Hopp til hovedinnholdet
TECHNOLOGY

Beskyttelse av bedriftsnettverk: Kaspersky Endpoint Detection and Response (KEDR)

I motsetning til endepunktløsninger med ett endepunkt tilbyr EDR-klasseløsningen oversikt over hendelser på flere verter og «kraftige» oppdagelsesmetoder (sandkasse, modeller for dyp læring, hendelseskorrelasjon) samt ekspertverktøy for gransking av hendelser, proaktivt trusselsøk og angrepsrespons.

Kaspersky EDR er en nettsikkerhetsløsning som beskytter bedrifters IT-systemer. Den styrker IT-sikkerheten med funksjoner for endepunktoppdagelse og -respons (EDR):

  • Trekk ut mønstre fra avanserte angrep automatisk og manuelt fra hendelser på mange verter.
  • Responder på angrep ved å hindre dem i å fortsette.
  • Forhindre fremtidige angrep.

Behovet for EDR

For ikke så lenge siden innebar et typisk nettangrep bruk av massedistribuert skadelig programvare. Den hadde separate endepunkter som mål og ble detonert på én og én datamaskin. Angrep med massedistribuert skadelig programvare er automatiske. De velger ut tilfeldige ofre via masse-e-post, phishing-nettsteder, falske Wi-Fi-tilkoblingspunkter osv. Bekjempelsesmetoden var løsninger for endepunktbeskyttelse (EPP), som beskyttet verter mot massedistribuert skadelig programvare.

I møte med den effektive EPP-baserte oppdagelsesmetoden byttet angriperne til den mer kostbare, men samtidig mer effektive teknikken med å innlede målrettede angrep mot bestemte ofre. På grunn av den høye kostnaden brukes målrettede angrep vanligvis mot bedrifter i håp om at det skal lønne seg. Målrettede angrep innebærer rekognosering og er utformet for å trenge inn i offerets IT-system og unnvike beskyttelsesmetodene som er i bruk. Angrepskjeden omfatter mange verter i IT-systemet.

Ettersom målrettede angrep benytter svært varierte metoder, er interaktive og er styrt av mennesker, kan de unnvike EPP-basert sikkerhet:

  • EPP-løsninger baserer seg på det de ser på ett enkelt endepunkt. Avanserte angrep agerer imidlertid på mange verter og utfører handlinger som virker relativt ufarlige, på enda et endepunkt. Selv om EPP-er på vertene oppdager noen av disse handlingene, kan angriperne til slutt bygge en angrepskjede som består av flere verter. Spor etter slike angrep er spredt over mange forskjellige verter.
  • Ettersom EPP-vurderingen er automatisk, kan angriperne kontrollere at angrepet ikke er oppdaget av offerets EPP eller andre automatiske sikkerhetsløsninger. Angripere har hele farmer med beskyttelsesløsninger mot skadelig programvare bare til dette formålet.
  • Leverandører kan ikke øke beskyttelsesnivået bare ved å gjøre EPP-løsninger mer mistenksomme på grunn av risikoen for falske positive treff. Derfor er EPP-er utformet for ikke å gripe inn selv om det skjer noe tvetydig på en vert som både kan være en del av en angrepskjede og en legitim handling.

For å beskytte mot målrettede angrep utvider nettsikkerhetsleverandører EPP-løsninger med funksjoner for endepunktbeskyttelse og -respons (EDR):

  • gir sentralisert oversikt over hendelser på mange verter for manuell og automatisk korrelasjon
  • sørger for at sikkerhetspersonell har tilstrekkelige data om hendelser
  • utvikler verktøy for respons og utbedring for å bekjempe menneskestyrte angrep med menneskestyrt nettforsvar

I bunn og grunn legger EDR til nye lag med endepunktbeskyttelse mot avanserte angrep.

Kaspersky EDR-løsningens bidrag til sikkerheten

Kaspersky EDR legger til ekstra beskyttelseskapasitet i en eksisterende EPP-løsning. EPP spesialiserer seg på enklere masseangrep (virus, trojanere osv.), mens EDR konsentrerer seg om avanserte angrep. Med denne løsningen ser analytikere både skadelig aktivitet og hendelser med legitim programvare i sammenheng med et angrep, slik at de kan avdekke hele angrepskjeden.

