Касперский запросить временный доступ

Обновлено: 02.07.2024

Исследование, содержащее свыше 100 страниц текста, посвящено безопасности использования разработок «Лаборатории Касперского» в украинских госорганах. Заключения экспертов весьма категоричны — антивирус может удаленно блокировать работу компьютеров и бесконтрольно передавать данные пользователей спецслужбам РФ. AIN.UA публикует выводы, сделанные авторами исследования, а также скриншоты отдельных страниц. По просьбе авторов мы не называем компанию, проводившую исследование.

Краткая сводка по отчёту об исследовании антивирусных продуктов Лаборатории Касперского

Актуальной задачей исследования является определение потенциальных угроз для органов государственной власти Украины при использовании антивирусных продуктов Российской разработки компании «Лаборатория Касперского».

Выполнялся поиск следующих видов угроз:

Автоматическая скрытая передача информации с ПК, защищаемого антивирусными продуктами, на внешние сервера; Запуск троянских функций с целью изменения логики работы ПК, модифицирования/уничтожения информации, выведения ПК из строя путём повреждения их программной и/или аппаратной части.

Общее заключение по исследованию

Использование антивирусных продуктов производства «Лаборатории Касперского» несёт высокие риски в области бесконтрольной передачи информации с ПК пользователей на сервера компании, с возможностью дальнейшего использования данной информации, включая передачу её правоохранительным органам и силовым структурам Российской Федерации.

Антивирус Касперского

Выполнялось исследование антивирусных русскоязычных версий продуктов Kaspersky Antivirus 2014 и Kaspersky Internet Security 2014, доступных на официальном сайте компании.

Общее заключение по исследованию

Общие особенности работы антивируса с точки зрения информационной безопасности.

Все продукты антивируса Касперского работают в системе с наивысшим приоритетом, и не могут быть ограничены или контролироваться каким либо внешним программным обеспечением или самой операционной системой. Во время работы продукты проводят обмен данными с серверами, расположенными в США и России. Все передаваемые данные, отправляемые с компьютера зашифрованы и не могут быть проанализированы.

Общий анализ потенциальных угроз

Существует два основных направления угроз, связанных с использованием антивирусных продуктов Лаборатории Касперского:

Заключения по исследованию

Объём и содержание передаваемой с компьютера информации. В лицензионном соглашении продуктов Касперского присутствует пункт 5.2. Для повышения уровня оперативной защиты Вы соглашаетесь в автоматическом режиме предоставлять информацию о контрольных суммах обрабатываемых файлов (MD5), информацию для определения репутации URL, статистику использования продуктовых уведомлений, статистические данные для защиты от спама, данные об активации и версии используемого ПО, информацию о типах обнаруженных угроз, а также об используемых цифровых сертификатах и информацию необходимую для проверки их подлинности. В процессе работы на тестовом ПК в течении двух часов главным процессом продукта (avp.exe) было передано в сеть на иностранные сервера около 600 мб информации. При этом невозможно определить содержимое этой информации. Данная технология (собирающая все необходимые данные, а также позволяющая антивирусу принимать решения на основе данных, полученных с серверов Лаборатории Касперского) называется KSN – Kaspersky Security Network. Как показало исследование – полностью отключить данную систему нельзя. Ответ службы поддержки «Лаборатории Касперского» говорит о том, что «Отключение модуля KSN отменяет передачу данных с ПК пользователя, но при этом приём и использование информации выполняется в любом случае». На самом деле отправка атрибутов проверяемых антивирусом файлов или сайтов всё равно выполняется, так как именно на основе этих данных антивирус получает данные из KSN о необходимости блокирования файла.

Использование социальных технологий

Облачные технологии продуктов лаборатории Касперского используются для увеличения качества и скорости детектирования вирусных баз. По сути, используются механизмы репутационного анализа. Использование этой технологии может привести к временному блокированию сайтов или файлов на ПК пользователей, спровоцированному иностранной аудиторией продуктов «Лаборатории Касперского».

Система обновлений

Система обновлений антивируса Касперского состоит из двух ключевых направлений: обновление программных модулей и обновление вирусных баз. Механизм обновления программных модулей выполняет загрузку новых версией программных модулей продукта, добавляет в продукт новую функциональность или изменяет существующую. Данные механизм может быть отключен в настройках продукта. Механизм обновления вирусных баз загружает и автоматически применяет дополнения, а также изменения к существующим внутренним базам. Отключение данного механизма делает несостоятельной защиту, обеспечиваемую антивирусом Касперского.

