Kaspersky managed detection and response что это

Обновлено: 07.07.2024

Все мы знаем истории, когда вирусы парализовывали работу огромных компаний. Итог - большие финансовые потери, урон репутации. «Лаборатория Касперского» разработала свой многоступенчатый подход к организации защиты с помощью широкой линейки своих продуктов. Далее я более подробно расскажу об этом подходе и покажу пример установки и настройки одного из базовых продуктов кибербезопасности - Kaspersky EDR Optimum.

Комплексный подход к безопасности

Информационной безопасности сейчас необходимо уделять максимум внимания, с этим нельзя не согласиться. Число атак на бизнес постоянно растет. Когда я начинал свою деятельность в системном администрировании, наиболее страшные вирусы просто выводили из строя операционные системы. Это создавало проблемы, но не критичные. Как правило, систему можно было оперативно восстановить. В других атаках злоумышленники воровали пароли и рассылали зловредные письма, используя украденные учетные данные от почтовых серверов.

Я сам лично наблюдал последствия атак шифровальщиков. У меня цикл статей на сайте есть по этой теме, вынесенный в отдельный раздел. Когда тебя зашифровали, поздно что-то делать. Так что на первое место выходит предотвращение атак всеми доступными способами. И это не просто установка антивируса на рабочие станции. Сейчас приходится более детально разбираться в этом вопросе и использовать комплекс защитных мер.

Для удобного подбора комплексной защиты «Лаборатория Касперского» сгруппировала все свои продукты кибербезопасности в 3 уровня для того, чтобы вы смогли подобрать себе линейку продуктов под свои задачи и ресурсы.

3 уровня защиты от «Лаборатории Касперского»

Как я уже сказал, «Лаборатория Касперского» представила ступенчатый подход к кибербезопасности. В его рамках все корпоративные продукты, технологии и сервисы разделены на три уровня. Необходимый конкретной компании уровень защиты зависит от размера организации и степени зрелости её службы информационной безопасности.


  1. Kaspersky Security Foundations. Этот уровень обеспечивает базовую защиту от широкого спектра угроз для компаний любого размера. Продукты из этого уровня могут быть установлены и настроены, даже если у вас нет IT отдела и постоянных сотрудников в нём. . Продукты этого уровня дают расширенные инструменты противодействия угрозам. Вы можете не только защищаться от атак, но и проводить расследование инцидентов. А также использовать накопленную информацию об атаках на вашу инфраструктуру для их предотвращения, даже если это совершенно новый вирус. Данный уровень приложений будет актуален для компаний, где есть IT отдел, в том числе люди, которые занимаются именно безопасностью.
  2. Kaspersky Expert Security. Самый продвинутый уровень защиты для организации экосистемы средств обеспечения безопасности. Данный уровень ориентирован на корпорации и крупные промышленные предприятия, где есть отдел IT-безопасности.

Далее я рассмотрю продукты уровня Kaspersky Optimum Security и покажу на конкретном примере, как их устанавливать и использовать.

Kaspersky Optimum Security


Данный уровень защиты состоит из следующих компонентов:

    . Это расширение функционала Kaspersky Endpoint Security, который устанавливается в качестве антивируса на рабочие станции. С его помощью можно будет не только предотвращать угрозы, но и расследовать инциденты, анализировать первопричины заражений, автоматически формировать защиту на основе уже полученных данных, строить отчеты и многое другое. Ниже я буду устанавливать и настраивать этот продукт. . Сервис с круглосуточной автоматической защитой на основе моделей машинного обучения и аналитических данных об угрозах и расследований атак, подготовленных специалистами компании Kaspersky. На основе событий безопасности в вашей системе могут быть запущены те или иные сценарии противодействия угрозам. То есть это система, которая автоматически реагирует на инциденты без вашего участия. . Готовый продукт для организации песочницы, который интегрируется в существующую инфраструктуру защиты для дополнительных возможностей проверки и ограничения работы подозрительных приложений. . Портал с базой данных опасных приложений, сайтов, IP-адресов, всего того, что связано с угрозами. Платформа позволяет проверять подозрительные файлы, хеши файлов, IP-адреса или веб-адреса на наличие связанных с ними киберугроз для дальнейшего своевременного реагирования на них. . Онлайн-платформа, с помощью которой можно повышать осведомленность сотрудников любых отделов, даже ИТ-персонала, в вопросах информационной безопасности. Включает в себя интерактивные уроки, тесты, повторение пройденного, в том числе закрепление знаний на примере симулированных фишинговых атак.

Далее я покажу, как установить и настроить базу для построения защиты уровня Optimum Security с помощью Kaspersky EDR для бизнеса Оптимальный.

