Skydd för företagsnätverk – KEDR (Kaspersky Endpoint Detection and Response)

Kaspersky EDR är en cybersäkerhetslösning för företagens IT-avdelningar. Lösningen omfattar klientsäkerhet och klientåtgärder för IT-avdelningarna. Dessa inkluderar:

• identifiering av avancerade attackmönster i händelser från många olika värdar, både automatiskt och manuellt
• blockering av attackernas intrång i systemet
• förebyggande åtgärder för framtida attacker.

Vikten av EDR (Endpoint Detection and Response)

Tidigare innehöll vanligt förekommande attacker en större mängd skadlig programvara. Den skadliga programvaran hade separata klienter som mål och spred sig i enskilda datorer. Attacker med massorganiserad skadlig programvara är automatiserade och väljer slumpmässigt ut sina offer genom att skicka en mängd av e-postmeddelanden, utföra nätfiske på webbplatser och använda sig av falska Wi-Fi-hotspots. Lösningen för att skydda sig emot massorganiserad skadlig programvara var klientskyddande produkter.

I och med de nya klientskydden utvecklade angriparna en mer kostsam, men också en effektivare, taktik för att rikta in sig på specifika offer. Eftersom de är kostsamma utförs riktade attacker framförallt mot företag i hopp om att tjäna pengar på intrånget. Riktade attacker kräver rekognoscering och utformade för att ta sig in i offrets IT-system utan att upptäckas av skyddsfunktionerna. Flera värdar i IT-systemet kommer att attackeras.

Riktade attacker använder sig av ett flertal tekniker för att undvika upptäckt och har en människostyrd och interaktiv natur som är svår för klientsäkerhetsskydden att identifiera.

• Klientsäkerhetsskydden utgår ifrån vad som sker på den enskilda klienten. Avancerade attacker angriper däremot flera värdar och kan utföra relativt vanliga åtgärder på andra klienter. Även om några av åtgärderna identifieras av klientsäkerhetsskydden kommer angriparna att rikta sina cyberattacker mot flera värdar och spåren av dessa sprids därför ut mellan de många värdarna.
• De bedömningar som görs i klientsäkerhetsskydden sker automatiskt, vilket betyder att angriparna kan verifiera att deras skadliga koder inte har upptäckts av offrets klientsäkerhetsskydd eller andra automatiserade säkerhetslösningar. Angriparna kan därför hantera mängder av antivirusprogram.
• Det är inte möjligt för leverantören att göra klientsäkerhetsskydden mer ”paranoida” eftersom detta ökar risken för ”falska positiva resultat”. Klientsäkerhetsskydden är därför utformade för att inte ingripa om åtgärder som lika gärna kan vara befogade som bedrägliga sker i systemet.

Många leverantörer utökar sina klientsäkerhetsskydd med EDR-funktioner (lösningar gällande upptäckt och åtgärdande av attacker) för att kunna hantera riktade attacker. Dessa inkluderar:

• centraliserad översikt över manuell och automatiska åtgärder för händelser i flera värdar
• åtkomst till tillräckligt mycket data för säkerhetspersonalen
• utveckling av verktyg för motåtgärder och sanering för att motverka människostyrda attacker med människostyrt cyberskydd.

EDR-funktionerna ger dig helt enkelt flera nivåer av klientsäkerhet som skyddar systemet mot avancerade attacker.

EDR-funktionerna i Kasperskys säkerhetslösningar

Med Kasperskys EDR-funktioner gör du din befintliga plattformslösning för skydd av klienter (EPP) ännu mer effektiv. EPP-lösningarna har utvecklats specifikt för att hantera enklare typer av större attacker (virus, trojaner m.m.) medan EDR-lösningarna fokuserar på avancerade attacker. Lösningen analyserar aktivitet som utförs av både potentiell skadlig programvara och legitim programvara under eventuella attacker för att kunna identifiera samtliga intrång.

