Kaspersky Anti Targeted Attack

Kaspersky Anti Targeted Attack — это платформа класса XDR, разработанная компанией «Лаборатория Касперского». Предназначена для своевременного обнаружения и противодействия угрозам (атаки нулевого дня, целевые и сложные целевые атаки). Решение разработано для корпоративных пользователей, сертифицировано ФСТЭК и ФСБ России, включено в Единый реестр российского программного обеспечения Минцифры.

Основная задача платформы заключается в том, чтобы максимально усложнить злоумышленнику проведение атаки, сделав её максимально трудоёмкой и финансово затратной. В таком случае повышается вероятность отказа от злонамеренных действий.

Принцип работы платформы

Аналитические модули работают с данными сетевых сенсоров и агентов рабочих мест и на основе внутренних алгоритмов выносят вердикт. В случае необходимости они передают объекты на анализ в песочницу. Она в изолированной виртуальной среде производит исследование объекта и по своим внутренним алгоритмам выносит наиболее точный вердикт об объекте и характере угрозы. Затем она отправляет вердикт на центральный узел, откуда пользователь получает рекомендации по работе с данным объектом (инцидентом).

Аналитика угроз осуществляется в двух режимах — через встроенный в решение Kaspersky Security Network и (или) через портал «Лаборатории Касперского». Система позволяет производить ретроспективный и проактивный анализ угроз.

Архитектура платформы

Архитектура Kaspersky Anti Targeted Attack

Решение представляет собой три сервера (Sensor, Central Node, Sandbox), объединённых в одну платформу.

Серверный сенсор выполняет приём данных трафика (веб, сетевого, почтового) и передаёт телеметрию, найденную в трафике, на центральный узел. Агенты на рабочих местах собирают телеметрию с конечных устройств и передают её на центральный узел. Там осуществляется аналитика телеметрии и объектов. Далее данные передаются на сервер песочницы, где происходит детонация объекта.

Сервер Sensor

На сервере Sensor работают следующие компоненты:

  • Сенсор, который принимает данные из трафика и передаёт их на обработку на сервер Central Node.
  • Kaspersky Security (Private) Network (инфраструктура облачных сервисов). Используя базу знаний, проверяет репутации файлов и url-адресов, а также предоставляет сведения о статусе веб-ресурсов (вредоносный или легитимный).
  • Intrusion Detection System (IDS). Проверяет трафик на признаки вторжения.
  • URL Reputation. Обнаруживает вредоносные и используемые для целевых атак url-адреса. Выдаёт по ним вердикт.

Сервер Central Node

На сервере Central Node работают следующие модули:

  • Anti Malware Engine. Проверяет файлы и объекты на вирусы, другие вредоносные программы и целевые направленные атаки.
  • Targeted Attack Analyzer. Проводит статистический анализ и мониторинг сетевой активности программного обеспечения, установленного на компьютеры корпоративной локальной сети. Ищет паттерны подозрительного поведения и целенаправленного вторжения в трафике и создаёт по ним оповещения.
  • Mobile Attack Analyzer. Проверяет исполняемые файлы в облачной инфраструктуре на мобильных устройствах, используя для этого технологии машинного обучения.
  • YARA. Даёт возможность написания пользовательских правил для реагирования и отслеживания инцидентов.
  • Kaspersky Security (Private) Network. Предоставляет данные о категориях веб-сайтов, проверяет репутацию url-адресов и файлов в своей базе знаний.
  • Intrusion Detection System (IDS). Проверяет сетевой трафик на наличие атак.
  • Endpoint Agent. Может работать в двух вариантах: как отдельный Endpoint Agent, передавая телеметрию на Central Node, так и совместно с Kaspersky Endpoint Security. Передаёт все события на сервер аналитики Central Node. Тот в свою очередь при срабатывании IoA-правил может запросить у Endpoint Agent более детальную информацию об инциденте, включая сам файл, которым инцидент вызван. После получения запрашиваемых данных Central Node отправляет их на проверку в Sandbox. Если полученный файл по результатам проверки получает статус вредоносного, то сервер аналитики автоматически создаёт правила на запрет запуска этого файла в инфраструктуре и передаёт данные на Endpoint Agent. Таким образом предотвращается распространение атаки в инфраструктуре.

Сервер Sandbox

Сервер Sandbox осуществляет запуск объектов в шаблонах операционных систем с целью анализа их поведения для выявления вредоносной активности, а также признаков целевых атак на корпоративную ИТ-инфраструктуру.

Применяет комплексный набор функциональных возможностей на основе поведенческого анализа, которые обеспечивают высокоэффективное обнаружение угроз. Это достигается за счёт:

  • сопоставления поведения объектов с базой знаний METTRE ATT&CK,
  • ускорения системного времени выявления активности объекта на виртуальных машинах,
  • проверки трафика посредством IDS,
  • моделирования пользовательской активности,
  • рандомизации среды операционных систем.

Архитектура решения может выглядеть как отказоустойчивый кластер, где есть две копии сервера и хранилища. На них поступают данные из трафика и с рабочих станций. Они могут работать в режиме active-active, полностью дублируя действия, и обе эти копии могут отдавать данные на детонацию на компонент Sandbox.

В роли Sensor также могут выступать решения Kaspersky Security для почтовых серверов и Kaspersky Security для интернет-шлюзов.

Sensor Kaspersky Anti Targeted Attack

На рисунке выше продемонстрирована архитектура, в которой эти компоненты выступают в качестве сенсора: один для почтового трафика, другой — для сетевого. Данные приходят непосредственно на Kaspersky Security для почтовых серверов. На нём осуществляется аналитика с помощью собственных модулей. Далее выносится вердикт и отправляется на более глубокий анализ в компонент Central Node, откуда в случае необходимости объект направляется в песочницу. Затем он возвращается в компонент Kaspersky Security для почтовых серверов. И тот может автоматически блокировать угрозу, не допустив её до конечного устройства. Точно так же происходят расследование и реагирование при помощи Kaspersky Security для интернет-шлюзов.

Функциональные возможности и достоинства решения

Ключевые возможности:

  • защита максимального количества точек входа на уровне сети и рабочих мест;
  • обеспечение детального обзора всех конечных точек в корпоративной сети с предоставлением данных о событиях, которые происходят в корпоративной ИТ-инфраструктуре;
  • визуализация всех этапов расследования;
  • совместная работа сенсоров (веб, сетевых и почтовых), а также агентов на конечных точках — это обеспечивает реализацию EDR;
  • интеграция с Threat Intelligence;
  • сопоставление событий с техниками матрицы METTRE ATT&CK.

В рамках реагирования на инциденты система может изолировать от корпоративной сети скомпрометированный хост, таким образом предотвратив дальнейшее распространение и заражение. Также система может: завершать подозрительный процесс, перемещать объект в карантин или удалять его, управлять службами и выполнять команды на защищённом хосте, использовать рекомендательную базу для борьбы с угрозами, создавать правила блокировки в автоматическом режиме, запускать YARA-проверки с учётом пользовательских правил.

Схема централизованного реагирования:

Схема централизованного реагирования KATA

На иллюстрации видно, что оповещение об инциденте поступает на Central Node. Там на основе рекомендаций проводится анализ и расследование события. Угроза сдерживается по типу изоляции хоста и запрета запуска исполняемого файла. Далее на основе вынесенного вердикта специалист по информационной безопасности устраняет инцидент.

Ключевые достоинства решения Kaspersky Anti Targeted Attack:

  • уникальные стек-технологии,
  • низкие системные требования,
  • масштабируемость.

Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и оценим стоимость её выполнения.