Какие угрозы существуют в системе обновлений вирусных баз

Неконтролируемый двухсторонний обмен данными. При обновлении антивируса на тестовой системе было загружено 98 Мб информации, и при этом передано около 14 Мб информации неустановленного содержания. Чрезмерные возможности обновлений вирусных баз. Обновления вирусных баз представляет собой два вида данных:

• Вирусные записи в собственном формате данных, являющиеся данными для антивируса о том, какие файлы и сайты необходимо идентифицировать как вредоносные, и какие действия из списка стандартных необходимо выполнить для нейтрализации обнаруженных угроз.
• Процедуры в виде машинного кода, активизируемые антивирусом в различных ситуациях (при обнаружении какого то конкретного файла, или при проверке каждого файла и т.п.).
• Обновление вирусных баз (поставляемое в виде машинного кода) является полноценной подпрограммой, обладающей всем необходимым доступом к системе, программному обеспечению и данным. Вирусные базы передаются и хранятся на компьютере в зашифрованном виде и не могут быть проанализированы. При этом конкретный участок кода, присутствующий в базах, или переданный в виде обновлений, может выполняться не всегда, а только при наступлении какого то определённого события.

Сотрудничество Лаборатории Касперского с ФСБ России

Евгений Касперский, основатель компании и технологический идеолог компании «Лаборатория Касперского», окончил «Высшую краснознамённую школу КГБ» (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России). «Лаборатория Касперского» постоянно сотрудничает с ФСБ в области: предоставления информации, анализа и расследования инцидентов, консультаций в области информационной безопасности.

В пресс-службе «Лаборатории Касперского» AIN.UA ответили, что по их мнению данный документ не является исследованием, скорее это напоминает попытку манипуляции на фоне текущей обостренной ситуации на территории Украины. «Все наши продукты регулярно проверятся и сертифицируются, в том числе на предмет отсутствия «закладок». Kaspersky Lab беспристрастна в вопросе обеспечения информационной безопасности вне зависимости от политической ситуации. И мы уверены, что клиенты, выбирающие продукты безопасности с точки зрения объективных критериев, разделяют нашу позицию и не станут жертвами подобных провокаций», — сообщили в офисе лаборатории.

Напомним, что накануне выборов хакеры взломали избирательную систему ЦИК и временно вывели из строя IT-инфраструктуру Центризбиркома. В результате хакерской атаки в интернет попали все пароли доступа и структура компьютерной сети организации. Как сообщил глава Госспецсвязи Владимир Зверев, установленный на компьютере администратора ЦИКа антивирус «Касперского» не сработал и злоумышленники смогли добраться до остальных серверов организации.

Для того, чтобы задать пароль proxy-сервера для клиентских программ, необходимо изменить политику защиты клиента на сервере администрирования Касперского. Для этого открываем остнастку KSC, переходим на вкладку "управляемые компьютеры", далее вкладку "Политики". Правим политику защиты по-умолчанию. Параметры proxy-сервера указываются в разделе "параметры программы".

Создание автоматического установочного пакета для Антивируса Касперского 6.0

Способ установки Антивируса Касперского с автоматической настройкой и выбором лицензионного ключа.

Создание автоматического установочного пакета

• Распаковать антивирус в папку, например, C:\KAV, но не устанавливать,
• Сохранить конфигурационный файл с настроенного ПК в папку C:\KAV и назвать "install.cfg"
• В папке C:\KAV создать или отредактировать файл "install.ini" со следующим содержанием:

Важно!: см. ниже как получить значение параметра Components.

• В папке C:\KAV создать файл "install.cmd" со следующим содержанием:

<имя пакета>.msi в нашем случае было kav6ws.ru.msi в папке в "C:\KAV".

Пользователь должен будет выбрать в диалоговом перезагрузить ПК после установки антивируса или нет.

• Скопировать файл лицензионного ключа (.key) в "C:\KAV",
• Используя 7Zip добавить следующие файлы:

в архив с названием "kavarchive.7z",

• Загрузить 7z Library, SFXs for installers, Plugin for FAR Manager с официального сайта. Открыть архив и скопировать файл "7zS.sfx" в папку "C:\KAV",
• В папке "C:\KAV" создать новый файл с именем "sfxconfig.txt" со следующим содержанием:

• В командной строке из папки "C:\KAV" выполнить следующую команду:

• Файл "installer.exe" переименовать для последующего распростанения.

