Gå til hovedindhold
TECHNOLOGY

Beskyttelse af virksomhedsnetværk: Kaspersky Endpoint Detection and Response (KEDR)

I modsætning til enkeltslutpunktsløsninger tilbyder EDR-løsningen synlighed med flere værter og solide detektionsmetoder (sandkasse, modeller med dyb læring, hændelseskorrelation) samt ekspertværktøjer til hændelsesefterforskning, proaktiv trusselsjagt og angreb.

Kaspersky EDR er en cybersikkerhedsløsning til beskyttelse af virksomhedens it-systemer. Løsningen tilføjer EDR-kapacitet (slutpunktsdetektion og respons) til it-sikkerheden ved at:

  • uddrage mønstre af udførlige angreb, automatisk og manuelt, fra hændelser på mange værter.
  • reagere på angreb ved at blokere angrebenes fremskridt.
  • forhindre fremtidige angreb.

Behovet for EDR

For ikke så længe siden ville et typisk cyberangreb bruge massemalware. Denne malware ville være rettet imod separate slutpunkter og detonere i individuelle computere. Massemalwareangreb er automatiske. De udvælger tilfældige ofre via masse-e-mails, phishing-websider, usikre Wi-Fi-hotspots osv. Løsningen var Endpoint Protection Solutions (EPP), som beskyttede værter mod massemalware.

I lyset af den effektive EPP-baserede detektion skiftede angriberne til den dyrere, men mere effektive taktik med at iværksætte målrettede angreb mod bestemte ofre. På grund af høje omkostninger bruges målrettede angreb normalt mod virksomheder med det formål at opnå fortjeneste. Målrettede angreb involverer rekognoscering og er designet til at trænge ind i offerets it-system og undgå dets beskyttelse. Et "Kill Chain"-angreb involverer mange værter på it-systemet.

På grund af det store udvalg af metoder og deres menneskelige, interaktive natur kan målrettede angreb omgå EPP-baseret sikkerhed:

  • EPP'er er nemlig afhængige af, hvad de ser på det enkelte slutpunkt. Men avancerede angreb virker på mange værter, hvilket skaber relativt ikke-mistænkelige handlinger på endnu et slutpunkt. Selv hvis værts-EPP registrerer nogle af disse handlinger, opbygger angriberne i sidste ende en Kill Chain med flere værter. Sporene af sådanne angreb er spredt over mange værter.
  • Da EPP-dommen er automatisk, kan angriberne bekræfte, at deres angreb ikke registreres af offerets EPP eller andre automatiske sikkerhedsløsninger. Angribere opbevarer store mængder antimalware blot til dette formål.
  • Risikoen for falske positiver gør, at udbydere ikke kan øge beskyttelsen ved blot at gøre EPP-løsninger mere "paranoide". Så selv når der sker noget tvetydigt på en vært, der kunne være en del af en Kill Chain samt en lovlig handling, er EPP faktisk designet til ikke at blande sig.

Cybersikkerhedsleverandører udvider EPP-løsninger med EDR-funktioner (slutpunktsdetektion og respons) for at håndtere målrettede angreb:

  • Centraliseret synlighed af hændelser på mange værter for deres manuelle og automatiske korrelation
  • Tilvejebringelse af sikkerhedspersonale med tilstrækkelige data om hændelser
  • Oprettelse af værktøjer til respons og afhjælpning, hvilket modvirker menneskestyrede angreb med menneskestyret cyberforsvar

I sin essens tilføjer EDR nye lag af slutpunktsbeskyttelse mod avancerede angreb.

Kaspersky EDR anvendt på sikkerhed

Kaspersky EDR tilføjer beskyttelseskraft til en eksisterende EPP-løsning. EPP er specialiseret i enklere masseangreb (vira, trojanske heste osv.), mens EDR koncentrerer sig om avancerede angreb. Med denne løsning kan analytikere se malwareaktiviteten samt hændelser med legitimt software i forbindelse med et angreb, der afdækker hele Kill Chain.