Установка Kaspersky EDR для бизнеса Оптимальный

Kaspersky EDR Оптимальный устанавливается поверх существующей инфраструктуры Kaspersky на базе Kaspersky Security Center + Kaspersky Endpoint Security. Сначала нужно установить сервер администрирования Kaspersky SC (KSC), затем на рабочие станции развернуть антивирус Kaspersky ES (KES).


В процессе установки сервера управления, вам будет предложено установить одну из бесплатных баз данных mssql express или mysql. Если у вас уже есть один из этих серверов, можно воспользоваться им.

В целом, в установке Kaspersky Security Center нет каких-то сложностей, так что я не буду на этом останавливаться. У продукта хорошая документация на русском языке, так что можно без проблем разобраться. Но я все установил и без инструкции. После установки заходить в консоль управления можно под учетной записью администратора компьютера, под которым выполнялась установка.

Дальнейшая логика установки EDR следующая. Если вы ранее работали с Security Center, то особых проблем у вас не возникнет. Я несколько лет управлял системой безопасности на базе Kaspersky, причем не в одной организации. Хотя это было несколько лет назад, логика работы продукта осталась примерно такой же, только интерфейс поменялся. Так что я быстро во всём разобрался.

Сначала вам надо загрузить установочные пакеты для дистрибутива клиентского антивируса - Kaspersky Endpoint Security. Делается это в разделе Обнаружение устройств и развертывание -> Развертывание и назначение -> Инсталляционные пакеты.


Затем в разделе Параметры консоли -> Веб-плагины установить два плагина - для Kaspersky Endpoint Agent и Kaspersky Endpoint Security.


Далее идём в Устройства -> Политики и профили и создаем политику для Kaspersky Endpoint Agent. В разделе Параметры программы -> Интерфейс и управление обязательно выбрать Endpoint Detection and Response Optimum.


В завершении развертывания необходимо создать три задачи:

  1. Перед развертыванием KES необходимо добавить компонент Endpoint Agent (или Endpoint Sensor) в свойствах установочного пакета KES в KSC.
  2. Задача для удаленной установки дистрибутива KES.
  3. Задача по распространению лицензионного ключа с лицензией на Kaspersky Endpoint Detection and Response Optimum.

Продукт активно развивается, так что какие-то пункты из данной инструкции могут поменяться. Но общая логика установки, думаю, такой же и останется. Теперь можно переходить к тестированию возможностей KES с лицензией EDR Optimum.

Имитация заражения и противодействие с помощью EDR

Давайте посмотрим, как на практике реализуется защита с помощью установленных ранее компонентов. Для теста я запустил на защищенной рабочей станции образец вируса. Локальный антивирус заблокировал его работу. Перемещаемся в KSC и смотрим информацию об инциденте.

Идём в раздел Мониторинг и отчёты -> Отчёты, открываем Отчёт об угрозах. Переходим на вкладку Подробнее.


Мы видим общую информацию о событии. Далее мы можем посмотреть подробности инцидента в отдельной карточке. Перемещаемся туда.


Здесь наглядно со всеми подробностями представлена информация, связанная с событием. Я скачал вирус в запароленном архиве через браузер. Распаковал его и запустил. Сверху показана цепочка процессов, связанных с запуском вируса. Сначала это был системный процесс svchost.exe, потом скачанная программа sw_test.exe и в конце сам запущенный вирус yhtbz.exe.

Через карточку инцидента вы можете изолировать устройство от сети, чтобы далее спокойно разобраться в произошедшем событии, не опасаясь, что прямо сейчас будет распространяться заражение.

Вы наглядно можете проследить за всеми действиями вируса. Для этого нужно выбирать соответствующие разделы под информацией о вирусе и смотреть внесенные им изменения.


  • какие файлы создавал вирус;
  • откуда и кем он был запущен;
  • к каким ip-адресам он обращался;
  • что изменил в реестре.

Наглядно всё это можно посмотреть в отдельной вкладке - Все события инцидента.


На основе данных из карточки вы сможете сразу же проверить файл по его хэшу на Kaspersky Threat Intelligence Portal и получить подробную аналитику. Также с помощью информации о файле вируса можно создать задачу по поиску этого файла на других машинах и настроить какое-то действие, если этот файл будет найден. Например, изолировать хост от сети или удалить файл и поместить на карантин.

Смотрите, какая получается картина. Вы видите не только конечный файл с вирусом, который был запущен в директории temp, но и источник заражения - исходный файл, который антивирусом не детектился, так как не проявлял никаких явно вредоносных активностей, но именно он являлся источником заражения. На основе функционала, представленного Kaspersky EDR Оптимальный, вы видите полную картину происходящего. С помощью информации в карточке инцидента у вас есть возможность сразу же изолировать заражённый хост, посмотреть аналитику по исходному файлу, запускающему вирус. Затем заблокировать на всех компьютерах запуск исходного файла по представленному хэшу, определить ip адреса, к которым обращается вирус и заблокировать их на шлюзе.

Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.

Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.

Более наглядно посмотреть все возможности Kaspersky EDR Optimum вы можете в видео:

Функционал очень крутой. Я лично ничего подобного ранее не видел. Расследования после вирусных атак приходилось проводить вручную, выискивая следы в системе и используя поисковики, чтобы находить подробности.

Заключение

Я рассказал, как организован подход «Лаборатории Касперского» к обеспечению комплексной защиты, а также наглядно показал, как он реализуется на практике на примере использования Kaspersky EDR для бизнеса Оптимальный. В целом мне нравятся защитные продукты этого бренда. Я постоянно использую их на почтовых серверах Linux в качестве антиспама и антивируса.

В офисах мне приходилось использовать 3 современных антивируса - от «Лаборатории Касперского» и других известных антивирусных производителей. Лично мне бренд Kaspersky и его Security Center нравится больше всего. Но нужно учитывать, что он в сумме и стоит немного дороже. Хотя линейки продуктов, как и функционал, у всех разные, и в лоб не всегда получится адекватно сравнить цены. Тут уже каждый сам выбирает, на чем остановиться исходя из задач и бюджета.


Давно прошли те времена, когда для проведения сложной хакерской атаки необходимо было привлекать серьезные ресурсы и компетентных специалистов. Сейчас продвинутое вредоносное ПО можно без особых усилий приобрести в даркнете, а то и вообще арендовать на время по модели MaaS (Malware-as-a-service).

Создатели таких сервисов не только предлагают своим клиентам удобную консоль управления инструментами для несанкционированного вторжения в чужую ИТ-инфраструктуру, но и всегда готовы оказать техническую поддержку, если пользователь сервиса «путается в педалях». Эта практика сделала порог применения сложных целевых атак минимальным, причем целью нападающих, как правило, становятся те, с кого есть что взять. И это, конечно, в первую очередь компании.

Решения класса EDR

Шквал целевых атак привел к появлению особого типа инструментов обеспечения информационной безопасности, получивших название EDR (Endpoint Detection and Response). Активность EDR направлена на защиту конечных узлов корпоративной сети, которые чаще всего и становятся входными воротами атаки. Главными задачами EDR является обнаружение признаков вторжения, формирование автоматического ответа на атаку, предоставление специалистам возможности оперативно определить масштаб угрозы и ее источник, а также собрать данные для последующего расследования инцидента.

Функциональность EDR основана на способности этого типа ПО проводить подробный анализ событий и проактивный поиск угроз, автоматизировать повторяющиеся повседневные задачи по защите, проводить централизованный сбор данных мониторинга состояния конечных устройств. Все это помогает поднять производительность труда специалистов по ИБ, работающих, например, в SOC (Security operations center) крупной компании.


Kaspersky Endpoint Detection and Response

Несколько лет назад «Лаборатория Касперского» вышла на рынок EDR с собственным решением Kaspersky Endpoint Detection and Response (KEDR), которое успело заработать себе хорошую репутацию в глазах отраслевых экспертов. Компании, серьезно заботящиеся об информационной безопасности, как правило применяют KEDR в составе комплексного решения, в которое входят собственно сам KEDR, платформа Kaspersky Anti Targeted Attack (KATA) и сервис Managed Detection and Response (MDR).

Такая связка позволяет специалистам по кибербезопасности эффективно противостоять самым продвинутым и передовым типам современных атак. Как правило, к подобным решениям прибегают организации уровня Enterprise имеющие собственный SOC или хотя бы отдельный небольшой департамент безопасности. Стоимость необходимых лицензий на ПО и сервисы достаточно высока, но если речь идет, например, о банке национального масштаба, то потенциальные риски многократно превышают расходы на обеспечение ИБ.

Оптимальный EDR для среднего бизнеса

Зачастую компании среднего размера не могут позволить себе содержать собственный SOC или держать в штате несколько профильных специалистов. При этом они, конечно же, также заинтересованы в возможностях, предоставляемых решениями EDR. Специально для таких клиентов «Лаборатория Касперского» совсем недавно выпустила продукт «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ».

Всего за полгода данный продукт снискал заслуженную популярность. Он является частью т.н. «Оптимального фреймворка ИТ-безопасности», разработанного вендором именно для заказчиков, которые не могут позволить себе дорогостоящие специализированные программы для борьбы со сложными кибератаками.

Помимо вышеупомянутого «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ», включающего технологии класса EPP (Endpoint Protection Platform) и базовые технологии EDR, в состав фреймворка входят также инструмент Kaspersky Sandbox и сервис Kaspersky MDR Optimum.

Перечислим ключевые возможности «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ». Основной его функцией является мониторинг конечных устройств, обнаружение возникающих угроз и сбор сведений о них.