Параметр Components файла install.ini

1. Имя - любое, например KAV6,
2. Тип "Создать инсталляционный пакет для приложения "Лаборатория Касперского"". Кнопкой обхор выбрать в папке C:\KAV файл .kpd,
3. Указать свой лицензионный ключ,
4. Начать создание инсталляционного пакета.

Созданный пакет появится в разделе Удаленная установка, где можно изменить его свойства и указать файл с конфигурацией рабочего ПК и выбрать локальные задачи для установки. Папка пакета (по умолчанию):

В файле install.ini находится значение параметра Components, соответствующее настройкам инсталляционного пакета на прилагаемом скриншоте:

В данном окне необходимо выбрать компоненты (по вкусу) и роли для установки (все). Файл install.ini можно использовать при упаковке собственного дистрибутива.

Создание зеркала сервера обновлений антивируса Касперского

Когда антивирус Касперского устанавливается на всю сеть со старыми базами, в целях экономии трафика и разгрузки интернет канала днем вместо обновления через интернет рекомендуется создать зеркало сервера обновлений и настроить антивирусы на него.

Предлагаемый способ выгоден, когда в сети постоянно подключен к Интернет Linux сервер. Проверка актуальности выложенных на ftp Касперского баз и принятие решения качать или не качать возложено на команду wget.

На ftp Касперского выкладываются файлы архивов обновлений. Их всего три:

• кумулятивный,
• еженедельный,
• ежедневный.

Рекомендации:

Сброс пароля у Антивируса Касперского 6.0

Антивирус Касперского версии 6.0 позволяет управление ограничением доступа к настройкам приложения с помощью пароля. Если Вы по какой-то причине забыли пароль, то управление настройками и работой используемой Вами програмы Лаборатории Касперского может стать невозможным. Для того, чтобы отключить защиту паролем Вам необходимо проделать следующее:

• перезагрузите компьютер в режиме защиты от сбоев (Как перезагрузить компьютер в режиме защиты от сбоев)
• зайдите в папку, в которую установлен Антивирус Касперского версии 6.0. По умолчанию данные продукты устанавливаются в следующие папки:

• переименуйте файл avp.exe (например, в temp.exe)

• перезагрузите Ваш компьютер в нормальном режиме
• запустите переименованный Вами файл
• откройте главное окно Антивируса Касперского версии 6.0
• нажмите кнопку Настройка
• в левой части окна выберите раздел Сервис
• в правой части окна отключите опции Включить самозащиту и Включить защиту паролем
• нажмите кнопку ОК

• выгрузите Антивирус Касперского версии 6.0, щелкнув правой кнопкой мыши по его иконке в правом нижнем углу экрана и выбрав пункт Выход
• зайдите в папку, в которую Вы установили Антивирус Касперского версии 6.0
• переименуйте файл temp.exe обратно в avp.exe
• запустите Антивирус Касперского версии 6.0
• откройте главное окно Антивируса Касперского версии 6.0
• нажмите кнопку Настройка
• в левой части окна выберите раздел Сервис
• в правой части окна поочередно включите опции Включить самозащиту и Включить защиту паролем
• нажмите кнопку Настройка в блоке Самозащита
• установите новый пароль
• нажмите кноку ОК два раза

В данной статье приведены изображения диалоговых окон Kaspersky Internet Security 6.0 MP2. Для Антивируса Касперского 6.0 MP2, Антивируса Касперского 6.0 для Windows Workstations MP2, Антивируса Касперского 6.0 SOS и Антивируса Касперского 6.0 для Windows Servers MP2 отличия будут состоять только в названиях диалоговых окон, а также в количестве компонентов раздела Защита.

Устранение неполадок при установке Kaspersky Antivirus

Старый антивирус не удаляется

Например если Kaspersky 6.0.4 ищет дистрибутив по несуществующему сетевому пути

тогда переходим к инструкциям с официального сайта, а именно скачиваем утилиту kavremover, удаляем старый антивирус и заново приступаем к установке.

Kaspersky 6.0.4: "Ошибка 1934. Права на установку служб"

Данная ошибка может появиться в процессе установки Антивируса Касперского 6.0\Kaspersky Internet Security 6.0 версий 6.0.2.614 и 6.0.2.621 в случае, если на Вашем компьютере установлена операционная система Windows Vista, и ранее была предпринята попытка установить версию Антивируса Касперского 6.0\Kaspersky Internet Security 6.0, не совместимую с Windows Vista (версии 6.0.0.299-6.0.0.303, 6.0.1.411).