Kaspersky EDR er fullstendig integrert med Kaspersky Enterprise Security EPP og kan fungere med EPP-løsninger fra andre leverandører. EDR legger til følgende:

  • Oversikt over hendelser på flere verter: aggregering av spor etter angrep spredt over hele IT-systemet.
  • Oppdagelse med «kraftige» metoder, som krever stor databehandlingskraft som er utilgjengelig for endepunktene til vanlige brukere fordi de kan påvirke arbeidsflyten til disse brukerne: avansert forhåndsbehandling, sandkasse, kraftige maskinlæringsmodeller, herunder dyp læring, med mer. Kraftige metoder gir oppdagelse med bedre kvalitet.
  • Ekspertverktøy for gransking av hendelser, proaktivt trusselsøk og angrepsrespons.

Utformingen til Kaspersky EDR

Elementer

  • Endepunktsensor: integrert med Kaspersky Endpoint Security i én agent eller frittstående (for distribusjon med andre EPP-løsninger).
  • Lokale servere (lagring av hendelser, analysemotor, administreringsmodul, valgfri sandkasse). En lokal plassering sørger for at kunden har full kontroll over hendelsesdataene.
  • KSN-skyen eller en privat KPSN-sky for oppdagelsesberikelse i sanntid og rask respons på nye trusler.

EDR som en del av Kaspersky Threat Management and Defense

Sammen utgjør Kaspersky EDR, Kaspersky Anti Targeted Attack Platform og Kaspersky Cybersecurity Service (KCS) en pakke for avansert beskyttelse og trusseletterretning:

  • Kaspersky Anti Targeted Attack Platform legger til nettverks-, Internett- og e-postbasert oppdagelse og utvider løsningens kapasitet til å oppdage målrettede angrep til «endepunkt + nettverk»-nivå.
  • KCS legger til eksperthjelp for kundens IT-sikkerhetsteam: opplæring, trusseletterretningsdata, SOC-administrering (Security Operation Center) av Kaspersky og andre alternativer.

Integrering med SIEM-systemer (Security Information and Event Management)

EDR-løsningen vår kan integreres med tredjeparts SIEM-systemer (oppdagelsesdata eksporteres i CEF-format (Common Event Format)).

Funksjoner

Kontinuerlig sentralisert aggregering av og oversikt over hendelser. EDR aggregerer hendelser fra verter i sanntid:

  • EDR aggregerer hendelser kontinuerlig, uavhengig av årsak og om de er mistenkelige. Dette gjør EDR mer effektiv mot ukjent skadelig programvare. Vi kunne ha utformet den slik at den bare aggregerte mistenkelige eller skadelige hendelser, og dermed ha spart diskplass på senternoden (slik enkelte andre EDR-løsninger gjør). Da hadde den imidlertid ikke logget legitime handlinger utført av angripere med stjålet brukerinformasjon, og nye trusler som ikke ble gjenkjent, ville heller ikke ha utløst logging.
  • EDR-senternoden laster opp hendelsesfeeden fra verter til lagringsplassen på senternoden. Enkelte EDR-løsninger fra andre leverandører lagrer hendelser direkte på vertene. Når senternoden trenger data om hendelser, ber den om logginformasjon fra vertene. Denne utformingen sparer diskplass på senternoden, men gjør at søket tar lengre tid og er avhengig av en tilkobling, og vertens synlighet avhenger av om verten er tilgjengelig i nettverket.

Automatisk oppdagelse. Trusler som er synlige innenfor én vert, oppdages av Kaspersky Endpoint Security ved hjelp av heuristisk, atferdsbasert og skybasert oppdagelse (eller med et annet EPP-vertsprogram). På toppen av dette legger EDR til flere lag med oppdagelsesmetoder med et omfang som dekker flere verter, basert på korrelasjon i hendelsesfeeden fra flere verter.

I tillegg til hendelsesbasert oppdagelse sender EDR-vertsagenter mistenkelige objekter eller deler av minnet til senternoden for nærmere analyse med algoritmer som ikke er tilgjengelige med databehandlingskraften til vanlige verter. Dette omfatter kraftige algoritmer for forhåndsbehandling, heuristikk og maskinlæring, sandkasse, utvidet skybasert oppdagelse, oppdagelse basert på Kasperskys trusseldatafeed og tilpassede oppdagelsesregler (YARA).