Для каждого выявленного инцидента составляется граф развития атаки, дополненный информацией об устройстве и активности его операционной системы. Для поиска угроз или следов прежних атак продукт может использовать индикаторы компрометации (IoC), выявленные в ходе проведенного расследования или загруженные из внешних источников.

Реакция защитных механизмов на выявленную угрозу может быть настроена исходя из характера атаки: изоляция сетевых хостов, карантин или удаление зараженных объектов файловой системы, блокирование или запрет на запуск определенных процессов в операционной системе и пр.

Функциональность продукта может быть существенно расширена, благодаря средствам интеграции с другими продуктами «Лаборатории Касперского» — облачным сервисом Kaspersky Security Network, информационной системой Kaspersky Threat Intelligence Portal и базой данных Kaspersky Threats. Данные технологии и сервисы входят в стоимость лицензии (KSN) или предоставляются бесплатно (OpenTIP, Kaspersky Threats).

Архитектура и развертывание

Для развертывания в корпоративной сети «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» не требуется больших вычислительных ресурсов. На всех конечных устройствах должен быть установлен Kaspersky Endpoint Security с включенным компонентом Endpoint Agent, совместимый с любыми операционными системами Windows, начиная с Windows 7 SP1/Windows Server 2008 R2 и занимающий не более 2 Гбайт дискового пространства. Для его полноценной работы достаточно одноядерного процессора с тактовой частотой 1,4 ГГц и 1 Гбайт (x86), 2 Гбайт (x64) оперативной памяти.

Несколько выше системные требования к компьютеру, с которого будет осуществляться управление решением. Речь идет о локальном сервере Kaspersky Security Center, оснащенном консолью администрирования, но можно воспользоваться и облачным сервисом Kaspersky Security Center Cloud Console. В обоих случаях доступ к управлению продуктом осуществляется через веб-браузер. Для работы локального сервера Kaspersky Security Center потребуется доступ к СУБД Microsoft SQL Server или MySQL.

Развертывание Kaspersky Security Center происходит при помощи мастера инсталляции и не занимает много времени. В процессе установки создается папка для хранения установочных пакетов и обновлений, а также конфигурируется сервер администрирования.

Установка Kaspersky Endpoint Security с включенным компонентом Endpoint Agent выполняется централизованно, при помощи мастера развертывания защиты. В процессе инсталляции администратору предлагается определить перечень защищаемых хостов, скачать установочные файлы, настроить политику уведомлений о событиях безопасности и пр. После этого, собственно, начнется развертывание в соответствии с выбранными опциями.

Альтернативным способом распространения Kaspersky Endpoint Security с включенным компонентом Endpoint Agent по сети может быть использование групповых политик Windows.
С выходом «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» компании получили возможность использовать современные инструменты обнаружения и реагирования на угрозы без необходимости инвестирования в собственную службу ИБ.

Решение вполне может обслуживаться силами системных администраторов заказчика, для повышения квалификации которых «Лаборатория Касперского» подготовила соответствующие тренинги.

Kaspersky Managed Detection and Response представляет собой решение для автоматического обнаружения и анализа инцидентов безопасности в вашей инфраструктуре с помощью телеметрии и передовых технологий машинного обучения. Информация об инциденте передается специалистам "Лаборатории Касперского", которые затем могут либо обработать инцидент самостоятельно, либо дать рекомендации по его устранению.

Kaspersky Managed Detection and Response (MDR) обеспечивает круглосуточную защиту от растущего количества угроз, способных обойти автоматические средства защиты, для организаций, которым сложно найти квалифицированных специалистов или у которых ограничены внутренние ресурсы. В отличие от аналогичных предложений на рынке, решение использует успешный опыт эффективного исследования целевых атак для обеспечения непрерывной защиты даже от самых сложных угроз. Решение помогает повысить устойчивость компании к киберугрозам и освободить сотрудников, чтобы они могли сосредоточиться на других задачах.

Программы EPP, поддерживающие Kaspersky Managed Detection and Response, устанавливаются на устройства вашей инфраструктуры, обрабатывают данные и отправляют с помощью потоков Kaspersky Security Network в Kaspersky Managed Detection and Response. Список обрабатываемых данных приведен в разделе О предоставлении данных.

Программа, входящая в состав системы защиты конечных устройств (Endpoint Protection Platform или EPP). Программы EPP устанавливаются на конечные устройства в ИТ-инфраструктуре организации (например, на мобильные устройства, компьютеры или ноутбуки). Примером программы EPP является Kaspersky Endpoint Security для Windows в составе EPP-решения Kaspersky Endpoint Security для бизнеса.

Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков), включающая различные технологии безопасности. Примером решения Endpoint Protection Platform является Kaspersky Endpoint Security для бизнеса.