Для устранения данной неполадки Вам необходимо проделать следующие действия:

• скачайте утилиту KisKav6remove.zip
• перезагрузите компьютер в безопасном режиме
• распакуйте архив KisKav6remove.zip
• запустите файл KisKav6remove.exe
• дождитесь окончания работы утилиты
• перезагрузите компьютер
• запустите установку версии 6.0.2.614 или 6.0.2.621 заново

Не применяются настройки сервера администрирования

Стразу после установки антивирус пытается обновиться не с сервера администрирования. Самый простой способ подождать. Политики сервера администрирования, как правило, применяются не сразу, а через некоторое непродолжительное время. Если время не терпит и необходимо обновить базы, можно в настройках антивируса указать в качестве источника обновлений «Сервер администрирования» вручную. Остальные ограничения подхватятся сами собой через некоторое время.

Kaspersky Network Agent: "Ошибка 1607: Install Shield script runtime."

Если при установке Kаspersky Antivirus 6.0.4 с помощью пакета автоматической установки возникает "Неустранимая ошибка" или при установке напрямую Kaspersky Administration Agent 8 выдает ошибку "Ошибка 1607: Install Shield script runtime.", это ошибка Windows и необходимо ознакомиться со следующей статьей на сайте Microsoft: Ошибка 1607 программы Windows Installer при установке Microsoft Office XP

В основу интегрированного решения «Лаборатории Касперского» для защиты рабочих мест положены классическое EPP-решение Kaspersky Endpoint Security и EDR-комплекс Kaspersky Endpoint Detection and Response «Оптимальный». Единый агент для автоматической защиты от массовых угроз и расширенного противодействия сложным атакам облегчает управление инцидентами и минимизирует дополнительные затраты на обслуживание. В итоге обеспечивается сбалансированный подход к защите.

Сертификат AM Test Lab

Номер сертификата: 329

Дата выдачи: 17.02.2021

Срок действия: 17.02.2026

Введение

Ряд исследований, проведённых в 2019–2020 годах несколькими ведущими аналитическими центрами, показывает быстрый рост решений класса EDR и стойкий интерес к ним.

Так, например, компания IDC в своём отчёте «Безопасность рабочих мест в 2020 г.: возрождение EPP и предназначение EDR» сделала следующие выводы:

• Слабое решение класса EPP сводит на нет все преимущества EDR-решения.
• EDR-система должна анализировать данные, в том числе те, что находятся за пределами рабочих мест.
• Люди и время становятся новым показателем окупаемости EDR-решений.

По результатам исследования, проведённого «Лабораторией Касперского», в 2019 году доля фишинговых атак только в финансовом секторе по отношению ко всем зафиксированным случаям фишинга возросла с 44,7 % до 51,4 %. Также чаще стали подвергаться атакам субъекты критической информационной инфраструктуры (КИИ). Так, с начала 2020 года было выявлено более миллиарда атак только в отношении объектов КИИ.

По данным аналитического агентства Technavio, рынок средств класса EDR будет расти в течение 2020–2024 годов и увеличится на 7,67 млрд долларов США.

Исходя из исследований можно сделать выводы, что классические решения EPP и EDR по отдельности уже не всегда удовлетворяют потребности потенциальных заказчиков в привычном виде. Именно поэтому специалисты «Лаборатории Касперского» выработали решение по усилению уже внедрённой защиты конечных точек в целях противодействия сложным угрозам — KES + KEDR «Оптимальный» (рис. 1).

Рисунок 1. Усиленная защита конечных точек за счёт интеграции решений

Суть усиления и доработки заключается в использовании функциональности решений обоих классов через бесшовное взаимодействие посредством единого агента. Перечислим актуальные проблемы информационной безопасности, которые помогает решать такой подход:

• необходимость ручного разбора и анализа большого числа инцидентов;
• эксплуатация средств ИБ, которые не взаимодействуют друг с другом и управляются из разных консолей;
• принятие решений без использования средств для наглядного централизованного представления информации;
• выполнение сложных задач в условиях нехватки квалифицированных кадров и экспертизы;
• несоответствие требованиям регулирующих органов и действующего законодательства.

