Kaspersky Anti Targeted Attack Platform (KATA)

Введение

Kaspersky Anti Targeted Attack Platform (KATA) – решение корпоративного класса, предназначенное для защиты IT-инфраструктуры Организации и своевременного обнаружения таких угроз, как атаки «нулевого дня», сложные целевые атаки типа Advanced Persistent Threats.

Компоненты

Решение Kaspersky Anti Targeted Attack включает в себя три функциональных блока:

• Kaspersky Anti Targeted Attack (далее также «KATA»), обеспечивающий защиту периметра IT-инфраструктуры предприятия.
• Kaspersky Endpoint Detection and Response (далее также «KEDR»), обеспечивающий защиту компьютеров локальной сети организации.
• Network Detection and Response (далее также «NDR»), обеспечивающий защиту внутренней сети предприятия.

Интеграция

Решение может получать и обрабатывать данные следующими способами:

• Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный SPAN, ERSPAN и RSPAN трафик и извлекать объекты и метаинформацию HTTP, HTTP2, FTP, SMTP и DNS, SMB и NFS протоколов.
• Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP, HTTP2 и FTP трафика, а также HTTPS трафика, если администратор настроил подмену SSL сертификата на прокси-сервере.
• Подключаться к почтовому серверу по протоколам POP3(S) и SMTP, получать и обрабатывать копии сообщений электронной почты.
• Интегрироваться с приложениями «Лаборатории Касперского» Kaspersky Secure Mail Gateway и Kaspersky Security для Linux Mail Server, получать и обрабатывать копии сообщений электронной почты.
• Интегрироваться с приложениями Kaspersky Endpoint Agent и Kaspersky Endpoint Security и получать данные (события) с отдельных компьютеров, входящих в IT инфраструктуру организации и работающих под управлением операционных систем Microsoft Windows и Linux. Приложения осуществляют постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.
• Интегрироваться с внешними системами с помощью интерфейса REST API и проверять файлы на этих системах.

Сценарии использования

1. Система обнаружения вторжений (IDS). Технология обнаружения вторжений включает в себя как традиционные средства обнаружения угроз в сетевом трафике посредством сигнатурного анализа, так и расширенные данные из KSN и Threat Intelligence для оперативного реагирования на киберугрозы. В дополнение к сигнатурам от экспертов Kaspersky есть возможность загрузить собственные правила в формате Snort или Suricata.

Проверка репутации файлов и URL-адресов KATA интегрируется с KSN / KPSN для проверки репутации файлов и URL-адресов в настоящем времени.

2. Антивирусное ядро (Anti-Malware). Антивирусное ядро работает на центральном узле KATA (Central Node) и имеет более чувствительные настройки, чем конфигурации на рабочих местах. При использовании KES в защищаемой инфраструктуре оно анализирует объекты на наличие вредоносного или потенциально опасного кода, при необходимости отправляя их в песочницу для последующей проверки. Благодаря такому подходу достигается высокая точность обнаружений и оптимизация нагрузки при потоковой проверке файлов. Основные возможности антивирусного модуля: автоматическое сканирование объектов из трафика; использование встроенного и пользовательского списка паролей для проверки шифрованных файлов; сканирование файлов, отправленных с хоста через задачу компонента «Endpoint Agent»; возможность ручной загрузки файла на анализ через веб-интерфейс.

3. IoC-сканирование KATA позволяет централизованно загружать индикаторы компрометации (IoC) из потоков данных об угрозах и поддерживает возможность создания запланированных задач сканирования IoC, повышая эффективность работы аналитиков. Ретроспективное сканирование базы данных даёт возможность повысить качество информации о ранее замеченных событиях и инцидентах в безопасности.

4. Анализатор целевых атак (Targeted Attack Analyzer, TAA). TAA обнаруживает подозрительную активность, используя расширенный эвристический анализ аномалий для автоматического поиска угроз в настоящем времени. Поддерживаются автоматический анализ событий и их сопоставление с уникальным набором индикаторов атак (IoA), поставляемых специалистами «Лаборатории Касперского». Каждый раз, когда TAA обнаруживает аномалию в телеметрии с хостов, специалист по ИБ получает полную информацию о возможном инциденте: описание, рекомендации (например, по снижению риска повторного появления события), данные о степени уверенности в вердикте и серьёзности события для удобства классификации и ускорения реагирования. Обнаруженные инциденты автоматически сопоставляются с базой знаний MITRE ATT&CK.

5. Обнаружение с помощью правил для YARA. YARA — один из наиболее часто используемых инструментов поиска новых вариантов вредоносных программ. Он поддерживает сложные правила корреляции для поиска файлов с определёнными характеристиками и метаданными, например содержащих характерные для кода конкретного программиста строки. Возможность создания и загрузки пользовательских правил для YARA позволяет проверять объекты на наличие угроз с учётом специфики организации.

6. Песочница. Возможен выбор набора операционных систем, на основе которого будут формироваться задачи на проверку объектов в компоненте «Sandbox» используя следующие платформы: Windows XP, Windows 7, Windows 10; CentOS 7.8; Astra Linux 1.7. На всех образах (включая CentOS 7.8 и Astra Linux 1.7) проверяются следующие объекты: отправленные агентами с хостов на проверку компоненту «Sandbox» в соответствии с правилами TAA (IoA) «Лаборатории Касперского» и загруженные в хранилище вручную или по задаче.