Kaspersky edr что это
Рабочие места остаются основной мишенью злоумышленников при проведении комплексных кибератак. Чтобы защитить их и не дать злоумышленникам использовать конечные устройства для проникновения в инфраструктуру, необходимо усилить существующую систему безопасности. Полный цикл защиты рабочих мест, от автоматического блокирования угроз до быстрого реагирования на сложные инциденты, предполагает использование превентивных технологий наряду с расширенными возможностями защиты. Kaspersky Endpoint Detection and Response (EDR) обеспечивает полный обзор всех рабочих мест в корпоративной сети и их эффективную защиту. Продукт позволяет автоматизировать повседневные задачи по обнаружению, приоритизации, расследованию и нейтрализации сложных и APT-угроз.
Единый агент позволяет организациям использовать решения Kaspersky EDR и Kaspersky Security для бизнеса одновременно, без дополнительных затрат на обслуживание и поддержку агентов при минимальном воздействии на производительность рабочих мест. В рамках одного агента компании получают передовой контроль рабочих мест, автоматическое предотвращение рядовых угроз, а также эффективное обнаружение, приоритизацию, детальное расследование сложных угроз и централизованное реагирование на комплексные инциденты.
Kaspersky EDR ускоряет сбор первичных улик, предоставляет подробную телеметрию и автоматизирует процессы EDR, сокращая общее время реагирования с нескольких часов до считаных минут. Продукт позволяет обнаруживать продвинутые угрозы на всех рабочих местах. Он формирует полную картину инцидента для расследования и соблюдения нормативных требований. Также Kaspersky EDR предоставляет исторические данные, в том числе при недоступности скомпрометированных рабочих мест или в случаях, когда данные были зашифрованы в ходе атаки.
Мы осознаем важность анализа тактик и техник злоумышленников при расследовании сложных инцидентов. Мы также понимаем, какую значимую роль играет база MITRE ATT&CK на современном рынке кибербезопасности. Kaspersky EDR участвовал в тестировании MITRE APT29 (раунд 2) и продемонстрировал высокую эффективность обнаружения ключевых техник, применяемых на основных этапах современных целевых атак. В том числе, результаты обнаружения нашего продукта сопоставляются с данными из базы знаний MITRE ATT&CK для углубленного анализа поведения злоумышленников.
Защита от шифрования
Kaspersky EDR Оптимальный содержит уникальный механизм – Анти-криптор. Расширение блокирует шифрование общих файловых ресурсов вредоносными процессами, выполняемых на других устройствах в той же сети. Приложение постоянно мониторит состояние общих папок, отлеживая состояние содержавшихся на них файлов. При обнаружении шифрования система блокирует доступ к серверу для компьютера – источника атаки, останавливая процесс шифрования и потерю корпоративных данных.
Самая доступная почта
Купите Kaspersky Security для защиты почты и получите скидку 25%.
Мигрируй
Настоящая программа дает возможность официальным пользователям антивирусного программного обеспечения третьих производителей приобретать программные продукты ЗАО «Лаборатория Касперского» по льготной цене.
Endpoint Detection and Response
52 отзыва
4.9/5.0
100% порекомендовали бы этот продукт
на 12 апреля 2021 г.
Kaspersky EDR для бизнеса Оптимальный увеличивает обзор происходящего в инфраструктуре, поэтому вы можете точно определить масштаб распространения атаки, чтобы устранить её последствия.
Благодаря автоматизированным средствам реагирования на атаки ваша система будет надежно защищена от сложных угроз, а специалисты ИБ не будут перегружены оповещениями.
Инструменты контроля программ, устройств и использования интернета позволяют снизить роль человеческого фактора и повышают устойчивость вашей системы безопасности к интернет-угрозам, фишинговым рассылкам и социальной инженерии.
Управление всеми функциями, в том числе инструментами EDR, осуществляется из единой консоли Kaspersky Security Center c удобной системой отчетов и возможностью распределять зоны ответственности администраторов.
«Лаборатория Касперского» демонстрирует уникальный на сегодня уровень открытости и независимости в отношении своих данных. Доверенные партнеры и правительственные организации могут проверить исходных код наших продуктов в Центрах прозрачности.
Многоуровневая защита рабочих мест и серверов, включающая технологии анализа поведения и адаптивного контроля аномалий, станет надежной преградой даже для новых и неизвестных киберугроз.
Множество технологий защиты конечных точек объединены под одной лицензией и управляются из единой консоли. Благодаря этому не только увеличивается эффективность защиты, но и возрастает скорость возврата инвестиций в защитное решение.
Средства автоматического реагирования на сложные атаки препятствуют распространению в сети угроз, которые способны обходить традиционные решения для защиты рабочих мест.
На протяжении последних лет наши продукты для защиты конечных точек участвовали в независимых тестах и обзорах (и получали первые места) чаще, чем решения других производителей.
Вы можете приобрести лицензию Kaspersky Endpoint Detection and Response с расширенной технической поддержкой (MSA). С ней решение ваших проблем в области IT-безопасности будет для специалистов «Лаборатории Касперского» приоритетной задачей.
Патч-менеджмент и средства централизованной установки программ позволяют снизить нагрузку администраторов и оперативно устанавливать новейшие версии программ и приложений.
