Как обезвреживаются антивирусом касперского обнаруженные подозрительные или инфицированные объекты

Обновлено: 06.07.2024

Все мы знаем истории, когда вирусы парализовывали работу огромных компаний. Итог - большие финансовые потери, урон репутации. «Лаборатория Касперского» разработала свой многоступенчатый подход к организации защиты с помощью широкой линейки своих продуктов. Далее я более подробно расскажу об этом подходе и покажу пример установки и настройки одного из базовых продуктов кибербезопасности - Kaspersky EDR Optimum.

Комплексный подход к безопасности

Информационной безопасности сейчас необходимо уделять максимум внимания, с этим нельзя не согласиться. Число атак на бизнес постоянно растет. Когда я начинал свою деятельность в системном администрировании, наиболее страшные вирусы просто выводили из строя операционные системы. Это создавало проблемы, но не критичные. Как правило, систему можно было оперативно восстановить. В других атаках злоумышленники воровали пароли и рассылали зловредные письма, используя украденные учетные данные от почтовых серверов.

Я сам лично наблюдал последствия атак шифровальщиков. У меня цикл статей на сайте есть по этой теме, вынесенный в отдельный раздел. Когда тебя зашифровали, поздно что-то делать. Так что на первое место выходит предотвращение атак всеми доступными способами. И это не просто установка антивируса на рабочие станции. Сейчас приходится более детально разбираться в этом вопросе и использовать комплекс защитных мер.

Для удобного подбора комплексной защиты «Лаборатория Касперского» сгруппировала все свои продукты кибербезопасности в 3 уровня для того, чтобы вы смогли подобрать себе линейку продуктов под свои задачи и ресурсы.

3 уровня защиты от «Лаборатории Касперского»

Как я уже сказал, «Лаборатория Касперского» представила ступенчатый подход к кибербезопасности. В его рамках все корпоративные продукты, технологии и сервисы разделены на три уровня. Необходимый конкретной компании уровень защиты зависит от размера организации и степени зрелости её службы информационной безопасности.


  1. Kaspersky Security Foundations. Этот уровень обеспечивает базовую защиту от широкого спектра угроз для компаний любого размера. Продукты из этого уровня могут быть установлены и настроены, даже если у вас нет IT отдела и постоянных сотрудников в нём. . Продукты этого уровня дают расширенные инструменты противодействия угрозам. Вы можете не только защищаться от атак, но и проводить расследование инцидентов. А также использовать накопленную информацию об атаках на вашу инфраструктуру для их предотвращения, даже если это совершенно новый вирус. Данный уровень приложений будет актуален для компаний, где есть IT отдел, в том числе люди, которые занимаются именно безопасностью.
  2. Kaspersky Expert Security. Самый продвинутый уровень защиты для организации экосистемы средств обеспечения безопасности. Данный уровень ориентирован на корпорации и крупные промышленные предприятия, где есть отдел IT-безопасности.

Далее я рассмотрю продукты уровня Kaspersky Optimum Security и покажу на конкретном примере, как их устанавливать и использовать.

Kaspersky Optimum Security


Данный уровень защиты состоит из следующих компонентов:

    . Это расширение функционала Kaspersky Endpoint Security, который устанавливается в качестве антивируса на рабочие станции. С его помощью можно будет не только предотвращать угрозы, но и расследовать инциденты, анализировать первопричины заражений, автоматически формировать защиту на основе уже полученных данных, строить отчеты и многое другое. Ниже я буду устанавливать и настраивать этот продукт. . Сервис с круглосуточной автоматической защитой на основе моделей машинного обучения и аналитических данных об угрозах и расследований атак, подготовленных специалистами компании Kaspersky. На основе событий безопасности в вашей системе могут быть запущены те или иные сценарии противодействия угрозам. То есть это система, которая автоматически реагирует на инциденты без вашего участия. . Готовый продукт для организации песочницы, который интегрируется в существующую инфраструктуру защиты для дополнительных возможностей проверки и ограничения работы подозрительных приложений. . Портал с базой данных опасных приложений, сайтов, IP-адресов, всего того, что связано с угрозами. Платформа позволяет проверять подозрительные файлы, хеши файлов, IP-адреса или веб-адреса на наличие связанных с ними киберугроз для дальнейшего своевременного реагирования на них. . Онлайн-платформа, с помощью которой можно повышать осведомленность сотрудников любых отделов, даже ИТ-персонала, в вопросах информационной безопасности. Включает в себя интерактивные уроки, тесты, повторение пройденного, в том числе закрепление знаний на примере симулированных фишинговых атак.