Ещё одним важным моментом и запросом на сегодняшний день является возможность не только внедрить сложное и широкофункциональное решение по обнаружению инцидентов и реагированию на них на конечных точках в больших организациях, но и надёжно защитить активы и бизнес-процессы независимо от уровня и размера организации, равно как и её зрелости в части ИБ (рис. 2).

Рисунок 2. Уровни зрелости организаций в части информационной безопасности

Решение, рассматриваемое в нашем обзоре, было разработано для организаций среднего уровня зрелости процессов ИБ. Создатели исходили из того, что для охвата потребностей такого предприятия или ведомства не требуется всех умений Kaspersky EDR: будет достаточно набора самых нужных функций с возможностью расширить его за счёт подключения дополнительных решений (рис. 3).

Рисунок 3. Различия между Kaspersky EDR «Оптимальный» и Kaspersky EDR

Далее в обзоре будет рассматриваться только Kaspersky EDR «Оптимальный». Начнём с функциональных возможностей.

Функциональные возможности «Kaspersky EDR для бизнеса Оптимальный»

Kaspersky EDR «Оптимальный» объединяет новейшие технологии защиты рабочих мест и гибкие инструменты контроля со средствами эффективного противодействия сложным атакам и повышения прозрачности инфраструктуры.

Отметим следующие аспекты функциональности решения:

• Управление функциями EPP и EDR из единой консоли.
• Автоматизированные средства реагирования на угрозы.
• Возможность проведения анализа первопричин (root-cause analysis).
• Интегрированные шифрование и патч-менеджмент.
• Формирование карточки инцидента: Kaspersky Endpoint Agent составляет подробную карточку с важными данными об инциденте на конечном устройстве. Карточка формируется в веб-консоли сервера администрирования на основе сигнала об обнаружении от совместимой EPP-программы Kaspersky.
• Возможность запустить цепочку ответных действий: создать правило запрета на запуск недоверенного объекта, выполнить поиск похожих инцидентов в группе устройств на основе выбранных индикаторов атаки (IoC), изолировать недоверенный объект, отсечь скомпрометированное конечное устройство от сети.
• Визуализация пути распространения атаки (attack spread path): для каждой заполненной карточки инцидента Kaspersky Endpoint Agent строит интерактивный граф, описывающий этапы развёртывания обнаруженной атаки во времени. Построенный граф содержит информацию о модулях, задействованных в атаке, и действиях, выполненных ими.
• Интеграция с решением Kaspersky Security Center Cloud Console в рамках функций Kaspersky EDR «Оптимальный».

Рисунок 4. Основные функциональные возможности KES + EDR

В целом подобная функциональность может встретиться в решениях классов EPP и EDR по отдельности, но в том и преимущество комплекса от «Лаборатории Касперского»: в легковесности, едином агенте и возможности гибко наращивать необходимую функциональность. Взглянем на его архитектуру.

Архитектура KES + EDR

В основу архитектуры решения положены привычные нам Kaspersky Security Center и Kaspersky Endpoint Security, что даёт гибкие возможности по интеграции в существующую инфраструктуру организации. Если говорить о месте в экосистеме продуктов, то стоит отметить тесную взаимосвязь и взаимозависимость между ними, что обеспечивает перекрёстный охват всех объектов сети.

Рисунок 5. Архитектура KES + EDR

Как видно по схеме выше, Kaspersky Security Center и Kaspersky Endpoint Agent являются обязательными компонентами, а Kaspersky Sandbox — вспомогательным.

Рисунок 6. Другие решения, в которых используется единый агент

Изучив архитектуру, можно сказать, что она позволяет легко и гибко наращивать мощности, подключать новые устройства и управлять ими. Мониторинг всех возникающих инцидентов на конечных точках вкупе с другими элементами инфраструктуры даёт более полную картину и обеспечивает подконтрольность ситуации.

Системные требования

При развёртывании всегда рекомендуется изучить системные требования и придерживаться их, в противном случае можно столкнуться с рядом сложностей.

Таблица 1. Аппаратные требования для Kaspersky Endpoint Agent

Для работы Kaspersky Endpoint Agent 3.9 в составе решения Kaspersky EDR «Оптимальный» требуется Kaspersky Security Center 12.1 или Kaspersky Security Center Cloud Console. Управление программой осуществляется через облачную или веб-консоль администрирования. Программа Kaspersky Endpoint Agent должна быть установлена в составе Kaspersky Endpoint Security 11 для Windows (версии 11.4 или 11.5) или Kaspersky Security 11 для Windows Server.