Kaspersky EDR er fuldt integreret med Kaspersky Enterprise Security EPP, og det fungerer med EPP-løsninger fra andre leverandører. EDR tilføjer følgende:

  • Synlighed med flere værter: sammenlægning af angrebsspor spredt rundt omkring i it-systemet
  • Detektion med "tunge" metoder, som kræver meget beregningskraft, der ikke er tilgængelig for almindelige brugerslutpunkter på grund af en mulig påvirkning af almindelige brugerarbejdsgange: avanceret forbehandling, sandkasse, tunge maskinlæringsmodeller, herunder deep learning og andre. Tunge metoder giver detektion af bedre kvalitet
  • Ekspertværktøjer til efterforskning af hændelser, proaktiv trusselsjagt og reaktion på angreb

Kaspersky EDR-design

Elementer

  • Slutpunktssensor: integreret med Kaspersky Endpoint Security i en samlet agent eller enkeltstående (til implementering med andre EPP-løsninger)
  • Lokale servere (hændelseslagring, analytisk maskine, administrationsmodul og sandkasse som tilvalg). Placering på stedet giver kunden fuld kontrol over hændelsesdataene
  • KSN Cloud eller KPSN Private Cloud til detektion af berigelse i realtid og hurtig reaktion på nye trusler

EDR som en del af Kaspersky Threat Management and Defense

Kaspersky EDR, Kaspersky Anti Targeted Attack Platform og Kaspersky Cybersecurity Service (KCS) udgør en samlet pakke til avanceret beskyttelse og trusselsefterretning:

  • Kaspersky Anti Targeted Attack Platform tilføjer netværks-, web- og mailbaseret detektion, hvilket udvider løsningens omfang af målrettet angrebsdetektion til "slutpunkt+netværk"-niveau.
  • KCS tilføjer ekspertsupport til kundens it-sikkerhedsteam: uddannelse, levering af trusselsefterretningsdata, SOC-administration (Security Operation Center) fra Kaspersky og andre muligheder.

Integration med SIEM-systemer (Security Information and Event Management)

Du kan integrere vores EDR med tredjeparts SIEM-systemer (detektionsdata eksporteres i det fælles hændelsesformat CEF).

Funktioner

Kontinuerlig centraliseret hændelsessammenlægning og synlighed. EDR sammenlægger hændelser fra værter i realtid:

  • EDR sammenlægger hændelserne kontinuerligt, uanset årsag og mistænksomhed. Dette gør EDR mere effektiv mod ukendt malware. Vi kunne designe den til kun at sammenlægge mistænkelige hændelser eller malware og dermed spare diskplads på den centrale node (som nogle andre EDR-løsninger gør). Men så ville legitime handlinger fra angribere med stjålne legitimationsoplysninger ikke blive logget, og nye ikke-genkendte trusler vil ikke udløse logføring lige så godt.
  • Den centrale EDR-node uploader hændelsesfeed fra værter til dets lager på den centrale node. Nogle andre leverandørers EDR gemmer begivenheder direkte på værter. Når den centrale node skal bruge data om hændelser, anmoder den om logoplysninger fra værter. Dette design sparer diskplads på den centrale node, men det gør også søgningen langsommere og afhængig af forbindelsen, og værtens synlighed afhænger af værtens tilgængelighed i netværket.

Automatisk detektion. Trusler, der er synlige inden for en enkelt vært, registreres af Kaspersky Endpoint Security med heuristik samt adfærdsdetektion og clouddetektion (eller med et andet EPP-værtsprogram). Oven over tilføjer EDR lag af detektion ud fra flere værter baseret på korrelationen af hændelsesfeedet fra flere værter.

Foruden fra hændelsesbaseret detektion sender EDR-værtsagenter automatisk mistænkelige objekter eller dele af hukommelsen til den centrale node for at få en dybere analyse med algoritmer, der ikke er tilgængelige for regelmæssig værtsberegningskraft, herunder tung forbehandling, heuristik og algoritmer til maskinlæring, sandkasse, udvidet clouddetektion, detektion baseret på Kasperskys trusselsdatafeed, brugerdefinerede detektionsregler (YARA).