Решение Kaspersky Managed Detection and Response может быть интегрировано с другими решениями "Лаборатории Касперского".

Kaspersky Managed Detection and Response позволят выполнять анализ и мониторинг данных, получаемых от Kaspersky Anti-Targeted Attack (KATA) Platform.

Чтобы настроить интеграцию Kaspersky Managed Detection and Response с Kaspersky Anti-Targeted Attack Platform, сначала необходимо получить файл конфигурации MDR. Информация о настройке интеграции приведена в онлайн-справке Kaspersky Anti-Targeted Attack Platform.

Программа Kaspersky Anti-Targeted Attack Platform не является частью Kaspersky Managed Detection and Response. Для использования программы Kaspersky Anti-Targeted Attack Platform ее необходимо приобрести отдельно.

На основании набора из 190 критериев сопоставлены сервисы по обнаружению угроз информационной безопасности, реагированию на них и расследованию киберинцидентов (Managed Detection and Response - MDR), предлагаемые российскими производителями средств защиты. В сравнении участвуют Group-IB Managed Detection and Response Services, Kaspersky Managed Detection and Response и Positive Technologies Expert Security Center. Приведённые данные помогут заказчикам сориентироваться в различиях вендорских услуг MDR и коммерческих SOC, выбрав наиболее подходящий вариант.

  1. 3.1. Общие сведения
  2. 3.2. Тестовый период
  3. 3.3. Личный кабинет (клиентский портал)
  4. 3.4. Основные сервисы вендорского MDR
  5. 3.5. Дополнительные вендорские сервисы
  6. 3.6. Детектирующие технологии (Detect)
  7. 3.7. Технологии реагирования (Response)
  8. 3.8. Технологии расследования (Investigation)
  9. 3.9. Интеграция со сторонними решениями
  10. 3.10. Особенности подключения сервиса вендорского MDR
  11. 3.11. Программы обучения специалистов заказчика
  12. 3.12. Персонал вендорского MDR
  13. 3.13. Гарантии качества (SLA)
  14. 3.14. Система оповещения и отчётность (для детектирования, анализа и реагирования)
  15. 3.15. Режим работы и техническая поддержка
  16. 3.16. Ценовая политика

Введение

В третьей части сравнения сервисов, так или иначе связанных с реагированием на угрозы безопасности и расследованием киберинцидентов в России, мы частично отошли в сторону от SOC. Изучению подверглись крупные вендоры, логичным развитием бизнеса для которых стало предоставление сервиса Managed Detection and Response (обнаружение киберугроз и реагирование на них; далее мы будем использовать аббревиатуру MDR). Отличительной чертой здесь является нативная интеграция с линейкой своих продуктов при необязательности требования подключать сторонние. Такие вендорские сервисы являются реальной альтернативой услугам коммерческих SOC и часто воспринимаются на рынке как конкурентные предложения.

При подготовке материала мы изначально рассчитывали включить в сравнение не только отечественных сервис-провайдеров, но и зарубежных (Cisco, Symantec, Trend Micro). Однако в процессе плотного общения с вендорами оказалось, что иностранцы если и готовы оказывать услуги коммерческого SOC (и тем более — MDR) в России, то крайне ограниченному кругу заказчиков. Это связано с рядом сложностей. Во-первых, для оказания услуг по мониторингу инцидентов нужна лицензия ФСТЭК России на ТЗКИ (деятельность по технической защите информации), оформленная на российское юридическое лицо. Во-вторых, центр мониторинга и реагирования должен располагаться на территории Российской Федерации, а также быть аттестованным и иметь в своём составе сертифицированные средства защиты информации. В итоге предоставление услуг SOC или MDR зарубежными компаниями в России выглядит малореалистичным, особенно если учитывать ещё и сложившуюся геополитическую обстановку.

Большинство вендорских сервисов MDR развивалось на базе собственных технологий и решений, благодаря чему достигается естественная синергия. Централизованная система управления (а иногда — и отдельные продукты) выносится в облако поставщика, а клиенту предоставляется интерфейс для мониторинга ситуации или управления. Как правило, производители в данном случае готовы брать на себя рутину администрирования конкретных средств защиты, предлагая клиенту ориентироваться на контрольные панели (дашборды) или вовсе предоставляя периодические отчёты. Такой подход имеет свои преимущества. Во-первых, вендор наиболее компетентен в применении собственных решений, поэтому готов отвечать за сервисы на их базе. Во-вторых, это позволяет не распылять усилия и не гнаться за интеграцией всего «зоопарка» продуктов ИБ, чтобы удовлетворить потребности клиентов в подключении «очередной сотни» источников событий. В-третьих, наличие у разработчика услуг по обеспечению кибербезопасности на базе собственных решений говорит о его зрелости на рынке. В его портфеле обязательно присутствует хотя бы один сложный комплексный продукт (как правило, решение класса anti-APT). Кроме того, он может себе позволить растить и поддерживать сервисные компетенции, что формирует определённый уровень доверия и к продуктам, и к услугам. Таким образом, основное отличие от SOC здесь состоит в концентрации на глубине и инструментах исследования угрозы, а не на широте работы с большим количеством инцидентов.