Таблица 2. Программные требования для Kaspersky Endpoint Agent

В целом предъявляемые системные требования — такие же, как и у решений Kaspersky Endpoint Security и Kaspersky Security Center, так что при наличии последних не потребуется выделять дополнительные ресурсы.

Сценарии использования KES + EDR

В наших сценариях мы будем использовать стенд в следующем составе:

• Kaspersky Security для рабочих станций и файловых серверов,
• Kaspersky Endpoint Agent,
• Kaspersky Security Center.

Процесс развёртывания рассматриваться не будет; о нём можно подробно узнать из официальной документации. Один из способов установки также описан в ранее выпущенной нами статье.

Подключимся к Kaspersky Security Center (рис. 7).

Рисунок 7. Авторизация в Kaspersky Security Center

После подключения перемещаемся в панель мониторинга Kaspersky Security Center с настраиваемой панелью и инструментами визуализации (рис. 8).

Рисунок 8. Панель мониторинга Kaspersky Security Center

Будут рассмотрены классические и часто используемые сценарии, но начнём мы с интересных возможностей, связанных с визуализацией цепочек развития угрозы (kill chain).

Построение цепочки развития угрозы в KES + EDR

Удобная функциональность позволяет визуализировать в виде графа информацию о потенциальной атаке, необходимую для выполнения своевременных ответных действий.

Граф цепочки развития угрозы — инструмент для анализа причин появления последней. Граф предоставляет визуальную информацию об объектах, задействованных в инциденте — например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках, кустах реестра.

Собираемые сведения отправляются в Kaspersky Security Center, где и происходит само построение.

Настройка правил, по которым формируются цепочки развития угрозы, выполняется в разделе управляемых устройств (рис. 9, 10, 11). Перед настройкой важно выполнить ряд предварительных условий (табл. 3). Также важно знать, что цепочка развития угрозы отображается в карточке инцидента.

Рисунок 9. Раздел «Управляемые устройства» в Kaspersky Security Center

После выбора управляемого устройства переходим в свойства и выбираем раздел «Параметры программы» → «Синхронизация с Сервером администрирования».

Рисунок 10. Настройка параметров Kaspersky Endpoint Agent

В параметрах синхронизации должно быть выбрано «Отправлять данные для построения цепочки развития угрозы».

Рисунок 11. Параметры синхронизации отправки данных для построения цепочки развития угрозы

Таблица 3. Предварительные условия для развития цепочки угроз

Благодаря произведённым настройкам у ИБ-администратора появляется возможность получить более наглядную и полную картину для принятия решения по событию и оперативно перевести последнее в статус инцидента.

Функциональность работы с цепочками развития угроз привлекательна, так как имеет низкий порог вхождения: на её основе даже не занимающийся ИБ профессионально специалист сможет разобраться в ситуации и принять решение на своём уровне. В расширенной же версии Kaspersky EDR присутствует возможность корреляции цепочки развития угроз с матрицей MITRE ATT&CK.

Работа с карточками инцидентов в KES + EDR

Ранее было отмечено, что всю необходимую информацию (ту же цепочку развития угрозы) можно найти в карточке инцидента. Но прежде чем добраться до неё и посмотреть, как она выглядит, разберём несколько моментов, позволяющих понять, где и в каких разделах Kaspersky Security Center находятся полезная информация и настройки KES + EDR.

Так, в интерфейсе Kaspersky Security Center отображаются политики KES + EDR (рис. 12). Они позволяют распространять на управляемые устройства с установленным Kaspersky Endpoint Agent политики в массовом формате.

Рисунок 12. Отображение политик KES + EDR в Kaspersky Security Center

Переключимся теперь на раздел со списком управляемых устройств (рис. 13). Находим здесь интересующее нас устройство и щелчком по нему переходим в его свойства.

Рисунок 13. Выбор управляемого устройства из списка в KES + EDR

В разделе общих свойств выбранного устройства (рис. 14) отображается информация по нему, включая текущие сеансы с его участием, а также доступна немаловажная функциональность, связанная с возможностью принудительно синхронизировать параметры и настройки устройства с сервером администрирования.