Выберите решение, которое подходит именно вам
Сравнение функциональных возможностей комплексных решений «Лаборатории Касперского» для защиты рабочих мест. Набор доступных функций зависит от защищаемой платформы. Посмотреть подробное сравнение.
Функциональные возможности «Kaspersky EDR для бизнеса Оптимальный»
Kaspersky EDR «Оптимальный» объединяет новейшие технологии защиты рабочих мест и гибкие инструменты контроля со средствами эффективного противодействия сложным атакам и повышения прозрачности инфраструктуры.
Отметим следующие аспекты функциональности решения:
- Управление функциями EPP и EDR из единой консоли.
- Автоматизированные средства реагирования на угрозы.
- Возможность проведения анализа первопричин (root-cause analysis).
- Интегрированные шифрование и патч-менеджмент.
- Формирование карточки инцидента: Kaspersky Endpoint Agent составляет подробную карточку с важными данными об инциденте на конечном устройстве. Карточка формируется в веб-консоли сервера администрирования на основе сигнала об обнаружении от совместимой EPP-программы Kaspersky.
- Возможность запустить цепочку ответных действий: создать правило запрета на запуск недоверенного объекта, выполнить поиск похожих инцидентов в группе устройств на основе выбранных индикаторов атаки (IoC), изолировать недоверенный объект, отсечь скомпрометированное конечное устройство от сети.
- Визуализация пути распространения атаки (attack spread path): для каждой заполненной карточки инцидента Kaspersky Endpoint Agent строит интерактивный граф, описывающий этапы развёртывания обнаруженной атаки во времени. Построенный граф содержит информацию о модулях, задействованных в атаке, и действиях, выполненных ими.
- Интеграция с решением Kaspersky Security Center Cloud Console в рамках функций Kaspersky EDR «Оптимальный».
Рисунок 4. Основные функциональные возможности KES + EDR
В целом подобная функциональность может встретиться в решениях классов EPP и EDR по отдельности, но в том и преимущество комплекса от «Лаборатории Касперского»: в легковесности, едином агенте и возможности гибко наращивать необходимую функциональность. Взглянем на его архитектуру.
Оптимальный
Защита Windows, Linux и Mac
Защита Windows, Linux и Mac
Защита Windows, Linux и Mac
Защита Windows, Linux и Mac
Безопасность мобильных устройств
Безопасность мобильных устройств
Безопасность мобильных устройств
Безопасность мобильных устройств
Рекомендации по настройке политик безопасности
Рекомендации по настройке политик безопасности
Рекомендации по настройке политик безопасности
Рекомендации по настройке политик безопасности
Управление функциями EDR
Управление функциями EDR
Управление функциями EDR
Управление функциями EDR
Контроль программ для ПК
Контроль программ для ПК
Контроль программ для ПК
Контроль программ для ПК
Контроль устройств и веб-контроль
Контроль устройств и веб-контроль
Контроль устройств и веб-контроль
Контроль устройств и веб-контроль
Ролевой доступ для администраторов 1
Ролевой доступ для администраторов 1
Ролевой доступ для администраторов 1
Ролевой доступ для администраторов 1
Адаптивный контроль аномалий
Адаптивный контроль аномалий
Адаптивный контроль аномалий
Адаптивный контроль аномалий
Поиск уязвимостей и установка исправлений
Поиск уязвимостей и установка исправлений
Поиск уязвимостей и установка исправлений
Поиск уязвимостей и установка исправлений
Установка операционных систем и ПО
Установка операционных систем и ПО
Установка операционных систем и ПО
Установка операционных систем и ПО
Защита почтовых серверов
Защита почтовых серверов
Защита почтовых серверов
Защита почтовых серверов
Защита от шифровальщиков
Защита от шифровальщиков
Защита от шифровальщиков
Защита от шифровальщиков
Облачная сеть безопасности
Облачная сеть безопасности
Облачная сеть безопасности
Облачная сеть безопасности
Единая консоль управления
Единая консоль управления
Единая консоль управления
Единая консоль управления
Интеграция с SIEM-системами 1
Интеграция с SIEM-системами 1
Интеграция с SIEM-системами 1
Интеграция с SIEM-системами 1
Данный продукт недоступен для покупки онлайн. Для выбора оптимального решения обратитесь к компании-партнеру «Лаборатории Касперского» в вашем регионе.
Данный продукт недоступен для покупки онлайн. Для выбора оптимального решения обратитесь к компании-партнеру «Лаборатории Касперского» в вашем регионе.
1 Базовый контроль доступа на основе ролей и интеграция с SIEM-системами через Syslog доступны начиная с Kaspersky Endpoint Security для бизнеса Стандартный
Многоуровневая защита, гибкий контроль
Kaspersky Endpoint Detection and Response Оптимальный содержит передовых технологии защиты от многочисленных, постоянно меняющихся киберугроз, в том числе от целевых атак и маскирующихся угроз. Гибкие инструменты контроля, автоматическая защита от эксплойтов, система предотвращения вторжений (HIPS) и функции автоматического реагирования на атаки существенно снижают вероятность заражения вредоносным ПО. Решение обнаруживает вредоносное ПО, блокирует его активность и позволяет произвести автоматический откат действий, выполненных вредоносной программой до ее блокировки. Кроме того, вы можете в один клик произвести действие с обнаруженным технологиями EDR вредоносным объектом – например, изолировать хост или поместить файл на карантин.