Чтобы сфокусировать внимание читателей на сервисах и их содержании, мы предлагаем в данном случае не относить компании-производители исключительно к одной категории: SOC, MSSP, CERT, CSIRT и прочим. С учётом этой оговорки будем использовать выражение «услуги MDR от производителей средств защиты» (или сокращение «вендорский MDR») как наиболее подходящее по смыслу.

Ключевые отличия сервисов Managed Detection and Response:

  • как правило, обязательное применение собственных продуктов;
  • активное использование проактивного обнаружения угроз (Threat Hunting);
  • собственная киберразведка (Threat Intelligence, пополняемая база знаний об угрозах);
  • активное реагирование на инциденты безопасности (как правило, с помощью собственных решений);
  • использование специфических типов событий для детектирования атак;
  • требование анализа телеметрии с сети и конечной точки;
  • глубокие и редкие знания специалистов (часто — разработчиков) в весьма нишевых областях.

Методология сравнения сервисов Managed Detection and Response

При разработке методологии сравнения мы исходили из реальной практики оказания услуг вендорского MDR отечественными поставщиками. Относительно предыдущих сравнений услуг коммерческих SOC (часть 1 и часть 2) набор критериев был существенно переработан. Это позволило учесть специфику и сфокусироваться на отличительных особенностях вендорских сервисов. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развёрнутые ответы по каждому из них, так как сравниваемые сервисы могут серьёзно различаться даже на этом уровне. Следуя данному принципу, мы сформировали набор из 190 критериев, сравнение по которому упростит выбор поставщиков. К некоторым из критериев были добавлены пояснения.

Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Общие сведения
  2. Тестовый период
  3. Личный кабинет (клиентский портал)
  4. Основные сервисы
  5. Дополнительные сервисы
  6. Детектирующие технологии
  7. Технологии реагирования
  8. Технологии расследования
  9. Интеграция со сторонними решениями
  10. Особенности подключения
  11. Программы обучения специалистов заказчика
  12. Персонал
  13. Гарантии качества (SLA)
  14. Система оповещения и отчётности
  15. Режим работы и техническая поддержка
  16. Ценовая политика

Для участия в сравнении мы отобрали три наиболее известных в России сервиса MDR, предоставляемых российскими разработчиками средств защиты:

  • Group-IB Managed Detection and Response Services;
  • Kaspersky Managed Detection and Response;
  • Positive Technologies Expert Security Center.

Опасения относительно зарубежных вендоров были отражены во введении. Некоторые из иностранных провайдеров, увы, сразу же отказались от участия в сравнении, другие — высказали свои сомнения по поводу его целесообразности.

Все перечисленные выше поставщики активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведённом сравнении мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.

Сравнение сервисов Managed Detection and Response

Общие сведения

Тестовый период

Личный кабинет (клиентский портал)

Основные сервисы вендорского MDR

Дополнительные вендорские сервисы

Детектирующие технологии (Detect)

Технологии реагирования (Response)

Технологии расследования (Investigation)

Интеграция со сторонними решениями

Особенности подключения сервиса вендорского MDR

Программы обучения специалистов заказчика

Персонал вендорского MDR

Гарантии качества (SLA)

Система оповещения и отчётность (для детектирования, анализа и реагирования)

Режим работы и техническая поддержка

Ценовая политика

Выводы

Услуги мониторинга, реагирования на угрозы и расследования киберинцидентов в России набирают популярность. Этот факт подтверждается ростом количества клиентов не только коммерческих сервисов SOC, но и услуг Managed Detection and Response от производителей средств защиты, что порождает всё больше публичных историй успеха, в том числе — и с зарубежными заказчиками. Кроме того, заявленное время подключения услуги у всех поставщиков составляет считаные дни (у SOC, как правило, соответствующая операция осуществляется в течение месяца), что является не только поводом для гордости, но и индикатором серьёзного уровня зрелости отечественных вендоров. Однако далеко не все из них готовы предоставлять тестовый период или приглашать на клиентский визит. В отличие от SOC, где личный кабинет и определённая самостоятельность клиента являются ключевыми «фишками», не все вендорские MDR имеют общую консоль сервиса, отдавая управление конкретным средствам защиты.