Далее я покажу, как установить и настроить базу для построения защиты уровня Optimum Security с помощью Kaspersky EDR для бизнеса Оптимальный.

Установка Kaspersky EDR для бизнеса Оптимальный

Kaspersky EDR Оптимальный устанавливается поверх существующей инфраструктуры Kaspersky на базе Kaspersky Security Center + Kaspersky Endpoint Security. Сначала нужно установить сервер администрирования Kaspersky SC (KSC), затем на рабочие станции развернуть антивирус Kaspersky ES (KES).


В процессе установки сервера управления, вам будет предложено установить одну из бесплатных баз данных mssql express или mysql. Если у вас уже есть один из этих серверов, можно воспользоваться им.

В целом, в установке Kaspersky Security Center нет каких-то сложностей, так что я не буду на этом останавливаться. У продукта хорошая документация на русском языке, так что можно без проблем разобраться. Но я все установил и без инструкции. После установки заходить в консоль управления можно под учетной записью администратора компьютера, под которым выполнялась установка.

Дальнейшая логика установки EDR следующая. Если вы ранее работали с Security Center, то особых проблем у вас не возникнет. Я несколько лет управлял системой безопасности на базе Kaspersky, причем не в одной организации. Хотя это было несколько лет назад, логика работы продукта осталась примерно такой же, только интерфейс поменялся. Так что я быстро во всём разобрался.

Сначала вам надо загрузить установочные пакеты для дистрибутива клиентского антивируса - Kaspersky Endpoint Security. Делается это в разделе Обнаружение устройств и развертывание -> Развертывание и назначение -> Инсталляционные пакеты.


Затем в разделе Параметры консоли -> Веб-плагины установить два плагина - для Kaspersky Endpoint Agent и Kaspersky Endpoint Security.


Далее идём в Устройства -> Политики и профили и создаем политику для Kaspersky Endpoint Agent. В разделе Параметры программы -> Интерфейс и управление обязательно выбрать Endpoint Detection and Response Optimum.


В завершении развертывания необходимо создать три задачи:

  1. Перед развертыванием KES необходимо добавить компонент Endpoint Agent (или Endpoint Sensor) в свойствах установочного пакета KES в KSC.
  2. Задача для удаленной установки дистрибутива KES.
  3. Задача по распространению лицензионного ключа с лицензией на Kaspersky Endpoint Detection and Response Optimum.

Продукт активно развивается, так что какие-то пункты из данной инструкции могут поменяться. Но общая логика установки, думаю, такой же и останется. Теперь можно переходить к тестированию возможностей KES с лицензией EDR Optimum.

Имитация заражения и противодействие с помощью EDR

Давайте посмотрим, как на практике реализуется защита с помощью установленных ранее компонентов. Для теста я запустил на защищенной рабочей станции образец вируса. Локальный антивирус заблокировал его работу. Перемещаемся в KSC и смотрим информацию об инциденте.

Идём в раздел Мониторинг и отчёты -> Отчёты, открываем Отчёт об угрозах. Переходим на вкладку Подробнее.


Мы видим общую информацию о событии. Далее мы можем посмотреть подробности инцидента в отдельной карточке. Перемещаемся туда.


Здесь наглядно со всеми подробностями представлена информация, связанная с событием. Я скачал вирус в запароленном архиве через браузер. Распаковал его и запустил. Сверху показана цепочка процессов, связанных с запуском вируса. Сначала это был системный процесс svchost.exe, потом скачанная программа sw_test.exe и в конце сам запущенный вирус yhtbz.exe.

Через карточку инцидента вы можете изолировать устройство от сети, чтобы далее спокойно разобраться в произошедшем событии, не опасаясь, что прямо сейчас будет распространяться заражение.

Вы наглядно можете проследить за всеми действиями вируса. Для этого нужно выбирать соответствующие разделы под информацией о вирусе и смотреть внесенные им изменения.


  • какие файлы создавал вирус;
  • откуда и кем он был запущен;
  • к каким ip-адресам он обращался;
  • что изменил в реестре.

Наглядно всё это можно посмотреть в отдельной вкладке - Все события инцидента.


На основе данных из карточки вы сможете сразу же проверить файл по его хэшу на Kaspersky Threat Intelligence Portal и получить подробную аналитику. Также с помощью информации о файле вируса можно создать задачу по поиску этого файла на других машинах и настроить какое-то действие, если этот файл будет найден. Например, изолировать хост от сети или удалить файл и поместить на карантин.

