Благодаря наличию обширного набора готовых сценариев, специалист ИБ-службы может всего в один клик применить подходящие ответные меры: поместить файлы на карантин, изолировать отдельный хост, остановить вредоносный процесс, удалить объект и выполнить многое другое.
• Загрузка индикаторов компрометации (IoC) из сторонних источников. В случае, если компания получает дополнительные сведения об угрозах от внешних источников (например, регулятор делится своими данными IoC), специалист ИБ-службы может загрузить данные индикаторы в систему и просканировать рабочие станции и серверы.
• Динамический анализ и выполнение подозрительных объектов в изолированной среде (песочнице).

Отличительной особенностью EDR является тесная интеграция с инструментами Endpoint Protection и использование единого программного агента на рабочих станциях. Это позволяет избежать дополнительной нагрузки и снижения производительности рабочих мест, а также существенно упрощает и ускоряет развёртывание продукта в организациях.

В интегрированную платформу входит упрощённая версия EDR, разработанная с учётом ресурсных и финансовых возможностей среднего бизнеса. Решение сочетает простой в использовании набор автоматизированных инструментов для обнаружения угроз и реагирования на них. Благодаря максимальной автоматизации операций, связанных с процессами обнаружения, расследования и реагирования на инциденты, базовые инструменты EDR минимизируют нагрузку на ИБ-персонал и снижают вероятность ошибок, вызванных человеческим фактором.

Технологии EDR успешно справляются с огромным пластом современных угроз, будь то атаки типа drive-by, атаки с использованием шифровальщиков и бесфайловых вредоносных программ, эксплуатация эксплойтов нулевого дня или попытки взлома корпоративной инфраструктуры с применением легитимных инструментов удалённого управления и администрирования. Базовые инструменты EDR представляют собой сбалансированное решение, которое покрывает потребности средних предприятий и позволяет оптимизировать расходы на защиту IT-активов.

Выпуск интегрированной платформы для защиты рабочих мест стал ответом Лаборатории Касперского на действия киберпреступников, практикующих всё более изощрённые схемы хакерских атак на IT-инфраструктуру организаций. Новый продукт уже доступен для клиентов в России и может быть интересен как компаниям среднего бизнеса, так и крупным предприятиям с разветвлённой филиальной сетью. С особенностями лицензирования интегрированного решения, системными требованиями, вариантами поставки, а также дополнительными сведениями о продукте можно ознакомиться на сайте kaspersky.ru/small-to-medium-business-security/endpoint-security-solution.