Рисунок 14. Общие свойства управляемого устройства в KES + EDR

Здесь нам кроме всего прочего доступна информация об установленных на управляемом узле программах. Всё это позволяет централизованно держать под контролем ситуацию с актуальной версией (рис. 15). На остальных вкладках доступны для просмотра данные о задачах, запускаемых на узле, событиях и инцидентах, а также дополнительные сведения.

Рисунок 15. Установленное программное обеспечение «Лаборатории Касперского» на подконтрольном управляемом устройстве в KES + EDR

Но самое интересное для ИБ-администратора — это, конечно же, события и инциденты, на основе которых он сможет принимать верные решения по дальнейшим действиям, а также оценивать уровень важности ситуации, держа всё под контролем. Для получения информации о событиях можно не только воспользоваться разделом в свойствах управляемого устройства (там будут видны только относящиеся конкретно к нему записи), но и в общем плане просмотреть все события через раздел отчётов. В последнем случае в главном окне веб-консоли KSC нажимаем на «Мониторинг и отчёты» → «Отчёты» и из списка в разделе «Подробнее» выбираем интересующее нас зафиксированное событие (рис. 16).

Рисунок 16. Выбор карточки инцидента из отчёта по событиям на управляемых узлах в KES + EDR

В итоге открывается карточка инцидента (рис. 17). Там собрана самая необходимая и важная для принятия решения информация:

• действие, предпринятое по отношению к обнаруженному исполняемому файлу / процессу;
• информация об управляемом устройстве (IP-адрес, ОС, наименование применяемой политики);
• дата обнаружения, полный путь до файла, хеш-сумма в разных форматах (данные, на основе которых можно создавать IoC);
• цепочка развития угрозы;
• кнопки действий по отношению к обнаруженному объекту (запретить, поместить в карантин).

Рисунок 17. Карточка инцидента в KES + EDR

О запрете запуска, переносе в карантин и сетевой изоляции стоит рассказать подробнее. Посвятим этим возможностям следующий сценарий.

Сетевая изоляция устройства и запрет на исполнение файлов на управляемом устройстве в KES + EDR

Удобной и полезной функцией является возможность изолировать на сетевом уровне подконтрольное устройство (рис. 18). Это важно при обнаружении потенциально вредоносных действий или подозрении на атаку (например, где-либо появилась троянская программа), поскольку за счёт изоляции можно пресечь распространение и переход атаки на другие устройства в корпоративной сети.

Сетевая изоляция включается в два щелчка из карточки инцидента. Для этого необходимо нажать на кнопку «Изолировать устройство» и подтвердить действие (при совершении таких операций надо чётко понимать, что в этом случае легитимный пользователь не сможет работать с сетевыми устройствами и службами, что при ложном срабатывании может вызвать негативную реакцию с его стороны, так что необходимо принимать решение об изоляции обдуманно). При этом в политике могут быть заданы исключения сетевой изоляции (есть ряд предварительно настроенных), которые позволяют оставить доступ к критически важным сервисам (в том числе сохранить связь между машиной и KSC).

Рисунок 18. Включение сетевой изоляции устройства, управляемого KES + EDR

Кроме возможности изолировать устройства, полезной функцией является удалённое создание правил по запрету запуска исполняемых файлов, офисных документов / PDF, скриптовых файлов или помещение в карантин для дальнейшего анализа в Kaspersky Sandbox, а также ручного анализа и передачи экспертам (рис. 19). Такой подход, несомненно, позволит гибко принимать решения и повысить надёжность и эффективность работы решения KES + EDR.

Рисунок 19. Включение правила, запрещающего исполнение файла на управляемых узлах, в KES + EDR

Ранее была отмечена возможность просматривать в свойствах управляемых устройств локальные задачи, исполняемые на них. Однако если нам понадобится просмотреть список задач в глобальном плане, то для этого лучше подходит раздел в панели инструментов веб-консоли KSC (рис. 20).

Рисунок 20. Список задач на управляемых узлах и других компонентах комплекса KES + EDR в Kaspersky Security Center

Подведём итог изучения комплексного решения от «Лаборатории Касперского», суть которого заключается в обновлённом интегрированном подходе к защите конечных точек, а также эффективном обнаружении и пресечении выявленных вредоносных действий.

Выводы

Основной мишенью киберпреступников по-прежнему остаются рабочие места сотрудников. В то же время развиваются и средства защиты: трендом последних лет в области информационной безопасности стали технологии класса EDR, которые дополняют и нивелируют слабые места классических решений EPP. Они помогают обнаружить атаки, обходящие традиционные средства защиты, и точно на них отреагировать.