Смотрите, какая получается картина. Вы видите не только конечный файл с вирусом, который был запущен в директории temp, но и источник заражения - исходный файл, который антивирусом не детектился, так как не проявлял никаких явно вредоносных активностей, но именно он являлся источником заражения. На основе функционала, представленного Kaspersky EDR Оптимальный, вы видите полную картину происходящего. С помощью информации в карточке инцидента у вас есть возможность сразу же изолировать заражённый хост, посмотреть аналитику по исходному файлу, запускающему вирус. Затем заблокировать на всех компьютерах запуск исходного файла по представленному хэшу, определить ip адреса, к которым обращается вирус и заблокировать их на шлюзе.

Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.

Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.

Более наглядно посмотреть все возможности Kaspersky EDR Optimum вы можете в видео:

Функционал очень крутой. Я лично ничего подобного ранее не видел. Расследования после вирусных атак приходилось проводить вручную, выискивая следы в системе и используя поисковики, чтобы находить подробности.

Заключение

Я рассказал, как организован подход «Лаборатории Касперского» к обеспечению комплексной защиты, а также наглядно показал, как он реализуется на практике на примере использования Kaspersky EDR для бизнеса Оптимальный. В целом мне нравятся защитные продукты этого бренда. Я постоянно использую их на почтовых серверах Linux в качестве антиспама и антивируса.

В офисах мне приходилось использовать 3 современных антивируса - от «Лаборатории Касперского» и других известных антивирусных производителей. Лично мне бренд Kaspersky и его Security Center нравится больше всего. Но нужно учитывать, что он в сумме и стоит немного дороже. Хотя линейки продуктов, как и функционал, у всех разные, и в лоб не всегда получится адекватно сравнить цены. Тут уже каждый сам выбирает, на чем остановиться исходя из задач и бюджета.

Во избежание потери важной информации, перед выполнением каких бы то ни было действий с зараженными объектами, будь то попытка лечения или удаление, они помещаются в специальное резервное хранилище, откуда при необходимости могут быть извлечены.

Уведомления

Приложение Антивирус Касперского для MS Exchange Server предоставляет возможность оповещать об обнаруженных при антивирусной проверке зараженных объектах.

Предусмотрено уведомление о событиях следующих типов:

  • обнаружен зараженный объект
  • обнаружен подозрительный объект
  • обнаружен поврежденный объект

Для каждого типа событий формируется уведомление соответствующего типа.

Контроль вирусной активности

Антивирус Касперского для Microsoft Exchange Server позволяет фиксировать степень вирусной активности в проверяемом почтовом трафике, почтовых ящиках и общих папках Microsoft Exchange Server с помощью счетчиков вирусной активности и уведомлять об этом администратора. Вирусная активность определяется на основании данных антивирусной защиты Microsoft Exchange Server и позволяет фиксировать события следующих типов:

  • Обнаружен зараженный объект
  • Обнаружен подозрительный объект
  • Обнаружен поврежденный объект
  • Один и тот же вирус обнаружен несколько раз

При установке Сервера безопасности в объекте Счетчики вирусных эпидемий создается встроенный Счетчик вирусной эпидемии. Для реализации функции отсылки уведомлений Счетчика вирусных эпидемий устанавливается порог вирусной активности - максимально допустимое количество событий заданного типа (например, Обнаружен зараженный объект ) в течение ограниченного временного интервала. Если вирусная активность превышает установленный порог, Сервер безопасности рассылает уведомление о данном событии на заданные почтовые адреса (обычно, на адрес администратора), с целью уведомления администратора о произошедшем событии.

Отчеты об антивирусной проверке

Отчет об антивирусной проверке проходящего почтового трафика, почтовых ящиков и общих папок Microsoft Exchange Server формируется автоматически, в соответствии с расписанием, или по запросу и может быть сохранен по умолчанию в каталоге Program Files\Kaspersky Lab\Kaspersky Anti- Virus for Microsoft Exchange Server\reports , а также отправлен по электронной почте.

При установке Сервера безопасности создается встроенный шаблон отчета. На основании этого шаблона - Отчет об антивирусной проверке - формируется отчет о результатах антивирусной проверки почтового сервера первого числа каждого месяца за прошедшие 30 дней.

Задание

Контрольные вопросы

Рекомендуемая литература

Антивирус Касперского 5.5 для MS Exchange Server . Руководство Администратора.

C помощью эксперта «Лаборатории Касперского» разбираемся, какой набор инструментов должен иметь в своем арсенале современный специалист по ИБ. От каких угроз и с помощью каких технологий надо защищаться. Говорим о тенденциях в сфере ИБ, о механизмах работы некоторых продуктов «Лаборатории Касперского» и немного заглядываем в будущее.