EDR-lösningarna från Kaspersky är fullständigt integrerade i Kaspersky Enterprise Security EPP och är även kompatibla med EPP-lösningar från andra leverantörer. EDR-lösningen innebär följande fördelar:

• Översikt över flera värdar för att sammanställa attacker spridda över hela IT-systemet.
• Identifiering med ”tunga” metoder som kräver mer prestanda än vad enskilda klienter har tillgång till och kan påverka användarens arbetsflöde. Identifieringsmetoderna inkluderar avancerad förbearbetning, begränsat läge (sandbox), avancerade ”tyngre” maskininlärningsmodeller som djupinlärning osv. Tyngre metoder erbjuder en mer noggrann identifieringsprocess.
• Expertverktyg för incidentsundersökningar, förebyggande hotspårning och motåtgärder för attacker.

Kasperskys EDR-design

Delar

• Klientsensorer som är integrerade i Kaspersky Endpoint Security för enskilda eller fristående system (vid distribuering av andra EPP-lösningar).
• Servrar på plats (händelselagring, analyseringsmotor, hanteringsmodul och begränsade lägen (tillval)). Servrar på plats ger kunden bättre kontroll över händelsedata.
• KSN-molntjänster eller privata KPSN-molntjänster som tillhandahåller mer effektiva identifieringsfunktioner i realtid och reagerar snabbt på nya hot.

EDR som del av Kasperskys hothantering och skydd

Kaspersky EDR, Kaspersky Anti Targeted Attack Platform och Kaspersky Cybersecurity Service (KCS) är en kombination av avancerade skydd och hotanalys.

• Kaspersky Anti Targeted Attack Platformtillhandahåller identifieringsfunktioner som baseras på nätverk, webb eller e-post. Detta tar lösningen till skydd på ”klient + nätverksnivå” för riktade attacker.
• KSC är ett extra stöd för IT-säkerhetsavdelningarna hos våra kunder. Lösningen inkluderar hotanalysdata, utbildning och säkerhetsdriftscenter (SOC, Security Operation Center) som hanteras av Kaspersky och andra.

Integrering med säkerhetsinformations- och händelsehanteringssystem (SIEM, Security Information and Event Management)

EDR-lösningen kan integreras med SIEM-system från tredje part och identifierar data som exporteras i det vanligt förekommande händelseformatet CEF.

Funktioner

Kontinuerlig, centrerad insamling av och översikt över händelser. Händelserna från värdarna samlas in i realtid via EDR-lösningen.

• EDR-lösningen samlar kontinuerligt in händelserna, oavsett orsak eller beteende. Detta gör EDR-lösningen till ett effektivt skydd mot okänd skadlig programvara. Vi skulle kunna välja att enbart samla in misstänkta beteenden eller händelser relaterade till skadlig programvara för att frigöra mer utrymme för den centrala noden (som många andra EDR-lösningar gör), men då kommer inte heller befogade åtgärder för angripare med stulna inloggningsuppgifter eller okända hot att loggas.
• Händelseflödet överförs från värden till den centrala EDR-noden där den lagras. EDR-lösningar från andra leverantör lagrar ibland detta direkt i värdsystemet. Om ytterligare data om händelsen krävs skickas en begäran om logguppgifter från den centrala noden till värdsystemen. Utformningen tar upp mindre lagringsutrymme i den centrala noden men påverkar hastigheten vid sökningar och värdsystemsöversikten är beroende av tillgänglighetsstatus i nätverket.

Automatisk identifiering. Hot som är synliga inom omfattningen för ett enskilt värdsystem identifieras av Kaspersky Endpoint Security med hjälp av heuristisk analys, beteendeanalys och molntjänster (eller med ett annat EPP-värdprogram). Utöver detta tillhandahåller även EDR-lösningen ett identifieringsskydd som omfattar flera värdar på olika nivåer baserat på deras händelseflöden.

EDR-värdagenterna utför händelsebaserad identifiering och skickar automatiskt misstänkta objekt eller delar av minnet till den centrala noden för en mer utförlig analys. Analysen omfattar algoritmer som inte är tillgängliga för standardprestanda i datorer, som tung förbearbetning, heuristiska algoritmer och maskininlärningsalgoritmer, begränsat läge (sandbox), utökad molnidentifiering och identifiering baserat på Kasperskys hotdataflöde och identifieringsregler (YARA).

Manuell identifiering eller hotspårning är sökningar efter spår av hot eller attacker som utförs i förebyggande syfte av operatören. Med EDR-lösningen kan du leta efter tecken på hot i alla tidigare händelser från flera värdar. Historiken sammanställs i lagringsutrymmet och du kan:

• söka efter spår av attacker eller misstänkta händelser för att se om de är relaterade till varandra och återskapa de potentiella cyberattackerna söka efter frågesvar i databasen via sammanslagna filter (efter värdar, identifieringsteknik, tidpunkt, bedömning, allvarlighetsnivå m.m.)
• överföra nya bevis på intrång (IOC) till EDR-lösningen för att identifiera eventuellt icke-identifierade tidigare hot
• skicka misstänkta objekt manuellt för mer utförlig analys med ”tunga” identifieringsmetoder.
• Om företaget har aktiverat KL TIP-tjänsten (Kaspersky Threat intelligence-plattformen) kan du begära information om objekten via hotdatabasen.

Motåtgärder är handlingar som operatören utför vid identifiering av hot. Dessa handlingar inkluderar:

• incidentundersökning, återskapande av händelserna i cyberattackerna
• fjärrstyrning av värdsystemet inkl. avbrytande av processer, borttagning av filer eller överföring till karantän, körning av program och andra åtgärder
• inneslutning av det identifierade hotet med hjälp av hashbaserade nekanden för att köra objektet.
• EPP-lösningen krävs för återställning av ändringar som orsakats av skadliga koder i värdsystemen. Kaspersky Endpoint Security kan till exempel inte återställa dessa åtgärder som utförts av skadlig programvara.

Förebyggande policyer används för att begränsa objektaktiviteter på klienterna. Dessa inkluderar:

• hashbaserade nekanden av körning som förhindrar körning av specifika filer (PE, skript, Office-dokument, PDF:er) i hela IT-systemet för att undvika globalt kända hot
• automatisk identifiering av objekt eller URL-adresser i värdsystemen som tidigare identifierats som skadlig programvara i begränsat läge (sandbox).
• En EPP-lösning krävs för programkörningskontroller (vitlistor, startkontroller och behörighetskontroller), policyer för nätverksåtkomst, åtkomst till USB-minne och annat. Kaspersky Endpoint Security EPP har alla funktioner som behövs vid förebyggande.

Kasperskys EDR-hantering är rollbaserad och erbjuder arbetsflödeshantering som larmtilldelning, spårning av larmstatus och bearbetning av larmloggar. Det går att konfigurera meddelanden via e-post i enlighet med larmtyp och kombinationer av dessa (identifieringstyp, allvarlighetsgrad m.m.).

Användningsområde: leta reda på cyberattackerna

Händelser skickas regelbundet till den interna EDR-servern via EDR-värdagenterna.

1. En av händelserna på servern är relaterad till körning av en fil som inte funnits i företagets IT-system tidigare, baserat på hashen. Filen uppvisar även andra misstänkta egenskaper.
2. En mer utförlig analys aktiveras i servern. Filen hämtas automatiskt till EDR-lösningen för analys via dess analysmotorer. Filen placeras i kö för en automatisk analysprocess.
3. Skadligt beteende upptäcks i det begränsade läget (sandbox) och operatören varnas.
4. Operatören påbörjar en manuell undersökning och kontrollerar händelserna som kan vara relaterade till smittan:
   a. Med hjälp av standardmässiga administratörsverktyg upptäcker man att den smittade datorn har varit i kontakt med en företagswebbserver som är tillgänglig via Internet. Misstänkta filer och processer som körts på servern och nyskapade körbara filer med misstänkt beteende upptäcks. Slutligen hittas ett webbskal som kommit in i systemet via en sårbarhet på serverwebbplatsen.
   b. Samtliga kommando- och kontrollservrar (command and control, C&C) för den här attacken identifieras.
5. Operatören vidtar följande motåtgärder:
   a. Blockerar samtliga kommando- och kontrollservrar.
   b. Avbryter de skadliga processerna.
   c. Blockera körning av skadliga filer baserat på deras hashar.
   d. Sätter den skadliga programvaran och de misstänkta filerna i karantän för vidare undersökning.