Интеграция с облачной базой данных
Миллионы пользователей во всем мире добровольно и анонимно предоставляют со своих компьютеров в Kaspersky Security Network (KSN) данные об угрозах. Эта облачная сеть собирает и хранит огромные объемы метаданных о подозрительных файлах. Такие сведения, поступающие в реальном времени, позволяют защищать корпоративную сеть от новейших угроз, в том числе атак нулевого дня.
Выявление подозрительного поведения
В Kaspersky Endpoint Security для бизнеса Стандартный и на стадии, предшествующей исполнению файла, и во время исполнения файла используется поведенческий анализ. Эта функция поддерживается облачной сетью Kaspersky Security Network, в которой хранится огромный объем метаданных о подозрительных файлах.
До запуска файла выявление подозрительного поведения с использованием эмуляции играет критическую роль в определении неизвестных и комплексных угроз. Когда приложение запускается в корпоративной сети, компонент Анализ поведения отслеживает его активность. Заметив подозрительное поведение, компонент автоматически блокирует приложение, а с помощью компонента Откат вредоносных действий может производиться автоматическая отмена всех действий, уже совершенных вредоносным ПО. Это эффективный механизм борьбы с программами-шифровальщиками.
Автоматическая защита от эксплойтов
Не существует приложений или операционных систем, в которых бы полностью отсутствовали уязвимости. Уязвимости могут эксплуатироваться вредоносным ПО для проникновения в корпоративную сеть, заражения рабочих станций и серверов и нарушения бизнес-процессов компании. Инновационная технология автоматической защиты от эксплойтов (AEP) не позволяет вредоносному ПО использовать уязвимости в операционных системах или приложениях, работающих в сети. AEP отслеживает работу приложений, которые чаще всего становятся жертвами вредоносного ПО – Adobe Reader, Internet Explorer, Microsoft Office, Java и многих других, – чтобы обеспечить дополнительный уровень мониторинга безопасности и защиты от неизвестных угроз.
Защита общих папок от шифрования
Приложения Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Security для Linux и Kaspersky Security для Windows Server содержат уникальный механизм Анти-Криптор, который блокирует шифрование общих файловых ресурсов вредоносным процессом, выполняемым на другом компьютере в той же сети. Приложения постоянно наблюдают за защищенными общими папками, отслеживая состояние хранящихся в них файлов. При обнаружении шифрования система блокирует доступ к серверу для компьютера – источника атаки, останавливая процесс шифрования и предотвращая потерю корпоративных данных.
Давно прошли те времена, когда для проведения сложной хакерской атаки необходимо было привлекать серьезные ресурсы и компетентных специалистов. Сейчас продвинутое вредоносное ПО можно без особых усилий приобрести в даркнете, а то и вообще арендовать на время по модели MaaS (Malware-as-a-service).
Создатели таких сервисов не только предлагают своим клиентам удобную консоль управления инструментами для несанкционированного вторжения в чужую ИТ-инфраструктуру, но и всегда готовы оказать техническую поддержку, если пользователь сервиса «путается в педалях». Эта практика сделала порог применения сложных целевых атак минимальным, причем целью нападающих, как правило, становятся те, с кого есть что взять. И это, конечно, в первую очередь компании.
Контроль программ
После запуска приложения на сервере или рабочем месте сотрудника, модуль «Мониторинг системы» отслеживает всю его активность. Заметив подозрительное поведение, модуль автоматически заблокирует доступ к зараженной странице или файлу, а на рабочих станциях произойдет откат действий, выполненных зловредом.
Наука
Настоящая программа дает возможность государственным учреждениям, занимающимся научно-исследовательской деятельностью, приобретать программные продукты ЗАО «Лаборатория Касперского» по льготной цене.
Сетевая изоляция устройства и запрет на исполнение файлов на управляемом устройстве в KES + EDR
Удобной и полезной функцией является возможность изолировать на сетевом уровне подконтрольное устройство (рис. 18). Это важно при обнаружении потенциально вредоносных действий или подозрении на атаку (например, где-либо появилась троянская программа), поскольку за счёт изоляции можно пресечь распространение и переход атаки на другие устройства в корпоративной сети.
Сетевая изоляция включается в два щелчка из карточки инцидента. Для этого необходимо нажать на кнопку «Изолировать устройство» и подтвердить действие (при совершении таких операций надо чётко понимать, что в этом случае легитимный пользователь не сможет работать с сетевыми устройствами и службами, что при ложном срабатывании может вызвать негативную реакцию с его стороны, так что необходимо принимать решение об изоляции обдуманно). При этом в политике могут быть заданы исключения сетевой изоляции (есть ряд предварительно настроенных), которые позволяют оставить доступ к критически важным сервисам (в том числе сохранить связь между машиной и KSC).
Рисунок 18. Включение сетевой изоляции устройства, управляемого KES + EDR
Кроме возможности изолировать устройства, полезной функцией является удалённое создание правил по запрету запуска исполняемых файлов, офисных документов / PDF, скриптовых файлов или помещение в карантин для дальнейшего анализа в Kaspersky Sandbox, а также ручного анализа и передачи экспертам (рис. 19). Такой подход, несомненно, позволит гибко принимать решения и повысить надёжность и эффективность работы решения KES + EDR.