Manuell oppdagelse, eller trusselsøk, er når en operatør proaktivt søker etter spor etter angrep og trusler. EDR gjør det mulig å søke gjennom hele hendelseshistorikken fra mange verter, som er aggregert i lageret:

  • Du kan søke gjennom lageret etter spor etter angrep og mistenkelige hendelser og koble dem sammen for å rekonstruere den potensielle angrepskjeden. Søkespørringer i databasen støtter sammensatte filtre (etter vert, oppdagelsesteknologi, tidspunkt, vurdering, alvorlighetsgrad osv.).
  • Du kan laste opp nye IOC-er til EDR og oppdage vedvarende trusler som ikke har blitt oppdaget tidligere.
  • Du kan sende mistenkelige objekter manuelt for nærmere analyse med «kraftige» oppdagelsesmetoder.
  • Hvis bedriften har aktivert KL TIP-tjenesten (Kaspersky Threat Intelligence Platform), kan du be om informasjon om objekter i trusseldatabasen.

Respons er tiltak operatøren kan iverksette når en trussel oppdages. Disse tiltakene omfatter følgende:

  • Hendelsesgransking, rekonstruksjon av hendelser i angrepskjeden.
  • Eksterne operasjoner på verten, som å stoppe prosessen, slette filer eller sette dem i karantene, kjøre programmer og andre tiltak.
  • Begrensning av trusselen med hash-basert avvisning av objektutførelse.
  • Tilbakestilling av endringer på verter forårsaket av skadelig aktivitet avhenger av EPP-løsningen. Kaspersky Endpoint Security annullerer for eksempel slike skadelige handlinger.

Forebygging er policyene som begrenser objektaktiviteter på endepunkter:

  • Hash-baserte policyer for utførelsesavvisning forhindrer at bestemte filer (PE, skript, Office-dokumenter, PDF-filer) kjøres over hele IT-systemet, slik at du kan forhindre angrep som er i ferd med å spres over hele verden.
  • Automatisk oppdagelse av objekter eller URL-adresser på verter som tidligere er registrert som skadelig programvare i en sandkasse.
  • Programutførelseskontroll (hvitelister, oppstartskontroll, rettighetskontroll), policyer for nettverkstilgang, tilgang til USB-stasjoner med flere avhenger av EPP-løsningen. Kaspersky Endpoint Security EPP tilbyr alle disse forebyggingsfunksjonene.

Administrering av Kaspersky EDR er rollebasert og tilbyr administrering av arbeidsflyter: tilordning av varsler, sporing av varselstatus, logging av varselbehandling. E-postvarsler kan konfigureres med stor fleksibilitet i henhold til varseltype og kombinasjon (oppdagelsestype, alvorlighetsgrad osv.).

Eksempel på bruk: avdekke angrepskjeden

EDR-vertsagenter sender hendelser til den interne EDR-serveren regelmessig.

  1. En av hendelsene som er mottatt på serveren, er knyttet til utførelse av en fil med en unik forekomst i bedriftens IT-system (basert på hash-koden). Filen har andre mistenkelige egenskaper i tillegg.
  2. Serveren utløser nærmere undersøkelser. Den laster ned selve filen for automatisert analyse utført av analysemotorene i EDR. Filen settes i kø for automatiske analyseprosedyrer.
  3. Sandkassen registrerer filens atferd som skadelig og varsler operatøren.
  4. Operatøren innleder manuelle undersøkelser og kontrollerer hendelsene som kan være knyttet til infeksjonen:
    a. Oppdager med standard administratorverktøy at det ble gitt tilgang til de infiserte maskinene fra en av bedriftens webservere, som er tilgjengelig fra Internett. Finner mistenkelige filer og prosesser som utføres på serveren, og at det er opprettet mistenkelige kjørbare filer. Finner til slutt et nettskall som angripere lastet opp via et sikkerhetshull på servernettstedet.
    b. Identifiserer alle kommando- og kontrollservere (C&C) for dette angrepet.
  5. Operatøren responderer på angrepet:
    a.Blokkerer alle C&C-er som oppdages.
    b.Stopper skadelige prosesser.
    c.Blokkerer utførelse av skadelige filer basert på hash-kodene.
    d.Setter skadelig programvare og mistenkelige filer i karantene for å undersøke dem senere.

Relaterte produkter

Relaterte teknologier