Já se foi o tempo em que era necessário atrair recursos sérios e especialistas competentes para realizar um ataque de hacker complexo. Hoje em dia, o malware avançado pode ser comprado sem muito esforço na darknet ou até mesmo alugado por um tempo usando o modelo MaaS (Malware-as-a-service).
Os criadores de tais serviços não apenas oferecem a seus clientes um console de gerenciamento de ferramentas conveniente para intrusão não autorizada na infraestrutura de TI de outra pessoa, mas também estão sempre prontos para fornecer suporte técnico se o usuário do serviço ficar "confuso com os pedais". Essa prática reduziu ao mínimo o limite para ataques direcionados complexos, com os invasores geralmente direcionando aqueles que têm algo para tomar. E isso, é claro, é principalmente uma empresa.
Soluções de classe EDR
A enxurrada de ataques direcionados levou ao surgimento de um tipo especial de ferramenta de segurança da informação chamada EDR (Endpoint Detection and Response). A atividade de EDR visa proteger os nós finais da rede corporativa, que na maioria das vezes se tornam a porta de entrada do ataque. As principais tarefas do EDR são detectar sinais de intrusão, gerar uma resposta automática a um ataque, fornecer aos especialistas a capacidade de determinar rapidamente a escala da ameaça e sua origem e coletar dados para investigação subsequente do incidente.
A funcionalidade do EDR é baseada na capacidade desse tipo de software de conduzir análises detalhadas de eventos e pesquisa proativa de ameaças, automatizar tarefas diárias repetitivas de proteção e conduzir uma coleta centralizada de dados de monitoramento de integridade de dispositivos terminais. Tudo isso contribui para aumentar a produtividade dos especialistas em segurança da informação que atuam, por exemplo, no SOC (Centro de operações de segurança) de uma grande empresa.
Kaspersky Endpoint Detection and Response
Vários anos atrás, a Kaspersky Lab entrou no mercado de EDR com sua própria solução Kaspersky Endpoint Detection and Response (KEDR) , que conquistou uma boa reputação aos olhos dos especialistas do setor. As empresas que estão seriamente preocupadas com a segurança das informações geralmente usam o KEDR como parte de uma solução abrangente que inclui o próprio KEDR, a plataforma Kaspersky Anti Targeted Attack (KATA) e o serviço Managed Detection and Response (MDR).
Essa combinação permite que os profissionais de segurança cibernética se oponham com eficácia aos tipos mais avançados de ataques modernos. Como regra, essas soluções são utilizadas por organizações de nível corporativo com seu próprio SOC ou pelo menos um pequeno departamento de segurança separado. O custo das licenças necessárias para software e serviços é bastante alto, mas se estamos falando, por exemplo, de um banco de escala nacional, então os riscos potenciais são muitas vezes maiores do que os custos de fornecer segurança da informação.
EDR ideal para médias empresas
Freqüentemente, as empresas de médio porte não podem manter seu próprio SOC ou empregar vários especialistas especializados. Dito isso, eles também estão interessados nas possibilidades oferecidas pelas soluções EDR. Especialmente para esses clientes, a Kaspersky Lab acaba de lançar o produto Kaspersky EDR for Business OPTIMAL .
Em apenas seis meses, este produto ganhou popularidade merecida. Faz parte do chamado. Um “Optimal IT Security Framework” desenvolvido por um fornecedor especificamente para clientes que não podem pagar um software caro e especializado para combater ataques cibernéticos sofisticados.
Além do já mencionado "Kaspersky EDR for Business OPTIMAL", que inclui tecnologias da classe EPP (Endpoint Protection Platform) e tecnologias EDR básicas, a estrutura também inclui a ferramenta Kaspersky Sandbox e o serviço Kaspersky MDR Optimum.
Vamos listar os principais recursos do " Kaspersky EDR for Business OPTIMAL ". Sua principal função é monitorar dispositivos finais, detectar ameaças emergentes e coletar informações sobre elas.
Para cada incidente detectado, um gráfico de desenvolvimento de ataque é compilado, complementado com informações sobre o dispositivo e a atividade de seu sistema operacional. O produto pode usar indicadores de comprometimento (IoC) identificados durante a investigação ou baixados de fontes externas para encontrar ameaças ou rastros de ataques anteriores.
A reação dos mecanismos de defesa a uma ameaça detectada pode ser configurada com base na natureza do ataque: isolamento de hosts de rede, quarentena ou exclusão de objetos infectados no sistema de arquivos, bloqueio ou proibição do lançamento de certos processos no sistema operacional, etc. .
A funcionalidade do produto pode ser significativamente expandida graças aos meios de integração com outros produtos da Kaspersky Lab - o serviço de nuvem Kaspersky Security Network, o sistema de informações do Portal de Inteligência de Ameaças da Kaspersky e o banco de dados de Ameaças da Kaspersky. Essas tecnologias e serviços estão incluídos no preço da licença (KSN) ou são fornecidos gratuitamente (OpenTIP, Kaspersky Threats).
Arquitetura e implantação
A implantação do Kaspersky EDR for Business OPTIMAL em uma rede corporativa não requer grandes recursos de computação. Todos os dispositivos de endpoint devem ter o Kaspersky Endpoint Security instalado com o Endpoint Agent habilitado, compatível com qualquer sistema operacional Windows a partir do Windows 7 SP1 / Windows Server 2008 R2 e ocupando no máximo 2 GB de espaço em disco. Para sua operação completa, um processador single-core com uma velocidade de clock de 1,4 GHz e 1 GB (x86), 2 GB (x64) de RAM é suficiente.
Os requisitos de sistema para o computador do qual a solução será controlada são um pouco maiores. Estamos falando de um servidor local do Kaspersky Security Center equipado com um console de administração, mas você também pode usar o serviço de nuvem do Kaspersky Security Center Cloud Console. Em ambos os casos, o controle do produto é acessado por meio de um navegador da web. O servidor local do Kaspersky Security Center requer acesso ao Microsoft SQL Server ou MySQL DBMS.
A implantação do Kaspersky Security Center é realizada usando o assistente de instalação e não leva muito tempo. Durante a instalação, uma pasta é criada para armazenar os pacotes de instalação e atualizações e o servidor de administração é configurado.
A instalação do Kaspersky Endpoint Security com o componente Endpoint Agent habilitado é realizada centralmente usando o Assistente de implantação de proteção. Durante o processo de instalação, o administrador é solicitado a definir uma lista de hosts protegidos, baixar arquivos de instalação, configurar uma política para notificações sobre eventos de segurança, etc. Depois disso, de fato, a implantação começará de acordo com as opções selecionadas.
Uma forma alternativa de distribuir o Kaspersky Endpoint Security com o componente Endpoint Agent habilitado na rede pode ser usando as políticas de grupo do Windows.
Com o lançamento do " Kaspersky EDR for Business OPTIMAL»As empresas puderam utilizar ferramentas modernas de detecção e resposta a ameaças sem a necessidade de investir em seu próprio serviço de segurança da informação.
A solução pode muito bem ser atendida pelos administradores de sistema do cliente, para cujas qualificações a Kaspersky Lab preparou treinamentos apropriados .