Рисунок 19. Включение правила, запрещающего исполнение файла на управляемых узлах, в KES + EDR
Ранее была отмечена возможность просматривать в свойствах управляемых устройств локальные задачи, исполняемые на них. Однако если нам понадобится просмотреть список задач в глобальном плане, то для этого лучше подходит раздел в панели инструментов веб-консоли KSC (рис. 20).
Рисунок 20. Список задач на управляемых узлах и других компонентах комплекса KES + EDR в Kaspersky Security Center
Подведём итог изучения комплексного решения от «Лаборатории Касперского», суть которого заключается в обновлённом интегрированном подходе к защите конечных точек, а также эффективном обнаружении и пресечении выявленных вредоносных действий.
Системные требования
При развёртывании всегда рекомендуется изучить системные требования и придерживаться их, в противном случае можно столкнуться с рядом сложностей.
Таблица 1. Аппаратные требования для Kaspersky Endpoint Agent
Для работы Kaspersky Endpoint Agent 3.9 в составе решения Kaspersky EDR «Оптимальный» требуется Kaspersky Security Center 12.1 или Kaspersky Security Center Cloud Console. Управление программой осуществляется через облачную или веб-консоль администрирования. Программа Kaspersky Endpoint Agent должна быть установлена в составе Kaspersky Endpoint Security 11 для Windows (версии 11.4 или 11.5) или Kaspersky Security 11 для Windows Server.
Таблица 2. Программные требования для Kaspersky Endpoint Agent
В целом предъявляемые системные требования — такие же, как и у решений Kaspersky Endpoint Security и Kaspersky Security Center, так что при наличии последних не потребуется выделять дополнительные ресурсы.
Brain Ping
«Лаборатория Касперского» начисляет баллы за покупку лицензий антивирусных решений. Накопленные баллы вы сможете обменять на ценные призы.
Архитектура KES + EDR
В основу архитектуры решения положены привычные нам Kaspersky Security Center и Kaspersky Endpoint Security, что даёт гибкие возможности по интеграции в существующую инфраструктуру организации. Если говорить о месте в экосистеме продуктов, то стоит отметить тесную взаимосвязь и взаимозависимость между ними, что обеспечивает перекрёстный охват всех объектов сети.
Рисунок 5. Архитектура KES + EDR
Как видно по схеме выше, Kaspersky Security Center и Kaspersky Endpoint Agent являются обязательными компонентами, а Kaspersky Sandbox — вспомогательным.
Рисунок 6. Другие решения, в которых используется единый агент
Изучив архитектуру, можно сказать, что она позволяет легко и гибко наращивать мощности, подключать новые устройства и управлять ими. Мониторинг всех возникающих инцидентов на конечных точках вкупе с другими элементами инфраструктуры даёт более полную картину и обеспечивает подконтрольность ситуации.
Решения класса EDR
Шквал целевых атак привел к появлению особого типа инструментов обеспечения информационной безопасности, получивших название EDR (Endpoint Detection and Response). Активность EDR направлена на защиту конечных узлов корпоративной сети, которые чаще всего и становятся входными воротами атаки. Главными задачами EDR является обнаружение признаков вторжения, формирование автоматического ответа на атаку, предоставление специалистам возможности оперативно определить масштаб угрозы и ее источник, а также собрать данные для последующего расследования инцидента.
Функциональность EDR основана на способности этого типа ПО проводить подробный анализ событий и проактивный поиск угроз, автоматизировать повторяющиеся повседневные задачи по защите, проводить централизованный сбор данных мониторинга состояния конечных устройств. Все это помогает поднять производительность труда специалистов по ИБ, работающих, например, в SOC (Security operations center) крупной компании.
Интеграция с облачной базой данных
Kaspersky Security Network, с разрешения пользователей, собирает данные об угрозах, атакующих их устройства. Облачная сеть хранит информацию об атаках и способах защиты, которые помогли предотвратить покушение на устройство. Полученные сведения, поступающие в формате реального времени, позволяют защищать корпоративную сеть от новейших гроз, в том числе атак нулевого дня.
Архитектура и развертывание
Для развертывания в корпоративной сети «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» не требуется больших вычислительных ресурсов. На всех конечных устройствах должен быть установлен Kaspersky Endpoint Security с включенным компонентом Endpoint Agent, совместимый с любыми операционными системами Windows, начиная с Windows 7 SP1/Windows Server 2008 R2 и занимающий не более 2 Гбайт дискового пространства. Для его полноценной работы достаточно одноядерного процессора с тактовой частотой 1,4 ГГц и 1 Гбайт (x86), 2 Гбайт (x64) оперативной памяти.
Несколько выше системные требования к компьютеру, с которого будет осуществляться управление решением. Речь идет о локальном сервере Kaspersky Security Center, оснащенном консолью администрирования, но можно воспользоваться и облачным сервисом Kaspersky Security Center Cloud Console. В обоих случаях доступ к управлению продуктом осуществляется через веб-браузер. Для работы локального сервера Kaspersky Security Center потребуется доступ к СУБД Microsoft SQL Server или MySQL.
Развертывание Kaspersky Security Center происходит при помощи мастера инсталляции и не занимает много времени. В процессе установки создается папка для хранения установочных пакетов и обновлений, а также конфигурируется сервер администрирования.