Сегодня массовые атаки и различные «выбросы» в сеть уже воспринимаются как нечто обыденное, а купить вредонос в DarkNet или заказать DDOS можно недорого и без особых проблем. Как итог — появляются примеры, как школьники, заплатив небольшие деньги, «дидосят» электронный дневник.


С другой стороны, киберпреступники стали более избирательными и всесторонне исследуют цель, прежде чем целенаправленно атаковать ее.

У «Лаборатории Касперского» есть статистика: с 1986 по 2016 годы было разработано около 1 млн зловредов. За последние два года ситуация изменилась: еженедельно в базах фиксируется 2 млн новых зловредов массового поражения, которые выбрасываются в сеть.

Какие же инструменты приходят на помощь специалистам по безопасности, когда вариант «лучшая защита — это нападение» не уместен?

Капитанская вещь, но: для защиты рабочей станции как минимум необходимо использовать всем давно знакомый антивирус. Впрочем, благодаря политике Microsoft, он сейчас есть на каждой машине с Windows. В пик роста кибератак и удивительной находчивости хакеров многие считают, что антивирус работает лишь как плацебо: поставил его на машину и спи себе спокойно.


Ну а если какая-то зловреда таки просочится через такую «лжезащиту», восстановим машину из бэкапа у хороших админов он же всегда есть , поругаем создателя антивируса, еще пару дней плохого настроения от воспоминаний, и все проблемы уйдут. Правда, бывают случаи, когда зараженная машина наносит заметный ущерб коммерческой деятельности.

На сегодняшний момент классический антивирус, который сигнатурно проверяет файлы, действительно не эффективен. Злоумышленники стали активнее и умнее. Поэтому для защиты рабочих станций нужно использовать продукт, совмещающий в себе как классический антивирус, так и разнообразные варианты поиска вредоноса, например, по поведению.

Не стоит забывать о таких важных вещах, как мониторинг уязвимости в программах на всех машинах предприятия, антивирусные проверки файлов в оперативной памяти и на флешках, проверку почтового и веб-трафика.

Кроме того, очень полезна централизованная консоль управления, где можно мониторить все машины компании, видеть угрозы, вести статистику и выполнять задачи удаленного администрирования. Она просто необходима для распределенных организаций. У многих компаний есть соответствующие решения. В той же «Лаборатории Касперского» оно называется Kaspersky Endpoint Security для бизнеса.

Многие организации переводят свои мощности на виртуальные машины. В данном случае виртуальную среду тоже необходимо как-то защищать. Можно, конечно, поставить защиту на каждую такую машину, но так как обычно виртуалкам выделяется мало ресурсов, то хорошо бы строить защиту виртуальный среды с отдельной виртуальной машины. Выделенная машина обрабатывает все данные, а на рабочие виртуалки устанавливаться только агент, который не дает большой нагрузки.


Можно также использовать агентское решение, доступное только для VMware. В этом случае агент не устанавливается на виртуальную машину, а осуществляет защиту и проверяет машины на наличие угроз через гипервизор. Именно такая схема реализована в том же Kaspersky Security для виртуальных и облачных сред.

Все большую популярность набирают гибридные инфраструктуры: когда часть серверов в облаке и часть на земле. Для построения такой инфраструктуры можно использовать Microsoft Azure. Что касается защиты, то у «Лаборатории Касперского» есть подходящее решение — Kaspersky Cloud Security.

Я тучка, тучка, тучка, я вовсе не 0LzQtdC00LLQtdC00Yw=

Шифрование — важная часть информационной безопасности. Сотрудники компании для мобильности часто используют ноутбуки, которые можно потерять и легко украсть. Поэтому для защиты конфиденциальных данных необходимо шифровать не только конечные устройства, но и дисковое пространство, а также почтовый и веб-трафик, каналы связи. Для шифрования трафика можно использовать продукты от Cisco, OpenVPN, VipNet, Континента. У «Лаборатории Касперского» на этот случай есть Kaspersky Secure Mail Gateway, который помимо защитных функций (антивирус/антиспам/антифишинг), позволяет шифровать почтовый трафик и принимать только шифрованный трафик с валидным сертификатом.


Если злоумышленник пробрался во внутрь сети и на 443-й повесил ssh, а потом пошел на другую машину и с нее хочет подключится и выполнить вредоносные действия, то у него ничего не выйдет. В случае использования классического firewall — по 443 порту можно делать все, что хотите. В качестве open source варианта для создания firewall можно рассмотреть pfSense, который, кроме основных функций, предоставляет возможности по маршрутизации и балансировке трафика.

DDOS — штука неприятная. К тому же если конкуренты решили вывести ваш сайт из строя в самое неподходящее время, то атака может вылиться в большие потери.