Manuel detektion eller trusselsjagt er en operatørs proaktive søgning efter spor af angreb og trusler. EDR lader dig "jage" gennem hele hændelseshistorikken fra mange værter, samlet i lageret:

  • Du kan søge i lageret efter spor af angreb og mistænkelige hændelser og sammenkæde dem for at rekonstruere den potentielle Kill Chain. Søgeforespørgsler i databasen understøtter sammensatte filtre (efter værter, detektionsteknologi, tid, dom, sikkerhedsniveau osv.).
  • Du kan uploade nye IoC'er til EDR og registrere tidligere uopdagede, vedvarende trusler.
  • Du kan manuelt sende mistænkelige objekter til dybere analyse ved hjælp af metoder til "tung" detektion.
  • Hvis virksomheden har aktiveret KL TIP-tjenesten (Kaspersky Threat Intelligence Platform), kan du anmode om oplysninger om objekter i trusselsdatabasen.

Respons er handlinger, som en operatør kan udføre, når han eller hun opdager en trussel. Disse handlinger omfatter:

  • Hændelsesefterforskning, rekonstruktion af hændelser i Kill Chain.
  • Fjernhandlinger på værten, herunder procesafslutning, sletning eller karantænesætning af filer, kørende programmer og andre handlinger.
  • Inddæmning af den detekterede trussel ved hashbaseret afvisning af objekteksekvering
  • Tilbagekaldelsen af ændringer på værter forårsaget af malwareaktivitet afhænger af den installerede EPP-løsning. For eksempel vender Kaspersky Endpoint Security effekten af sådanne malwarehandlinger.

Forebyggelse handler om de politikker, der begrænser objektaktiviteter på slutpunkter:

  • Hashbaserede eksekveringspolitikker forhindrer eksekvering af bestemte filer (PE, scripts, Office-dokumenter, PDF) i hele it-systemet, så du kan forhindre angreb, der i øjeblikket spredes rundt om i verden.
  • Automatisk detektion af objekter eller webadresser på værter, som tidligere er blevet registreret i en sandkasse som malware.
  • Kontrol af programeksekvering (tilladt-liste, opstartskontrol, rettighedsstyring), politikker for netværksadgang, USB-drevadgang og andre, som er afhængige af EPP-løsningen. Kaspersky Endpoint Security EPP leverer alle disse forebyggelsesfunktioner.

Administrationen af Kaspersky EDR er rollebaseret og muliggør administration af arbejdsgange: tildeling af advarsler, status for sporing af advarsler, behandling af logføring af advarsler. E-mailmeddelelser konfigureres fleksibelt i henhold til advarselstyper og deres kombinationer (detektionstype, alvorsgrad osv.).

Brugsscenarie: afdækning af Kill Chain

EDR-værtsagenter sender rutinemæssigt hændelser til den interne EDR-server.

  1. En af de hændelser, der modtages på serveren, er forbundet med eksekvering af en fil med unik forekomst i virksomhedens it-system (at dømme efter dens hash). Filen har også andre mistænkelige træk.
  2. Serveren udløser en dybere undersøgelse. Den downloader selve filen til automatiseret analyse af EDR's analytiske maskiner. Filen sættes i kø til automatiske analyseprocedurer.
  3. Sandkassen registrerer filadfærd som malware og advarer operatøren.
  4. Operatøren indleder en manuel undersøgelse og kontrollerer de hændelser, der eventuelt er forbundet med infektionen:
    a. Standardadministratorværktøjer finder ud af, at de inficerede maskiner er blevet tilgået fra en virksomheds webserver, som er tilgængelig fra internettet. Finder mistænkelige filer og processer, der udføres på serveren, oprettelse af mistænkelige eksekverbare filer. Finder til sidst en Webshell, som angribere har uploadet via en sårbarhed på serverens webside.
    b. Identificerer alle kommando- og kontrolservere (C&C) til dette angreb.
  5. Operatøren reagerer på angrebet:
    a. Blokerer alle detekterede C&C'er.
    b. Afbryder skadelige processer.
    c. Blokerer udførelse af malwarefiler ud fra deres hashes.
    d. Karantænesætter malware og mistænkelige filer med henblik på senere undersøgelse.

Relaterede produkter

Relaterede teknologier