Установка Kaspersky Endpoint Security с включенным компонентом Endpoint Agent выполняется централизованно, при помощи мастера развертывания защиты. В процессе инсталляции администратору предлагается определить перечень защищаемых хостов, скачать установочные файлы, настроить политику уведомлений о событиях безопасности и пр. После этого, собственно, начнется развертывание в соответствии с выбранными опциями.
Альтернативным способом распространения Kaspersky Endpoint Security с включенным компонентом Endpoint Agent по сети может быть использование групповых политик Windows.
С выходом «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» компании получили возможность использовать современные инструменты обнаружения и реагирования на угрозы без необходимости инвестирования в собственную службу ИБ.
Решение вполне может обслуживаться силами системных администраторов заказчика, для повышения квалификации которых «Лаборатория Касперского» подготовила соответствующие тренинги.
С 1 по 31 мая закажите базовую лицензию для бизнеса и получите подарочную карту номиналом 10% от стоимости покупки!
Стандартный
Оптимальный EDR для среднего бизнеса
Зачастую компании среднего размера не могут позволить себе содержать собственный SOC или держать в штате несколько профильных специалистов. При этом они, конечно же, также заинтересованы в возможностях, предоставляемых решениями EDR. Специально для таких клиентов «Лаборатория Касперского» совсем недавно выпустила продукт «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ».
Всего за полгода данный продукт снискал заслуженную популярность. Он является частью т.н. «Оптимального фреймворка ИТ-безопасности», разработанного вендором именно для заказчиков, которые не могут позволить себе дорогостоящие специализированные программы для борьбы со сложными кибератаками.
Помимо вышеупомянутого «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ», включающего технологии класса EPP (Endpoint Protection Platform) и базовые технологии EDR, в состав фреймворка входят также инструмент Kaspersky Sandbox и сервис Kaspersky MDR Optimum.
Перечислим ключевые возможности «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ». Основной его функцией является мониторинг конечных устройств, обнаружение возникающих угроз и сбор сведений о них.
Для каждого выявленного инцидента составляется граф развития атаки, дополненный информацией об устройстве и активности его операционной системы. Для поиска угроз или следов прежних атак продукт может использовать индикаторы компрометации (IoC), выявленные в ходе проведенного расследования или загруженные из внешних источников.
Реакция защитных механизмов на выявленную угрозу может быть настроена исходя из характера атаки: изоляция сетевых хостов, карантин или удаление зараженных объектов файловой системы, блокирование или запрет на запуск определенных процессов в операционной системе и пр.
Функциональность продукта может быть существенно расширена, благодаря средствам интеграции с другими продуктами «Лаборатории Касперского» — облачным сервисом Kaspersky Security Network, информационной системой Kaspersky Threat Intelligence Portal и базой данных Kaspersky Threats. Данные технологии и сервисы входят в стоимость лицензии (KSN) или предоставляются бесплатно (OpenTIP, Kaspersky Threats).
Kaspersky Endpoint Detection and Response
Несколько лет назад «Лаборатория Касперского» вышла на рынок EDR с собственным решением Kaspersky Endpoint Detection and Response (KEDR), которое успело заработать себе хорошую репутацию в глазах отраслевых экспертов. Компании, серьезно заботящиеся об информационной безопасности, как правило применяют KEDR в составе комплексного решения, в которое входят собственно сам KEDR, платформа Kaspersky Anti Targeted Attack (KATA) и сервис Managed Detection and Response (MDR).
Такая связка позволяет специалистам по кибербезопасности эффективно противостоять самым продвинутым и передовым типам современных атак. Как правило, к подобным решениям прибегают организации уровня Enterprise имеющие собственный SOC или хотя бы отдельный небольшой департамент безопасности. Стоимость необходимых лицензий на ПО и сервисы достаточно высока, но если речь идет, например, о банке национального масштаба, то потенциальные риски многократно превышают расходы на обеспечение ИБ.
Надежное шифрование
Продукт использует передовое решение в системе алгоритмов AES-256, что обеспечивает надежное шифрование конфиденциальной информации. В случае кражи или простого переноса информации на USB-носители к другому устройству, исполнитель не сможет воспользоваться данными без кода авторизации. Шифрование полностью совместимо с FIPS 140-2. Системный администратор может управлять шифрованием с помощью FileVault и BitLocker.
Многоуровневая защита, гибкий контроль
Kaspersky Endpoint Detection and Response Оптимальный заключает в себе передовые технологии защиты от многочисленных и многоуровневых кибер-атак, в том числе от целевых атак и маскирующихся угроз. Решение способно обнаружить любое вредоносное ПО, блокируя его активность. Система предложит пользователю автоматический откат действий, выполненных зловредом до блокировки. Помимо этого, пользователь может всего одним кликом произвести действия по защите системы или всей сети, например, изолировать хост или поместить файл на карантин.
Работа с карточками инцидентов в KES + EDR
Ранее было отмечено, что всю необходимую информацию (ту же цепочку развития угрозы) можно найти в карточке инцидента. Но прежде чем добраться до неё и посмотреть, как она выглядит, разберём несколько моментов, позволяющих понять, где и в каких разделах Kaspersky Security Center находятся полезная информация и настройки KES + EDR.