Одно из самых «вкусных» преимуществ сервисов MDR от производителей средств защиты кроется в наборе сервисов. Всесторонний мониторинг киберпространства, максимальное количество знаний об угрозах и вредоносных объектах, техниках и тактиках атакующих, хакерских группировках — всё это имеется в различных вариациях в арсенале каждого участника сравнения. Полезным является также предоставление клиенту кратких и подробных отчётов, в том числе — бизнес-сводок для высшего руководства. Накопленные вендорами компетенции позволяют помимо классических пентестов и аудитов предлагать также нетривиальные услуги, такие как анализ надёжности кода приложений, аудит безопасности аппаратных решений, проверка защищённости банкоматов и POS-терминалов, промышленных технологий (АСУ ТП) и телеком-систем, защита блокчейн-проектов и ICO. Отдельные поставщики помогают и с задачами смежного профиля, вроде юридического сопровождения расследований, защиты бренда или управления уязвимостями у клиента. Кроме того, уникальными могут оказаться специализированные обучающие курсы по редким и важным темам: цифровая криминалистика, анализ вредоносных программ и обратная разработка (Reverse Engineering), реагирование на инциденты, написание комплексных правил, анализ инцидентов, проактивный поиск угроз (Threat Hunting), аналитика SOC и другие. Все представленные вендоры имеют собственные тренировочные центры.

В силу специфики того или иного поставщика в его портфеле могут отсутствовать некоторые классы решений, такие как EPP, UEBA, WAF, FW, IDS. Однако собственных технологий вендорского MDR, как правило, хватает для качественного детектирования угроз и реагирования на атаки, а «родная» интеграция позволяет максимально эффективно выполнять поставленные клиентом задачи. Отдельно стоит упомянуть SIEM-системы, которые в ряде случаев не представлены самостоятельными продуктами, но всё равно так или иначе являются неотъемлемой частью всех услуг вендорского MDR, пусть и в качестве собственных внутренних разработок. Технологии расследования инцидентов широко и качественно представлены всеми поставщиками. Они позволяют клиенту собрать все необходимые факты и наглядно представить их в отчётах согласно лучшим методикам, фреймворкам и практикам, в том числе — с визуализацией. Ожидаемо, что интеграция со сторонними решениями со стороны вендоров не является всеобъемлющей. При этом почти все готовы предоставлять собственные API, а также взаимодействовать с другими продуктами в рамках общепринятых стандартов (STIX, TAXII, OpenIOC, YARA, Sigma и т.п.).

Подключение сервиса MDR и развёртывание необходимых для него продуктов на площадке заказчика все вендоры осуществляют оперативно, способны за считаные дни индивидуализировать сценарии работы и правила корреляции, а также согласны хранить все важные клиентские данные локально, без передачи в облако. Отметим, впрочем, что не все участники сравнения готовы в принципе предоставлять такой сервис при полной изолированности площадки заказчика от внешних сетей.

Анализ особенностей персонала и технической поддержки MDR не выявил особенных отличий в сравнении с поставщиками SOC: такой же активный прогресс и наращивание компетенций — кроме, пожалуй, одного факта. Реализация довольно интересной и широко обсуждаемой сегодня концепции «центр мониторинга и реагирования без первой линии» (полностью заменяется применением автоматизации, технологиями машинного обучения) встретилась лишь у одного вендора.

Как и в случае с SOC, поставщики услуг MDR крайне неохотно раскрывают собственную ценовую политику и особенности лицензирования. Отдельная благодарность от редакции звучит в адрес «Лаборатории Касперского» за то, что коллеги согласились хотя бы подробно описать особенности формирования стоимости услуги (увы, без конкретных цен) и назвать тарифные планы. Бюджет, необходимый для выделения, клиенты смогут оценить исключительно по запросу.

«Лаборатория Касперского» представила сразу два новых продукта для обеспечения безопасности крупных компаний. Они были презентованы 22 мая 2020 г. на конференции Kaspersky ON AIR «Управляя эволюцией». На вопросы участников ответил основатель компании Евгений Касперский.

По мнению Gartner, наиболее прогрессивной является модель SOC, построенная по аналогии с вооруженными силами ядерной державы, которые защищают ее на земле, в воздухе и на воде. Применительно к SOC, «ядерная триада» состоит из трех компонентов: SIEM для мониторинга логов, NTA для мониторинга сетевого трафика и EDR для мониторинга хостов.

К сожалению, сегодня большинство организаций используют только SIEM-системы, самые продвинутые внедряют NTA, а EDR только набирает популярность. Между тем, согласно отчетам аналитиков, рабочие места пользователей все чаще становятся целью атак киберпреступников. Именно через них злоумышленники получают доступ в ИТ-инфраструктуру организаций. А значит, EDR превращается не просто в желательный, но в необходимый компонент SOC.