«Лаборатория Касперского» предлагает мощную комплексную защиту конечных точек (EPP + EDR) с использованием единого агента, без дополнительных затрат на обслуживание и с минимальным воздействием на производительность рабочих мест.

KES + EDR позволяет получить наглядные данные о событиях из области безопасности, а также значительно улучшает обзор происходящего в инфраструктуре. С помощью этого комплекса можно не только обнаружить угрозу, но и определить её истинные происхождение и масштаб, а также оперативно среагировать на неё, минимизировав бизнес-потери. Базовые инструменты EDR включены в состав «Kaspersky EDR для бизнеса Оптимальный», а он, в свою очередь, полностью входит при этом в комплект поставки «Kaspersky Total Security Plus для бизнеса» (EDR + EPP).

Антивирусы лаборатории Касперского существуют так давно, что вряд ли в России найдется пользователь, который бы не был с ним знаком. Все знают, что Каспер жрёт ресурсы компа, но он надёжнее целого ряда антивирусов, именно поэтому я пользуюсь им много лет. После того, как стало очень трудно находить в сети бесплатные ключи, мы даже стали его покупать

Однако Каспер установлен у меня только на стационарных компах. Однажды я из прихоти попыталась скачать его на планшет - но резко отказалась от этой идеи, когда увидела АДСКИЙ СПИСОК РАЗРЕШЕНИЙ, которые ему требуются. Если Вы устанавливали Каспера только на стационарный компьютер, Вы и не догадывались, сколько он всего хочет, а тут всё как на ладони - прямо праздник какой-то!

Доступ к смс, звонкам, файлам, микрофону и камере, списку контактов - и прочая, и прочая.

Несколько месяцев назад он просил этого прямым текстом. Теперь пошёл другим путём, возможно, из-за запрета на использование Каспера в госорганах США.

Если вы попробуете скачать Каспера на Гугл Маркете сейчас, вы увидите, что разработчики попытались смягчить свою горькую шпионскую пилюлю: вместо прежнего чёткого перечня разрешений теперь всплывает модно оформленная веб-дизайнерами фраза:

"Разрешите доступ к телефону и файлам, чтобы приложение могло работать на устройстве и проверять его на наличие вредоносных приложений".

Если вы кликнете "далее", программа запросит доступ к фото, мультимедиа, файлам, право на осуществление телефонных звонков и управление ими. Что само по себе не ново и не удивляет, но другие антивирусы как-то без этих прав живут и неплохо справляются. Теперь в Каспере нет ни слова о доступе к камере вашего мобильного устройства! Что совсем не означает, что он этот доступ не получит, если вы разрешите ему всё вышеперечисленное.

Я отрицательно отношусь к сбору персональных данных внутри страны. Гугл пусть собирает что хочет - он никак не сможет мне навредить. Другое дело - наши родные программисты. Данные можно купить, продать, потерять.

Лаборатория Касперского тесно аффилирована с силовыми ведомствами - это секрет Полишинеля, но может кто не в курсе. По другому в нашей стране просто невозможно работать. Мне пофигу, с меня кроме не очень хороших анализов взять нечего. Я пользуюсь Каспером. Но рекомендовать всем этот (бесспорно, очень эффективный) антивирус с кучей полезных дополнительных сервисов я не стану.

За тотальный сбор данных - только 4 звезды.

P.S. Совсем забыла о весёлой фишке: Каспер не рекомендует россиянам заходить на сайты, где можно что-то "слишком дёшево" купить. Он прям трубить начинает: тревога! опасно! Считаю, это нечестный, грязный приём против своих сограждан.

Например, специальное разрешение мне требуется для того, чтобы зайти на АлиЭкспресс. Прям барьер ставится между мною и ботинками за 700 рублей! Низзя там покупать!

То же самое Каспер проделывает с сайтом предложений для дешёвого отдыха [ссылка]. Очень рекомендую подписаться на их рассылку, имеете шанс поймать спецпредложение.

А так-то антивирус хороший, да

Читайте также:

  
• Не удалось загрузить файл или сборку icsharpcode
  
• Сколько вкладок можно открыть в google chrome на телефоне
  
• В чем назначение интерфейса photoshop
  
• Когда починят мой планшет
  
• Dragon age inquisition как взломать artmoney