Так, в интерфейсе Kaspersky Security Center отображаются политики KES + EDR (рис. 12). Они позволяют распространять на управляемые устройства с установленным Kaspersky Endpoint Agent политики в массовом формате.
Рисунок 12. Отображение политик KES + EDR в Kaspersky Security Center
Переключимся теперь на раздел со списком управляемых устройств (рис. 13). Находим здесь интересующее нас устройство и щелчком по нему переходим в его свойства.
Рисунок 13. Выбор управляемого устройства из списка в KES + EDR
В разделе общих свойств выбранного устройства (рис. 14) отображается информация по нему, включая текущие сеансы с его участием, а также доступна немаловажная функциональность, связанная с возможностью принудительно синхронизировать параметры и настройки устройства с сервером администрирования.
Рисунок 14. Общие свойства управляемого устройства в KES + EDR
Здесь нам кроме всего прочего доступна информация об установленных на управляемом узле программах. Всё это позволяет централизованно держать под контролем ситуацию с актуальной версией (рис. 15). На остальных вкладках доступны для просмотра данные о задачах, запускаемых на узле, событиях и инцидентах, а также дополнительные сведения.
Рисунок 15. Установленное программное обеспечение «Лаборатории Касперского» на подконтрольном управляемом устройстве в KES + EDR
Но самое интересное для ИБ-администратора — это, конечно же, события и инциденты, на основе которых он сможет принимать верные решения по дальнейшим действиям, а также оценивать уровень важности ситуации, держа всё под контролем. Для получения информации о событиях можно не только воспользоваться разделом в свойствах управляемого устройства (там будут видны только относящиеся конкретно к нему записи), но и в общем плане просмотреть все события через раздел отчётов. В последнем случае в главном окне веб-консоли KSC нажимаем на «Мониторинг и отчёты» → «Отчёты» и из списка в разделе «Подробнее» выбираем интересующее нас зафиксированное событие (рис. 16).
Рисунок 16. Выбор карточки инцидента из отчёта по событиям на управляемых узлах в KES + EDR
В итоге открывается карточка инцидента (рис. 17). Там собрана самая необходимая и важная для принятия решения информация:
- действие, предпринятое по отношению к обнаруженному исполняемому файлу / процессу;
- информация об управляемом устройстве (IP-адрес, ОС, наименование применяемой политики);
- дата обнаружения, полный путь до файла, хеш-сумма в разных форматах (данные, на основе которых можно создавать IoC);
- цепочка развития угрозы;
- кнопки действий по отношению к обнаруженному объекту (запретить, поместить в карантин).
Рисунок 17. Карточка инцидента в KES + EDR
О запрете запуска, переносе в карантин и сетевой изоляции стоит рассказать подробнее. Посвятим этим возможностям следующий сценарий.
Расширенный
Оптимальная защита по разумной цене
Endpoint Detection and Response
52 отзыва
4.9/5.0
100% порекомендовали бы этот продукт
на 12 апреля 2021 г.
Kaspersky EDR для бизнеса Оптимальный увеличивает обзор происходящего в инфраструктуре, поэтому вы можете точно определить масштаб распространения атаки, чтобы устранить её последствия.
Благодаря автоматизированным средствам реагирования на атаки ваша система будет надежно защищена от сложных угроз, а специалисты ИБ не будут перегружены оповещениями.
Инструменты контроля программ, устройств и использования интернета позволяют снизить роль человеческого фактора и повышают устойчивость вашей системы безопасности к интернет-угрозам, фишинговым рассылкам и социальной инженерии.
Управление всеми функциями, в том числе инструментами EDR, осуществляется из единой консоли Kaspersky Security Center c удобной системой отчетов и возможностью распределять зоны ответственности администраторов.
«Лаборатория Касперского» демонстрирует уникальный на сегодня уровень открытости и независимости в отношении своих данных. Доверенные партнеры и правительственные организации могут проверить исходных код наших продуктов в Центрах прозрачности.
Многоуровневая защита рабочих мест и серверов, включающая технологии анализа поведения и адаптивного контроля аномалий, станет надежной преградой даже для новых и неизвестных киберугроз.
Множество технологий защиты конечных точек объединены под одной лицензией и управляются из единой консоли. Благодаря этому не только увеличивается эффективность защиты, но и возрастает скорость возврата инвестиций в защитное решение.
Средства автоматического реагирования на сложные атаки препятствуют распространению в сети угроз, которые способны обходить традиционные решения для защиты рабочих мест.
На протяжении последних лет наши продукты для защиты конечных точек участвовали в независимых тестах и обзорах (и получали первые места) чаще, чем решения других производителей.
Вы можете приобрести лицензию Kaspersky Endpoint Detection and Response с расширенной технической поддержкой (MSA). С ней решение ваших проблем в области IT-безопасности будет для специалистов «Лаборатории Касперского» приоритетной задачей.
Патч-менеджмент и средства централизованной установки программ позволяют снизить нагрузку администраторов и оперативно устанавливать новейшие версии программ и приложений.
Выберите решение, которое подходит именно вам
Сравнение функциональных возможностей комплексных решений «Лаборатории Касперского» для защиты рабочих мест. Набор доступных функций зависит от защищаемой платформы. Посмотреть подробное сравнение.
Kaspersky Endpoint Detection and Response - оптимальный
Рабочие места всегда были и остаются под угрозой кибер-атаки. Для оперативного выявления и вмешательства в действия зловреда важно иметь передовое решение для защиты бизнеса. Продукт Лаборатории Касперского предоставляет специалистам IT-безопасности полную картину происходящего на каждом рабочем устройстве сотрудников, от мобильных устройств до серверов, что позволяет выполнять рутинные задачи по выявлению и нейтрализации сложных угроз из единого веб-интерфейса.
- анализ причин и возможных последствий инцидентов
- поиск индикаторов компрометации (IoC)
- автоматизированное реагирование на угрозы.
Сценарии использования KES + EDR
В наших сценариях мы будем использовать стенд в следующем составе:
- Kaspersky Security для рабочих станций и файловых серверов,
- Kaspersky Endpoint Agent,
- Kaspersky Security Center.
Процесс развёртывания рассматриваться не будет; о нём можно подробно узнать из официальной документации. Один из способов установки также описан в ранее выпущенной нами статье.
Подключимся к Kaspersky Security Center (рис. 7).
Рисунок 7. Авторизация в Kaspersky Security Center
После подключения перемещаемся в панель мониторинга Kaspersky Security Center с настраиваемой панелью и инструментами визуализации (рис. 8).
Рисунок 8. Панель мониторинга Kaspersky Security Center
Будут рассмотрены классические и часто используемые сценарии, но начнём мы с интересных возможностей, связанных с визуализацией цепочек развития угрозы (kill chain).
Медицина
Настоящая программа дает возможность государственным медицинским учреждениям приобретать программные продукты "Лаборатории Касперского" по льготной цене.
Введение
Ряд исследований, проведённых в 2019–2020 годах несколькими ведущими аналитическими центрами, показывает быстрый рост решений класса EDR и стойкий интерес к ним.
Так, например, компания IDC в своём отчёте «Безопасность рабочих мест в 2020 г.: возрождение EPP и предназначение EDR» сделала следующие выводы:
- Слабое решение класса EPP сводит на нет все преимущества EDR-решения.
- EDR-система должна анализировать данные, в том числе те, что находятся за пределами рабочих мест.
- Люди и время становятся новым показателем окупаемости EDR-решений.
По результатам исследования, проведённого «Лабораторией Касперского», в 2019 году доля фишинговых атак только в финансовом секторе по отношению ко всем зафиксированным случаям фишинга возросла с 44,7 % до 51,4 %. Также чаще стали подвергаться атакам субъекты критической информационной инфраструктуры (КИИ). Так, с начала 2020 года было выявлено более миллиарда атак только в отношении объектов КИИ.
По данным аналитического агентства Technavio, рынок средств класса EDR будет расти в течение 2020–2024 годов и увеличится на 7,67 млрд долларов США.
Исходя из исследований можно сделать выводы, что классические решения EPP и EDR по отдельности уже не всегда удовлетворяют потребности потенциальных заказчиков в привычном виде. Именно поэтому специалисты «Лаборатории Касперского» выработали решение по усилению уже внедрённой защиты конечных точек в целях противодействия сложным угрозам — KES + KEDR «Оптимальный» (рис. 1).
Рисунок 1. Усиленная защита конечных точек за счёт интеграции решений
Суть усиления и доработки заключается в использовании функциональности решений обоих классов через бесшовное взаимодействие посредством единого агента. Перечислим актуальные проблемы информационной безопасности, которые помогает решать такой подход:
- необходимость ручного разбора и анализа большого числа инцидентов;
- эксплуатация средств ИБ, которые не взаимодействуют друг с другом и управляются из разных консолей;
- принятие решений без использования средств для наглядного централизованного представления информации;
- выполнение сложных задач в условиях нехватки квалифицированных кадров и экспертизы;
- несоответствие требованиям регулирующих органов и действующего законодательства.
Ещё одним важным моментом и запросом на сегодняшний день является возможность не только внедрить сложное и широкофункциональное решение по обнаружению инцидентов и реагированию на них на конечных точках в больших организациях, но и надёжно защитить активы и бизнес-процессы независимо от уровня и размера организации, равно как и её зрелости в части ИБ (рис. 2).
Рисунок 2. Уровни зрелости организаций в части информационной безопасности
Решение, рассматриваемое в нашем обзоре, было разработано для организаций среднего уровня зрелости процессов ИБ. Создатели исходили из того, что для охвата потребностей такого предприятия или ведомства не требуется всех умений Kaspersky EDR: будет достаточно набора самых нужных функций с возможностью расширить его за счёт подключения дополнительных решений (рис. 3).
Рисунок 3. Различия между Kaspersky EDR «Оптимальный» и Kaspersky EDR
Далее в обзоре будет рассматриваться только Kaspersky EDR «Оптимальный». Начнём с функциональных возможностей.
Построение цепочки развития угрозы в KES + EDR
Удобная функциональность позволяет визуализировать в виде графа информацию о потенциальной атаке, необходимую для выполнения своевременных ответных действий.
Граф цепочки развития угрозы — инструмент для анализа причин появления последней. Граф предоставляет визуальную информацию об объектах, задействованных в инциденте — например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках, кустах реестра.
Собираемые сведения отправляются в Kaspersky Security Center, где и происходит само построение.
Настройка правил, по которым формируются цепочки развития угрозы, выполняется в разделе управляемых устройств (рис. 9, 10, 11). Перед настройкой важно выполнить ряд предварительных условий (табл. 3). Также важно знать, что цепочка развития угрозы отображается в карточке инцидента.
Рисунок 9. Раздел «Управляемые устройства» в Kaspersky Security Center
После выбора управляемого устройства переходим в свойства и выбираем раздел «Параметры программы» → «Синхронизация с Сервером администрирования».
Рисунок 10. Настройка параметров Kaspersky Endpoint Agent
В параметрах синхронизации должно быть выбрано «Отправлять данные для построения цепочки развития угрозы».
Рисунок 11. Параметры синхронизации отправки данных для построения цепочки развития угрозы
Таблица 3. Предварительные условия для развития цепочки угроз
Благодаря произведённым настройкам у ИБ-администратора появляется возможность получить более наглядную и полную картину для принятия решения по событию и оперативно перевести последнее в статус инцидента.
Функциональность работы с цепочками развития угроз привлекательна, так как имеет низкий порог вхождения: на её основе даже не занимающийся ИБ профессионально специалист сможет разобраться в ситуации и принять решение на своём уровне. В расширенной же версии Kaspersky EDR присутствует возможность корреляции цепочки развития угроз с матрицей MITRE ATT&CK.
Kaspersky Endpoint Detection and Response - оптимальный, продление лицензии
При окончании действующего срока лицензионного соглашения, пользователь имеет возможность продлить использование Kaspersky EDR, путем приобретения новой лицензии на льготных условиях. Конечный пользователь получает новый ключевой файл и новый лицензионный договор.
Особенности продления:
- Продление лицензии допустимо в случаях, если после истечения предыдущей лицензии прошло не более 1 года.
- Возможен переход при продлении на KES Cloud/Cloud Plus по цене продления;
- Продление возможно на любое количество лицензий сроком от 1 года;
- Продление по истечении 1 года с момента окончания действия лицензии не предусмотрено;
Своевременное обновление лицензии – это необходимое требование для защиты от злоумышленников, которые могут воспользоваться паузой в использовании ПО.
Решение Kaspersky EDR для бизнеса - Оптимальный состоит из следующих приложений:
В основу интегрированного решения «Лаборатории Касперского» для защиты рабочих мест положены классическое EPP-решение Kaspersky Endpoint Security и EDR-комплекс Kaspersky Endpoint Detection and Response «Оптимальный». Единый агент для автоматической защиты от массовых угроз и расширенного противодействия сложным атакам облегчает управление инцидентами и минимизирует дополнительные затраты на обслуживание. В итоге обеспечивается сбалансированный подход к защите.
Сертификат AM Test Lab
Номер сертификата: 329
Дата выдачи: 17.02.2021
Срок действия: 17.02.2026
Защита серверных сред и мобильных устройств
Серверные платформы и мобильные устройства активно используются в современном бизнесе. Решение обеспечит защиту каждого устройства внутри сети. Если в работе одного из ваших файловых сервера произойдёт сбой, наши технологии автоматически перезапустятся после перезапуска файлового сервера. Теология антифишинга защищает сотрудников от поддельных сайтов, а фильтры антиспама блокируют нежелательные SMS звонки.
Если Вы покупаете базовую лицензию (первый год защиты) или переходите на наш продукт с антивирусов других производителей, то Вы получаете сертификаты Ozon номиналом 10% от суммы покупки и уникальные сувениры "Лаборатории Касперского".
Kaspersky Endpoint Detection and Response - оптимальный, базовая лицензия
Для лицензии типа «Базовая» действуют акции и предложения:
Выводы
Основной мишенью киберпреступников по-прежнему остаются рабочие места сотрудников. В то же время развиваются и средства защиты: трендом последних лет в области информационной безопасности стали технологии класса EDR, которые дополняют и нивелируют слабые места классических решений EPP. Они помогают обнаружить атаки, обходящие традиционные средства защиты, и точно на них отреагировать.
«Лаборатория Касперского» предлагает мощную комплексную защиту конечных точек (EPP + EDR) с использованием единого агента, без дополнительных затрат на обслуживание и с минимальным воздействием на производительность рабочих мест.
KES + EDR позволяет получить наглядные данные о событиях из области безопасности, а также значительно улучшает обзор происходящего в инфраструктуре. С помощью этого комплекса можно не только обнаружить угрозу, но и определить её истинные происхождение и масштаб, а также оперативно среагировать на неё, минимизировав бизнес-потери. Базовые инструменты EDR включены в состав «Kaspersky EDR для бизнеса Оптимальный», а он, в свою очередь, полностью входит при этом в комплект поставки «Kaspersky Total Security Plus для бизнеса» (EDR + EPP).
Централизованное управление
В состав Kaspersky EDR входит Kaspersky Security Center (KSC) — централизованная консоль управления, позволяющая получить полное представление об используемых в вашей корпоративной сети технологиях «Лаборатории Касперского» для защиты рабочих мест, и управлять ими. KSC упрощает управление мобильными устройствами, ноутбуками, настольными компьютерами, файловыми серверами и виртуальными машинами, а также генерирует отчеты и позволяет управлять функциями продвинутой защиты класса Endpoint Detection and Response.
Подарки для сисадминов в мае
Получите приятные подарки при покупке бизнес лицензии
Читайте также: