Atrás quedaron los días en que era necesario atraer recursos serios y especialistas competentes para llevar a cabo un complejo ataque de piratas informáticos. Hoy en día, el malware avanzado se puede comprar sin mucho esfuerzo en la darknet, o incluso alquilarse por un tiempo utilizando el modelo MaaS (Malware-as-a-service).
Los creadores de tales servicios no solo ofrecen a sus clientes una cómoda consola de administración de herramientas para la intrusión no autorizada en la infraestructura de TI de otra persona, sino que también están siempre listos para brindar soporte técnico si el usuario del servicio está "confundido por los pedales". Esta práctica ha reducido al mínimo el umbral para ataques dirigidos complejos, y los atacantes suelen apuntar a aquellos que tienen algo que tomar. Y esto, por supuesto, es principalmente una empresa.
Soluciones de clase EDR
La avalancha de ataques dirigidos ha llevado a la aparición de un tipo especial de herramienta de seguridad de la información llamada EDR (Endpoint Detection and Response). La actividad de EDR tiene como objetivo proteger los nodos finales de la red corporativa, que a menudo se convierten en la puerta de entrada del ataque. Las principales tareas de EDR son detectar signos de intrusión, generar una respuesta automática a un ataque, proporcionar a los especialistas la capacidad de determinar rápidamente la escala de la amenaza y su origen, y recopilar datos para la posterior investigación del incidente.
La funcionalidad de EDR se basa en la capacidad de este tipo de software para realizar análisis detallados de eventos y búsqueda proactiva de amenazas, automatizar tareas de protección diarias repetitivas y realizar una recopilación centralizada de datos de monitoreo del estado de los dispositivos terminales. Todo esto ayuda a elevar la productividad de los especialistas en seguridad de la información que trabajan, por ejemplo, en el SOC (Centro de operaciones de seguridad) de una gran empresa.
Detección y respuesta de Kaspersky Endpoint
Hace varios años, Kaspersky Lab ingresó al mercado de EDR con su propia solución Kaspersky Endpoint Detection and Response (KEDR) , que se ha ganado una buena reputación a los ojos de los expertos de la industria. Las empresas que están seriamente preocupadas por la seguridad de la información suelen utilizar KEDR como parte de una solución integral que incluye el propio KEDR, la plataforma Kaspersky Anti Targeted Attack (KATA) y el servicio Managed Detection and Response (MDR).
Esta combinación permite a los profesionales de la ciberseguridad contrarrestar eficazmente los tipos más avanzados y avanzados de ataques modernos. Como regla general, las organizaciones de nivel empresarial recurren a estas soluciones con su propio SOC o al menos un pequeño departamento de seguridad separado. El costo de las licencias necesarias para software y servicios es bastante alto, pero si hablamos, por ejemplo, de un banco a escala nacional, entonces los riesgos potenciales son muchas veces mayores que los costos de brindar seguridad de la información.
EDR óptimo para empresas medianas
A menudo, las empresas medianas no pueden permitirse mantener su propio SOC o emplear a varios especialistas especializados. Dicho esto, por supuesto, también están interesados en las posibilidades que ofrecen las soluciones EDR. Especialmente para estos clientes, Kaspersky Lab acaba de lanzar el producto Kaspersky EDR for Business OPTIMAL .
En solo seis meses, este producto ha ganado una merecida popularidad. Es parte de los llamados. Un “Marco de seguridad de TI óptimo” desarrollado por un proveedor específicamente para clientes que no pueden pagar un software costoso y especializado para combatir ciberataques sofisticados.
Además del mencionado "Kaspersky EDR for Business OPTIMAL", que incluye tecnologías de la clase EPP (Endpoint Protection Platform) y tecnologías EDR básicas, el marco también incluye la herramienta Kaspersky Sandbox y el servicio Kaspersky MDR Optimum.
Enumeremos las características clave de " Kaspersky EDR for Business OPTIMAL ". Su función principal es monitorear los dispositivos finales, detectar amenazas emergentes y recopilar información sobre ellas.
Para cada incidente detectado, se compila un gráfico de desarrollo de ataques, complementado con información sobre el dispositivo y la actividad de su sistema operativo. El producto puede utilizar indicadores de compromiso (IoC) identificados durante la investigación o descargados de fuentes externas para encontrar amenazas o rastros de ataques anteriores.
La reacción de los mecanismos de defensa ante una amenaza detectada se puede configurar en función de la naturaleza del ataque: aislamiento de hosts de red, cuarentena o eliminación de objetos infectados en el sistema de archivos, bloqueo o prohibición del lanzamiento de determinados procesos en el sistema operativo, etc. .
La funcionalidad del producto se puede ampliar significativamente gracias a los medios de integración con otros productos de Kaspersky Lab: el servicio en la nube de Kaspersky Security Network, el sistema de información del portal de inteligencia de amenazas de Kaspersky y la base de datos de amenazas de Kaspersky. Estas tecnologías y servicios están incluidos en el precio de la licencia (KSN) o se proporcionan de forma gratuita (OpenTIP, Kaspersky Threats).
Arquitectura e implementación
La implementación de Kaspersky EDR for Business OPTIMAL en una red corporativa no requiere grandes recursos informáticos. Todos los dispositivos de punto final deben tener Kaspersky Endpoint Security instalado con el Agente de punto final habilitado, compatible con cualquier sistema operativo Windows a partir de Windows 7 SP1 / Windows Server 2008 R2 y que no ocupen más de 2 GB de espacio en disco. Para su pleno funcionamiento, un procesador de un solo núcleo con una velocidad de reloj de 1,4 GHz y 1 GB (x86), 2 GB (x64) de RAM es suficiente.
Los requisitos del sistema para el equipo desde el que se controlará la solución son ligeramente superiores. Estamos hablando de un servidor local de Kaspersky Security Center equipado con una consola de administración, pero también puede utilizar el servicio en la nube Kaspersky Security Center Cloud Console. En ambos casos, se accede al control del producto a través de un navegador web. El servidor local de Kaspersky Security Center requiere acceso a Microsoft SQL Server o MySQL DBMS.
La implementación de Kaspersky Security Center se realiza mediante el asistente de instalación y no lleva mucho tiempo. Durante la instalación, se crea una carpeta para almacenar paquetes de instalación y actualizaciones, y se configura el servidor de administración.
La instalación de Kaspersky Endpoint Security con el componente Endpoint Agent habilitado se realiza de forma centralizada mediante el Asistente de implementación de protección. Durante el proceso de instalación, se le pide al administrador que defina una lista de hosts protegidos, descargue archivos de instalación, configure una política para notificaciones sobre eventos de seguridad, etc. Después de eso, de hecho, la implementación comenzará de acuerdo con las opciones seleccionadas.
Una forma alternativa de distribuir Kaspersky Endpoint Security con el componente Endpoint Agent habilitado a través de la red puede ser mediante políticas de grupo de Windows.
Con el lanzamiento de " Kaspersky EDR for Business OPTIMAL»Las empresas pudieron utilizar herramientas modernas para detectar y responder a amenazas sin necesidad de invertir en su propio servicio de seguridad de la información.
Es muy posible que la solución sea atendida por los administradores del sistema del cliente, para cuyas calificaciones Kaspersky Lab ha preparado las capacitaciones adecuadas .