Почему EDR

EDR позволяет контролировать не просто активности в сети, но и состояние устройств конечных пользователей. В EDR, как правило, входят различные инструменты обнаружения угроз: антивирус, средства поведенческого анализа, песочница, поиск индикаторов компрометации IoC, работа с индикаторами атак IoA, сопоставление с техниками MITRE ATT&CK, взаимодействие с Threat Intelligence и глобальной базой ИБ-угроз, ретроспективный анализ, проактивный поиск угроз Threat Hunting и т.д. Их можно запускать в ручном, полуавтоматическом и автоматическом режиме. А значит, появляется реальная возможность быстро обнаруживать сложные угрозы и оперативно реагировать на них, минимизируя ущерб для бизнеса.

kasp1000.jpg

Кроме того, полученные с помощью EDR данные вместе с другой информацией передаются в SIEM-систему, что дает возможность вывести уровень расследований в SOC на совершенно новый качественный уровень. С другой стороны, интеграция EDR с SIEM-системой существенно снижает число ложных срабатываний, что обеспечивает комфорт работы пользователей при одновременном соблюдении самых строгих мер ИБ.

Особенности Kaspersky Endpoint Detection and Response (KEDR)

«Лаборатория Касперского» одной из первых вывела на рынок EDR-решение Kaspersky Endpoint Detection and Response (KEDR). В его состав входит единый агент для надежной защиты и контроля рабочих мест, что позволяет избежать дополнительной нагрузки и снижения производительности рабочих мест, упростить процесс контроля и обеспечить полноценную защиту рабочих станций и серверов организации от сложных угроз.

Сбор, запись и централизованное хранение информации о событиях безопасности на всех рабочих местах позволяет обеспечить оперативный доступ к ретроспективным данным при расследовании продолжительных атак, даже в условиях недоступности рабочих мест или компрометации необходимых данных. Компании также могут оказывать содействие службе реагирования и регулирующим органам, предоставляя им необходимую информацию об обнаруженных угрозах.

Наглядное представление информации об инфраструктуре рабочих мест в централизованной веб-консоли позволяет сотрудникам служб ИБ оперативно реагировать на инциденты, минимизирует количество ручных задач и сокращает общие трудозатраты на мероприятия по реагированию с часов до минут.

В 2018 г. «Лаборатория Касперского» вошла в число «Сильных исполнителей» The Forrester New Wave: External Threat Intelligence Services, Q3 2018. В 2019 г. благодаря продуктам Kaspersky Anti Targeted Attack (KATA) и Kaspersky Endpoint Detection and Response (KEDR) компания признана «Лучшим игроком» в Quadrant Market Advanced Persistent Threat (APT) 2019, опубликованном Radicati Group . В 2020 г. Kaspersky Endpoint Detection and Response (KEDR) был удостоен премии Gartner Customer Choice 2020 как решение, получившее самые высокие баллы от пользователей (4,8 из 5 возможных).

Новые возможности

Сегодня «Лаборатория Касперского» разработала новую версию EDR. В отличие от своей предшественницы, ориентированной в основном на крупные компании, Kaspersky Endpoint Detection and Response Optimum более доступна по цене. А значит, ей могут пользоваться средние и малые предприятия. Кроме того, Kaspersky Endpoint Detection and Response Optimum — инструмент с централизованными автоматическими функциями для защиты от сложных и целевых кибератак, что также актуально для компаний, у которых нет возможности иметь штат специалистов, которые будут вручную контролировать инциденты.

Решение основано на классическом подходе EDR. Оно использует различные методы, призванные отслеживать любой маркер атаки, в том числе атаки без использования вредоносного ПО; латеральное перемещение; подозрительное поведение и прочие признаки.

С Kaspersky Endpoint Detection and Response Optimum в один клик доступны разные способы реагирования на новые угрозы: изоляция и проверка хоста; удаление файла и отправка файлов на карантин; завершение и предотвращение выполнения процесса. При этом решение позволяет обойтись без специальных знаний или большой команды специалистов — оно предоставляет подробные отчеты и помогает снизить нагрузку на ИТ-ресурсы.

Подробнее о новых продуктах «Лаборатории Касперского» можно было узнать на конференции Kaspersky ON AIR «Управляя эволюцией», которая состоялась 22 мая 2020 г. в 11.00. В ходе конференции эксперты «Лаборатории Касперского» рассказали об основных тенденциях в мире киберугроз и главных инцидентах 2019-2020 гг., подробно остановились на списке задач, стоящих перед службами информационной безопасности, и представили новые решения компании Kaspersky Endpoint Detection and Response Optimum и Kaspersky United Monitoring and Analysis Platform (KUMA). Участники конференции смогли задать вопросы Евгению Касперскому.

По итогам конференции «Лаборатория Касперского» опубликовала видеоматериалы для тех, кто не смог присутствовать на онлайн-встрече:

Читайте также: