L'époque où il était nécessaire d'attirer des ressources sérieuses et des spécialistes compétents pour mener à bien une attaque complexe de hackers est révolue. De nos jours, les logiciels malveillants avancés peuvent être achetés sans trop d'efforts sur le darknet, ou même loués pendant un certain temps en utilisant le modèle MaaS (Malware-as-a-service).
Les créateurs de tels services offrent non seulement à leurs clients une console de gestion d'outils pratique pour les intrusions non autorisées dans l'infrastructure informatique de quelqu'un d'autre, mais sont également toujours prêts à fournir un support technique si l'utilisateur du service est «confus par les pédales». Cette pratique a réduit au minimum le seuil d'attaques ciblées complexes, les attaquants ciblant généralement ceux qui ont quelque chose à prendre. Et ceci, bien sûr, est avant tout une entreprise.
Solutions de classe EDR
La vague d'attaques ciblées a conduit à l'émergence d'un type particulier d'outil de sécurité de l'information appelé EDR (Endpoint Detection and Response). L'activité EDR vise à protéger les nœuds d'extrémité du réseau d'entreprise, qui deviennent le plus souvent la porte d'entrée de l'attaque. Les principales tâches d'EDR sont de détecter les signes d'intrusion, de générer une réponse automatique à une attaque, de fournir aux spécialistes la possibilité de déterminer rapidement l'ampleur de la menace et sa source, et de collecter des données pour une enquête ultérieure sur l'incident.
La fonctionnalité d'EDR repose sur la capacité de ce type de logiciel à effectuer une analyse détaillée des événements et une recherche proactive des menaces, à automatiser les tâches de protection quotidiennes répétitives et à mener une collecte centralisée de données de surveillance de l'état des terminaux. Tout cela contribue à augmenter la productivité des spécialistes de la sécurité de l'information travaillant, par exemple, dans le SOC (Security Operations Center) d'une grande entreprise.
Détection et réponse des terminaux Kaspersky
Il y a plusieurs années, Kaspersky Lab est entré sur le marché de l'EDR avec sa propre solution Kaspersky Endpoint Detection and Response (KEDR) , qui s'est forgé une bonne réputation auprès des experts du secteur. Les entreprises qui sont sérieusement préoccupées par la sécurité des informations utilisent généralement KEDR dans le cadre d'une solution complète qui comprend KEDR lui-même, la plate-forme Kaspersky Anti Targeted Attack (KATA) et le service de détection et de réponse gérées (MDR).
Cette combinaison permet aux professionnels de la cybersécurité de contrer efficacement les types d'attaques modernes les plus avancés et les plus avancés. En règle générale, ces solutions sont utilisées par les organisations au niveau de l'entreprise avec leur propre SOC ou au moins un petit service de sécurité distinct. Le coût des licences nécessaires pour les logiciels et les services est assez élevé, mais si nous parlons, par exemple, d'une banque à l'échelle nationale, les risques potentiels sont alors bien plus élevés que les coûts de sécurité de l'information.
EDR optimal pour les moyennes entreprises
Souvent, les entreprises de taille moyenne n'ont pas les moyens de maintenir leur propre SOC ou d'employer plusieurs spécialistes spécialisés. Cela étant dit, ils sont bien entendu également intéressés par les possibilités offertes par les solutions EDR. Surtout pour ces clients, Kaspersky Lab vient de sortir le produit Kaspersky EDR for Business OPTIMAL .
En seulement six mois, ce produit a acquis une popularité bien méritée. Cela fait partie de la soi-disant. Un «cadre de sécurité informatique optimal» développé par un fournisseur spécifiquement pour les clients qui ne peuvent pas se permettre des logiciels spécialisés coûteux pour lutter contre les cyberattaques sophistiquées.
Outre le "Kaspersky EDR for Business OPTIMAL" susmentionné, qui comprend les technologies de la classe EPP (Endpoint Protection Platform) et les technologies EDR de base, le framework comprend également l'outil Kaspersky Sandbox et le service Kaspersky MDR Optimum. Listons
les principales fonctionnalités de " Kaspersky EDR for Business OPTIMAL ". Sa fonction principale est de surveiller les terminaux, de détecter les menaces émergentes et de collecter des informations à leur sujet.
Pour chaque incident détecté, un graphique de développement d'attaque est compilé, complété par des informations sur l'appareil et l'activité de son système d'exploitation. Le produit peut utiliser des indicateurs de compromis (IoC) identifiés au cours de l'enquête ou téléchargés à partir de sources externes pour trouver des menaces ou des traces d'attaques précédentes.
La réaction des mécanismes de défense à une menace détectée peut être configurée en fonction de la nature de l'attaque: isolement des hôtes du réseau, mise en quarantaine ou suppression d'objets infectés dans le système de fichiers, blocage ou interdiction du lancement de certains processus dans le système d'exploitation, etc. .
Les fonctionnalités du produit peuvent être considérablement étendues grâce aux moyens d'intégration avec d'autres produits Kaspersky Lab - le service cloud de Kaspersky Security Network, le système d'information Kaspersky Threat Intelligence Portal et la base de données Kaspersky Threats. Ces technologies et services sont inclus dans le prix de la licence (KSN) ou sont fournis gratuitement (OpenTIP, Kaspersky Threats).
Architecture et déploiement
Le déploiement de Kaspersky EDR for Business OPTIMAL sur un réseau d'entreprise ne nécessite pas de ressources informatiques importantes. Tous les terminaux doivent avoir Kaspersky Endpoint Security installé avec Endpoint Agent activé, compatible avec tous les systèmes d'exploitation Windows à partir de Windows 7 SP1 / Windows Server 2008 R2 et n'occupant pas plus de 2 Go d'espace disque. Pour son fonctionnement à part entière, un processeur monocœur avec une vitesse d'horloge de 1,4 GHz et 1 Go (x86), 2 Go (x64) de RAM suffit.
La configuration système requise pour l'ordinateur à partir duquel la solution sera contrôlée est légèrement plus élevée. Nous parlons d'un serveur local Kaspersky Security Center équipé d'une console d'administration, mais vous pouvez également utiliser le service cloud Kaspersky Security Center Cloud Console. Dans les deux cas, le contrôle du produit est accessible via un navigateur Web. Le serveur local de Kaspersky Security Center nécessite un accès au serveur Microsoft SQL ou au SGBD MySQL.
Le déploiement de Kaspersky Security Center s'effectue à l'aide de l'assistant d'installation et ne prend pas beaucoup de temps. Lors de l'installation, un dossier est créé pour stocker les packages d'installation et les mises à jour, et le serveur d'administration est configuré.
L'installation de Kaspersky Endpoint Security avec le composant Endpoint Agent activé est effectuée de manière centralisée à l'aide de l'assistant de déploiement de la protection. Pendant le processus d'installation, l'administrateur est invité à définir une liste d'hôtes protégés, télécharger les fichiers d'installation, configurer une politique de notification des événements de sécurité, etc. Après cela, en fait, le déploiement commencera conformément aux options sélectionnées.
Une autre façon de distribuer Kaspersky Endpoint Security avec le composant Endpoint Agent activé sur le réseau peut être d'utiliser les stratégies de groupe Windows.
Avec la sortie de « Kaspersky EDR for Business OPTIMAL»Les entreprises ont pu utiliser des outils modernes de détection et de réponse aux menaces sans avoir à investir dans leur propre service de sécurité de l'information.
La solution peut très bien être assurée par les administrateurs système du client, pour lesquels Kaspersky Lab a préparé des formations appropriées .