Vorbei sind die Zeiten, in denen es notwendig war, ernsthafte Ressourcen und kompetente Spezialisten für einen komplexen Hackerangriff zu gewinnen. Heutzutage kann fortgeschrittene Malware ohne großen Aufwand im Darknet gekauft oder sogar für eine Weile mit dem MaaS-Modell (Malware-as-a-Service) gemietet werden.
Die Entwickler solcher Dienste bieten ihren Kunden nicht nur eine bequeme Tool-Management-Konsole für das unbefugte Eindringen in die IT-Infrastruktur eines anderen, sondern sind auch immer bereit, technischen Support zu leisten, wenn der Benutzer des Dienstes "durch die Pedale verwirrt" ist. Diese Vorgehensweise hat die Schwelle für komplexe gezielte Angriffe auf ein Minimum reduziert, wobei Angreifer in der Regel auf diejenigen abzielen, die etwas zu unternehmen haben. Und das ist natürlich in erster Linie ein Unternehmen.
EDR-Klassenlösungen
Die Flut gezielter Angriffe hat zur Entwicklung eines speziellen Informationssicherheitstools namens EDR (Endpoint Detection and Response) geführt. Die EDR-Aktivität zielt darauf ab, die Endknoten des Unternehmensnetzwerks zu schützen, die am häufigsten zum Eingangstor des Angriffs werden. Die Hauptaufgaben von EDR bestehen darin, Anzeichen eines Eindringens zu erkennen, eine automatische Reaktion auf einen Angriff zu generieren, Spezialisten die Möglichkeit zu geben, das Ausmaß der Bedrohung und ihre Quelle schnell zu bestimmen und Daten für die spätere Untersuchung des Vorfalls zu sammeln.
Die Funktionalität von EDR basiert auf der Fähigkeit dieser Art von Software, detaillierte Ereignisanalysen und proaktive Suche nach Bedrohungen durchzuführen, sich wiederholende tägliche Schutzaufgaben zu automatisieren und eine zentralisierte Sammlung von Daten zur Überwachung des Zustands von Endpunktgeräten durchzuführen. All dies trägt dazu bei, die Produktivität von Informationssicherheitsspezialisten zu steigern, die beispielsweise im SOC (Security Operations Center) eines großen Unternehmens arbeiten.
Kaspersky Endpoint Detection and Response
Vor einigen Jahren trat Kaspersky Lab mit seiner eigenen KEDR- Lösung ( Kaspersky Endpoint Detection and Response) in den EDR-Markt ein , die sich in den Augen von Branchenexperten einen guten Ruf erworben hat. Unternehmen, die ernsthafte Bedenken hinsichtlich der Informationssicherheit haben, verwenden KEDR normalerweise als Teil einer umfassenden Lösung, die KEDR selbst, die KATA-Plattform (Kaspersky Anti Targeted Attack) und den MDR-Dienst (Managed Detection and Response) umfasst.
Diese Kombination ermöglicht es Cybersicherheitsfachleuten, den fortschrittlichsten und fortschrittlichsten Arten moderner Angriffe effektiv entgegenzuwirken. In der Regel wird auf solche Lösungen von Organisationen auf Unternehmensebene mit eigenem SOC oder zumindest einer separaten kleinen Sicherheitsabteilung zurückgegriffen. Die Kosten für die erforderlichen Lizenzen für Software und Dienste sind recht hoch. Wenn es sich jedoch beispielsweise um eine Bank auf nationaler Ebene handelt, sind die potenziellen Risiken um ein Vielfaches höher als die Kosten für die Bereitstellung von Informationssicherheit.
Optimale EDR für mittlere Unternehmen
Mittelständische Unternehmen können es sich oft nicht leisten, einen eigenen SOC zu unterhalten oder mehrere spezialisierte Spezialisten zu beschäftigen. Abgesehen davon interessieren sie sich natürlich auch für die Möglichkeiten, die EDR-Lösungen bieten. Speziell für diese Kunden hat Kaspersky Lab gerade das Produkt Kaspersky EDR for Business OPTIMAL veröffentlicht .
In nur sechs Monaten hat dieses Produkt wohlverdiente Popularität erlangt. Es ist Teil des sogenannten. Ein „Optimal IT Security Framework“, das von einem Anbieter speziell für Kunden entwickelt wurde, die sich keine teure, spezialisierte Software zur Bekämpfung anspruchsvoller Cyberangriffe leisten können.
Neben dem bereits erwähnten "Kaspersky EDR for Business OPTIMAL", das Technologien der EPP-Klasse (Endpoint Protection Platform) und grundlegende EDR-Technologien umfasst, umfasst das Framework auch das Kaspersky Sandbox-Tool und den Kaspersky MDR Optimum-Service.
Lassen Sie uns die wichtigsten Funktionen von " Kaspersky EDR for Business OPTIMAL " auflisten . Seine Hauptfunktion besteht darin, Endgeräte zu überwachen, neu auftretende Bedrohungen zu erkennen und Informationen über diese zu sammeln.
Für jeden erkannten Vorfall wird ein Angriffsentwicklungsdiagramm erstellt, das mit Informationen über das Gerät und die Aktivität seines Betriebssystems ergänzt wird. Das Produkt kann Kompromissindikatoren (IoC) verwenden, die während der Untersuchung identifiziert oder von externen Quellen heruntergeladen wurden, um Bedrohungen oder Spuren früherer Angriffe zu finden.
Die Reaktion von Abwehrmechanismen auf eine erkannte Bedrohung kann basierend auf der Art des Angriffs konfiguriert werden: Isolierung von Netzwerkhosts, Quarantäne oder Löschung infizierter Objekte im Dateisystem, Blockieren oder Verbieten des Starts bestimmter Prozesse im Betriebssystem usw. .
Die Funktionalität des Produkts kann dank der Integration mit anderen Kaspersky Lab-Produkten erheblich erweitert werden - dem Kaspersky Security Network-Clouddienst, dem Kaspersky Threat Intelligence Portal-Informationssystem und der Kaspersky Threats-Datenbank. Diese Technologien und Dienste sind im Lizenzpreis (KSN) enthalten oder werden kostenlos zur Verfügung gestellt (OpenTIP, Kaspersky Threats).
Architektur und Bereitstellung
Die Bereitstellung von Kaspersky EDR for Business OPTIMAL in einem Unternehmensnetzwerk erfordert keine großen Computerressourcen. Auf allen Endgeräten muss Kaspersky Endpoint Security mit aktiviertem Endpoint Agent installiert sein, das mit allen Windows-Betriebssystemen ab Windows 7 SP1 / Windows Server 2008 R2 kompatibel ist und nicht mehr als 2 GB Speicherplatz belegt. Für den vollwertigen Betrieb reicht ein Single-Core-Prozessor mit einer Taktrate von 1,4 GHz und 1 GB (x86), 2 GB (x64) RAM aus.
Die Systemanforderungen für den Computer, von dem aus die Lösung gesteuert wird, sind etwas höher. Es handelt sich um einen lokalen Kaspersky Security Center-Server, der mit einer Administrationskonsole ausgestattet ist. Sie können jedoch auch den Cloud-Dienst Kaspersky Security Center Cloud Console verwenden. In beiden Fällen wird auf die Produktsteuerung über einen Webbrowser zugegriffen. Der lokale Kaspersky Security Center-Server erfordert Zugriff auf Microsoft SQL Server oder MySQL DBMS.
Die Bereitstellung von Kaspersky Security Center erfolgt mithilfe des Installationsassistenten und nimmt nicht viel Zeit in Anspruch. Während der Installation wird ein Ordner zum Speichern von Installationspaketen und Updates erstellt und der Administrationsserver konfiguriert.
Die Installation von Kaspersky Endpoint Security mit aktivierter Endpoint Agent-Komponente erfolgt zentral mithilfe des Protection Deployment-Assistenten. Während des Installationsvorgangs wird der Administrator aufgefordert, eine Liste der geschützten Hosts zu definieren, Installationsdateien herunterzuladen, eine Richtlinie für Benachrichtigungen über Sicherheitsereignisse zu konfigurieren usw. Danach beginnt die Bereitstellung tatsächlich gemäß den ausgewählten Optionen.
Eine alternative Möglichkeit, Kaspersky Endpoint Security mit der über das Netzwerk aktivierten Endpoint Agent-Komponente zu verteilen, kann die Verwendung von Windows-Gruppenrichtlinien sein.
Mit der Veröffentlichung von " Kaspersky EDR for Business OPTIMAL»Unternehmen konnten moderne Tools zum Erkennen und Reagieren auf Bedrohungen einsetzen, ohne in ihren eigenen Informationssicherheitsdienst investieren zu müssen.
Die Lösung kann durchaus von den Systemadministratoren des Kunden gewartet werden, für deren Qualifikationen Kaspersky Lab entsprechende Schulungen vorbereitet hat .