Есть второй вариант работы, когда «Лаборатория Касперского», через средства мониторинга, контролирует назревающую DDoS-атаку и сообщает о ней заказчику, а заказчик принимает решение прогонять свой трафик в данный момент через центры очистки или нет.

В принципе, все названные выше решения позволяют защититься от 99% вредоносов, но всегда остается 1%, не значащийся в сигнатурных базах и созданный для одной конкретной атаки, которая может нанести большой ущерб. В той же «Лаборатории Касперского» разработали Kaspersky Anti Target Attack Platform. Это решение принимает на себя SPAN-трафик, который подается сетевому оборудованию, почтовый трафик, трафик с рабочих мест. Внутри платформы установлен антивирусный движок, который проверяет весь этот трафик и выдает антивирусные детекты. SPAN-трафик, в свою очередь, компонентом IDS проверяется на наличие аномалий в сетевом трафике.

Еще один компонент платформы — песочница — изолированная среда, в которой запускаются файлы и анализируется их поведение.

Если в песочницу попадает вирус, то он обычно скачивает свои дополнительные модули с командного центра, а платформа, проанализировав его поведение и сетевые взаимодействия, признает его вредоносным.

Просмотрите информацию о текущих базах, выбрав слева раздел ОБНОВЛЕНИЕ. Ответьте на вопросы:


Дата последнего обновления


Срок действия лицензии


Статус баз

Режим запуска


Выберите раздел ЗАЩИТА и ответьте: какие компоненты входят в комплексную защиту компьютера?

Выберите раздел ПРОВЕРКА и просмотрите:


Какие объекты проверяет антивирус Касперского?


может ли пользователь задавать, какие объекты следует проверять, а какие – нет? Как это сделать?

Откройте окно НАСТРОЙКА и подготовьте ответы на вопросы:


Проверяются ли на наличие вирусов файлы, находящиеся в архивах? Где это задано?

какие действия может выполнять антивирус Касперского с инфицированными и подозрительными объектами?

Используйте СПРАВКУ, найдите информацию о защите от сетевых атак и скопируйте найденную информацию в текстовый документ. Сохраните документ в своей папке(название папки – Ваша фамилия) под именем Справка.


Выполните проверку своей папки на наличие вирусов.

Импортируйте отчет в текстовый файл под именем Отчет в свою папку, нажав на кнопку Сохранить как.

Проведите проверку всех локальных дисков компьютера на наличие вирусов.

Используя раздел СПРАВКА, ответьте на вопросы:

Отличие полной проверки от быстрой проверки

быстрая проверяет самые основные некоторые файлы на диске С, полная длится намного дольше и проверяет каждый файл, находящийся на компьютере. По-хорошему нужно хотя бы каждый месяц проводить быструю проверку и хотя бы раз в 3 месяца полную

Понятие вирусная атака

Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведения в негодность аппаратных комплексов компьютера.

Назначение доверенного процесса

Понятие карантин

Данная закладка предназначена для работы с объектами, помещенными на карантин. На закладке представлена информация о количестве объектов на карантине, о количестве возможно зараженных объектов, обнаруженных в процессе работы Антивируса Касперского, а также о текущем размере хранилища

С какой целью объекты помещаются в карантин?

Контрольные вопросы:

Что такое компьютерный вирус?

Компью́терный ви́рус — компьютерная программа или вредоносный код, отличительным признаком которых является способность к размножению.

Перечислите виды компьютерных вирусов. Ответ оформите в виде таблицы:

Виды компьютерных вирусов

Червь – программа, которая делает копии самой себя. Ее вред заключается в захламлении компьютера, из-за чего он начинает работать медленнее. Отличительной особенностью червя является то, что он не может стать частью другой безвредной программы.

Троянская программа маскируется в других безвредных программах. До того момента как пользователь не запустит эту самую безвредную программу, троян не несет никакой опасности.

Троянская программа (троянский конь, троян)

Шпионы собирают информацию о действиях и поведении пользователя. В основном их интересует информация (адреса, пароли).

Программы – шпионы

Какие могут быть признаки заражения компьютерным вирусом?

Назначение антивирусных программ. Примеры антивирусных программ.

Касперский , аваст ,Dr.web

Укажите действия для проверки диска С:\ на наличие вирусов.

Какая информация отражается в отчете о проведенной проверке?


Перечислите меры предосторожности, которые следует соблюдать во избежание заражения вирусом?

Регулярно проверять ПК на вирусы ,Избегать подозрительных сайтов , и пользоваться лицензионным софтом

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Читайте также: