Евгений Бударин, руководитель направления по защите от сложных угроз: «EDR Оптимальный – новый уровень вашего антивируса»
Сегодня компаниям любого масштаба и сферы деятельности необходимы дополнительные решения по выявлению целенаправленных атак и сложных угроз – тех, которые научились обходить традиционные инструменты защиты. Интегрированная платформа EDR Оптимальный + Sandbox производства «Лаборатории Касперского» предназначена для того, чтобы оснастить решением класса EDR компании среднего и малого бизнеса. Это оптимальный стек решений, с которым может работать даже сотрудник отдела ИТ, не обладающий большой экспертизой в кибербезопасности. Подробнее – рассказывает руководитель направления Кaspersky Аnti Targeted Аttack Platform Евгений Бударин.
Евгений, давайте начнем с оценки того, как меняется рынок информационной безопасности, какие новые типы угроз появляются и как на них нужно реагировать?
– Наши исследования показывают, что количество атак и видов вредоносных кодов с каждым годом растет. Несомненно, это связано с многообразием современных ИТ-решений, сервисов, интерфейсов для подключения, то есть, с точки зрения злоумышленника – способов атаковать конечное устройство пользователя. К примеру, еще в начале 2000-х годов основным инструментом проникновения был USB-накопитель, но когда сотрудники начали чаще пользоваться Интернетом и корпоративной почтой, злоумышленники переключились на эти каналы. Больше сервисов – больше возможностей для заражения устройства, в том числе и с помощью социальной инженерии, когда преступник, изучая жертву, подбирает наиболее удобные инструмент и способ атаки.
В то же время в течение последних 5-7 лет мы наблюдаем изменения в поведении злоумышленников. Если раньше они, как правило, заражая устройство, быстро выдавали себя – например, сразу шифровали данные и вымогали деньги, – то сегодня им стало интереснее находиться в инфраструктуре компании как можно дольше, скрывая следы своего присутствия. Таким образом они могут реализовывать разные сценарии: торговать доступом к инфраструктуре, собирать конфиденциальную информацию с целью перепродажи, заниматься кибершпионажем. При этом с виду, по отчетам антивируса, в инфраструктуре всё нормально, и только после глубокого анализа можно понять, что в ней происходят какие-то неестественные процессы. К тому же вредоносные программы имеют уже не однонаправленное действие. Сейчас это всё чаще универсальные инструменты, которые в зависимости от локации запуска приобретают различные функциональные возможности, заложенные в него его разработчиком или получают новые команды налету после подключения к центру управления. Кстати, популярный в последнее время сценарий: злоумышленники сначала крадут конфиденциальные данные у компании, потом шифруют всё, и, если жертва отказывается платить, – публикуют украденную информацию в публичном доступе в интернете. Таким образом они используют угрозу раскрытия данных как дополнительный рычаг воздействия в вымогательстве.
Сразу отмечу, что антивирус при этом не потерял актуальность – он защищает от основной массы угроз. Однако сегодня для организации полноценной системы ИБ организации требуются дополнительные программные средства, которые позволяют смотреть на инфраструктуру изнутри и сопоставлять подозрительные факты из различных источников, формирующие вредоносную активность. Я говорю о решениях класса EDR, Endpoint Detection and Response. Раньше они применялись преимущественно ИБ-подразделениями, обладающими определенными компетенциями в этой области, но с появлением интегрированной платформы EDR Оптимальный + Sandbox стали доступны гораздо большему количеству пользователей, в том числе компаниям сегмента SMB.
Современная система ИБ в организации – это целый комплекс работающих вместе программных и аппаратных средств, защита BIOS, операционной системы, сетевого оборудования. Почему, несмотря на такой большой пласт инструментов, для полноценной защиты нужно что-то еще?
– В ходе расследований, которые проводит наше подразделение Incident Response, мы, в том числе, изучаем, как злоумышленник проникает в периметр сети, какие данные ищет, отслеживаем все его действия, обходные решения, тактики. Достаточно часто оказывается, что антивирус не может детектировать атаку, поскольку злоумышленник, например, использует социальную инженерию или не закрытую патчем уязвимость ПО и таким образом внедряет на машину пользователя средство удаленного подключения и администрирования. С точки зрения антивируса это легитимное программное обеспечение, антивирус не может знать, кто именно таким способом подключается к инфраструктуре.
Поэтому в сложившихся условиях недостаточно иметь только превентивный инструмент защиты, который отличает вредоносное поведение от невредоносного. Вместе с ним необходимо использоватьрешения, которые в нужное время «подсвечивают» подозрительные активности и предоставляют офицеру безопасности не только необходимые данные для исследования, но и инструменты для быстрого реагирования на выявленные угрозы. Потребность в таком решении с каждым годом растет, мы наблюдаем ее не только в крупных компаниях, но и во всех остальных, где ИБ только начинает формироваться.
Что касается других средств защиты, от вендоров оборудования, разработчиков операционных систем, – думаю, что их основная цель не в том, чтобы выстроить непробиваемую защиту на своём уровне. Они, конечно, занимаются безопасностью, но это не главный фокус при разработке продуктов. Достаточно вспомнить громкие истории, когда из-за уязвимостей в процессорах, жестких дисках или операционной системе случались масштабные инциденты.
Вы сказали, что стек Kaspersky EDR Оптимальный + Sandbox позволит расширить количество пользователей, которым доступны решения класса EDR. Для кого этот стек предназначен, и в чем его специфика?
– Еще в начале 2016 года мы выпустили продукт Kaspersky Anti Targeted Attack (KATA), на базе которого, в том числе, предоставляем заказчикам песочницу (Sandbox). Чуть позже на базе KATA появилось решение Kaspersky Endpoint Detection and Response (KEDR), для клиентов, которые нуждаются в дополнительных средствах обнаружения атак. Однако этот стек решений довольно требователен к собственной экспертизе заказчика: чтобы эффективно обрабатывать зафиксированные события, офицер ИБ, который управляет системой, должен быть максимально вовлечен в данный процесс и обладать хорошей экспертизой – это очень дорогие для компании сотрудники, которых на рынке мало. В компаниях SMB информационной безопасностью зачастую занимается ИТ-отдел, но и им также, на своем уровне, требуется инструмент для защиты от сложных и уклоняющихся от обнаружения атак.
Таким образом, хотя антивирусы успешно выявляют основную часть угроз на периметре и конечных точках, используя для обнаружения не только сигнатурный метод, но и интеллектуальные компоненты (эвристику, анализ поведения), определенная доля атак может пройти незамеченной встроенными средствами обнаружения. Связка Kaspersky EDR Оптимальный с песочницей позволяет обнаружить большинство из этих оставшихся угроз и еще больше сократить для компании риски ИБ. В этом интегрированном решении мы предоставляем песочницу, которая позволит выявить новые угрозы и автоматически заблокировать их антивирусом, а также инструментарий EDR для выявления событий, связанных с вредоносной активностью.
EDR – первая составляющая бандла KEDR Оптимальный + Sandbox, но предоставляется это решение в «оптимизированном» виде. Что это означает?
– KEDR Оптимальный – действительно не совсем типичный для класса EDR продукт. Это расширение для нашего антивирусного решения Kaspersky Endpoint Security для бизнеса, которое позволяет собирать события, связанные с определенной угрозой, обнаруженной антивирусом.
Приведу практический пример. Когда вы изучаете отчет о вирусной активности в инфраструктуре, состоящей из множества машин, то видите большое количество угроз, детектированных антивирусом – но при этом они могут быть неравномерно распределены по всем машинам в сети. У въедливого сотрудника ИБ могут возникнуть вопросы, почему на конкретной машине киберугрозы обнаруживались чаще, чем у других: дело в неаккуратном поведении пользователя или в чем-то еще? Откуда приходят атаки – снаружи, или вредоносная программа уже внутри? Ответы на такие вопросы позволят более качественно расследовать инцидент и принять меры по противодействию дальнейшему распространению угрозы.
EDR Оптимальный аккумулирует всю необходимую информацию для расследования. В то время, как антивирус детектирует вредоносный объект, EDR собирает события, связанные с ним: откуда появился объект, кто его запустил, что еще скачивалось по ссылке вместе с вирусом, какие процессы параллельно запускались, к каким процессам обращался вирус. Типичная ситуация: злоумышленник минует антивирусную защиту и с помощью исходного вредоноса-загрузчика (downloader) закачивает средство удаленного администрирования. Антивирус может заблокировать загрузчик и отчитаться об успешном отражении атаки, а злоумышленник продолжит иметь доступ к зараженной машине. Задача EDR – указать специалисту ИБ на все взаимосвязи, которые создал вредоносный образец, чтобы провести качественное расследование, а также поискать эти признаки вредоносной активности на других устройствах сети.
EDR Оптимальный, в отличие от классической EDR, – простой продукт, с которым справится даже ИТ-специалист, не обладающий большим опытом в области ИБ. С помощью этого инструмента он сможет из единой консоли антивирусного ПО сопоставить события, сопутствующие детектированию, принять решение об автоматической блокировке всех объектов, которые проявили вредоносные свойства, и привести инфраструктуру в исходное состояние.
Помимо простоты использования, насколько версия EDR, входящая в интегрированную платформу, отличается от классического EDR-решения?
– Полноценный EDR собирает не только события, связанные с обнаружением, а абсолютно все события с конечных точек и хранит их сколь угодно долго. Специалист с достаточным уровнем квалификации может не только привязать свой поиск к срабатываниям антивируса, но и стать инициатором поиска, зная, какие процессы и события в его инфраструктуре не являются типовыми и вызывают подозрение. Кроме того основываясь на своем опыте и знании какие актуальные методы атак используют злоумышленники, он может произвести поиск признаков наличия таковых в своей инфраструктуре, а EDR поможет ему с этим предоставив удобный инструмент и подсветив моменты, на которые стоит обратить внимание в первую очередь. EDR Оптимальный в свою очередь предсказывает дальнейшие события по уже известной зацепке.
Песочница – второй компонент интегрированной платформы KEDR Оптимальный + Sandbox. Какие функции она выполняет?
– Еще раз подчеркну, что в продуктовом портфеле EDR и песочница – два независимых продукта, в данном случае объединенные в интегрированную платформу и являющиеся дополнением к антивирусу. Sandbox – выделенная на физическом или виртуальном сервере заказчика изолированная среда, в которую антивирус в автоматическом режиме отправляет объекты, требующие дополнительной, более глубокой проверки. Для этого песочница эмулирует действия пользователя с подозрительным объектом: запускает его так, как делал бы пользователь, дает образцу взаимодействовать с окружением, в том числе с интернет-ресурсами. Например, если объект запрашивает соединение с командным центром, чтобы получить дальнейшие инструкции, песочница может ему этот доступ предоставить.
Вредоносный объект можно выявить на разных этапах эмуляции, но полный цикл проверки занимает около 100 секунд. Важно, что при этом песочница учитывает и такие уловки, при которых вредоносный объект поначалу «затаивается» и запускается только через определенное время. В составе решения есть разнообразные технологии по выявлению попыток сокрытия присутствия объекта в операционной системе.
После эмуляции и вердикта песочницы антивирус автоматически принимает решение – удалить объект или пропустить.
Как лицензируется Kaspersky EDR Оптимальный и насколько решение окупается, например, в компании сегмента SMB?
– Вопрос подсчета окупаемостирешений ИБдостаточно болезненный для большинства заказчиков. Если сравнить стоимость внедрения решения со средней статистикой ущерба, который причиняют отрасли заказчика кибермошенники, результат окажется не совсем правильным. Более точные данные можно получить, если провести экспертизу и создать модель угроз. В свою очередь, у нас есть обоснование внедрения продукта, где приводится формула, по которой заказчик может соотнести свои риски со стоимостью владения продуктом и увидеть перспективу окупаемости.
EDR Оптимальный лицензируется по количеству защищаемых устройств. При этом, в отличие от более «тяжелых» решений, продукт не требует дополнительных серверных мощностей, управление и хранение телеметрии обеспечивается тем же сервером администрирования, что используется и для антивируса. По сути, для заказчика это просто новый тип лицензии антивируса, который активирует дополнительные возможности. Sandbox, конечно, требует физических мощностей, но не слишком больших. К тому же песочницу можно развернуть в виртуальной среде или разместить на небольших мощностях, сопоставимых с рабочей станцией и объединив в кластер. Лицензирование Sandbox – по количеству подключенных к нему антивирусов.
В чем преимущество этого стека решений «Лаборатории Касперского», есть ли у него аналоги в России или за рубежом?
Думаю, что решение класса EDR должно органично встраиваться в существующей стратегию развития защиты ИТ-инфраструктуры заказчика. И так как в России Kaspersky Endpoint Security для бизнеса очень популярен, решение Kaspersky EDR для Бизнеса Оптимальный станет следующей ступенью развития защиты от более сложных угроз. Решения класса EDR становятся все популярнее во всем мире и рынок уже стал достаточно конкурентным.
О преимуществах решений «Лаборатории Касперского» лучше всего говорят непредвзятые мнения заказчиков и их опыт использования, а также оценка ведущих аналитических агенств. Например, в 2020 году решение Kaspersky Endpoint Detection and Response было удостоено премии Gartner Peer Insights Customers Choice, а также признан технологическим лидером среди EDR решений по оценке Quadrant Knowledge Solutions. Уверен, что и KEDR Оптимальный с Kaspersky Sandbox наши заказчики и аналитики оценят так же позитивно. Мы всегда прислушиваемся к мнению заказчиков и анализируем потребности рынка в целом, дорабатывая наши решения и обеспечивая оперативную техническую поддержку по всему миру.
