Yritysverkon suojaus: Kaspersky Endpoint Detection and Response (KEDR)

Kaspersky EDR on kybersuojausratkaisu yritysten IT-järjestelmien suojaukseen. Se lisää päätepisteiden tunnistus- ja reagointitoiminnot (EDR) tietoturvaan:

• monimutkaisten hyökkäysten mallien automaattisen ja manuaalisen purkamisen monien isäntäkoneiden tapahtumista
• reagoinnin hyökkäyksiin estämällä niiden jatkumisen
• tulevien hyökkäysten estämisen.

Tarve EDR-ratkaisulle

Vielä hiljattain tyypillisessä kyberhyökkäyksessä käytettiin massahaittaohjelmia. Ne kohdistuivat erillisiin päätepisteisiin ja aktivoituivat yksittäisissä tietokoneissa. Suuret haittaohjelmahyökkäykset ovat automaattisia ja poimivat satunnaisia uhreja massasähköpostiviesteillä, tietojenkalastelusivustoilla ja haitallisilla Wi-Fi-yhteyspisteillä. Niihin vastattiin päätepisteiden suojausratkaisuilla (EPP), jotka suojasivat isäntäkoneita massahaittaohjelmilta.

Kun hyökkääjillä oli vastassaan tehokas EPP-pohjainen suojaus, he vaihtoivat kalliimpaan, mutta tehokkaampaan taktiikkaan kohdistamalla hyökkäykset tiettyihin uhreihin. Kalleutensa takia kohdistettuja hyökkäyksiä käytetään yleensä yrityksiä vastaan ja tavoitteena on rahallinen hyöty. Kohdistetut hyökkäykset edellyttävät taustatyötä, ja ne on suunniteltu tunkeutumaan uhrin IT-järjestelmään ja kiertämään sen suojaus. Niiden hyökkäysketjuun liittyy useita IT-järjestelmän isäntäkoneita.

Koska kohdistetuissa hyökkäyksissä käytetään monenlaisia menetelmiä ja ne ovat luonteeltaan ihmisen ohjaamia ja vuorovaikutteisia, ne voivat ohittaa EPP-pohjaisen suojauksen:

• EPP-ratkaisut ovat riippuvaisia siitä, mitä ne näkevät yksittäisessä päätepisteessä. Edistyneet hyökkäykset toimivat kuitenkin useissa isäntäkoneissa ja niiden melko harmittomia toimia ilmenee taas uudessa päätepisteessä. Vaikka isäntäkoneiden EPP-ratkaisut havaitsisivat joitakin näistä toimista, hyökkääjät saavat ennen pitkää luotua usean isäntäkoneen hyökkäysketjun. Tällaisten hyökkäysten jälkiä löytyy monista isäntäkoneista.
• Koska EPP antaa tuloksen automaattisesti, hyökkääjät voivat tarkistaa, että uhrin EPP tai muu automaattinen suojausratkaisu ei ole havainnut heidän hyökkäystään. Hyökkääjillä on kokonaisia haittaohjelmaklustereita tällaisia tilanteita varten.
• Toimittajat eivät voi parantaa suojausta pelkästään tekemällä EPP-ratkaisuista entistä ”vainoharhaisempia”, koska tämä voi aiheuttaa vääriä osumia. Vaikka isäntäkoneella tapahtuu jotakin outoa, joka voi olla osa hyökkäysketjua tai luvallinen toimi, EPP on suunniteltu niin, että se ei puutu asiaan.

Jotta kyberturvallisuusratkaisujen valmistajat voivat reagoida kohdistettuihin hyökkäyksiin, ne laajentavat EPP-ratkaisuja päätepisteiden tunnistus- ja reagointiominaisuksilla (EDR):

• tarjoamalla keskitetyn näkyvyyden monien isäntäkoneiden tapahtumiin manuaalista ja automaattista korrelointia varten
• tarjoamalla tietoturvatiimille riittävät tiedot tapahtumista
• luomalla reagointi- ja korjaustyökalut, jolla voidaan torjua ihmisen ohjaamia hyökkäyksiä ihmisen ohjaamalla kybersuojauksella.

Pohjimmiltaan EDR lisää uusia päätepisteiden suojauksen tasoja edistyneitä hyökkäyksiä vastaan.

Kaspersky EDR -ratkaisun hyöty suojauksessa

Kaspersky EDR tuo lisää suojaustehoa olemassa olevaan EPP-ratkaisuun. EPP keskittyy yksinkertaisempiin massahyökkäyksiin (virukset, troijalaiset jne.) ja EDR puolestaan edistyneisiin hyökkäyksiin. Tämän ratkaisun ansiosta analyysityökalut tarkastelevat sekä haittaohjelmien toimintaa että luvallisten ohjelmistojen tapahtumia hyökkäyskontekstissa ja paljastavat koko hyökkäysketjun.

Kaspersky EDR on täysin integroitu Kaspersky Enterprise Securityn EPP-ratkaisun kanssa, ja sitä voi käyttää muiden toimittajien EPP-ratkaisujen kanssa. EDR lisää seuraavat ominaisuudet:

• näkyvyys useiden isäntäkoneiden tapahtumiin: eri puolille IT-järjestelmää jääneiden hyökkäysjälkien koostaminen
• tunnistus ”raskaan sarjan” menetelmillä, jotka vaativat laskentatehon, joita ei ole saatavilla tavallisten käyttäjien päätepisteissä, koska se voisi vaikuttaa käyttäjien työnkulkuun: edistynyt esikäsittely, testiympäristö, tehokkaat koneoppimismallit, mukaan lukien syväoppiminen, sekä muut menetelmät; raskaat menetelmät tarjoavat paremman tunnistuksen
• asiantuntijatyökalut häiriöiden tutkimiseen, ennakoivaan uhkien etsintään ja hyökkäyksiin reagointiin.

Kaspersky EDR -ratkaisun rakenne

Ratkaisun osat

• Päätepisteanturi: integroitu Kaspersky Endpoint Securityn kanssa yhdeksi agentiksi tai erilliseksi ohjelmaksi (voidaan ottaa käyttöön muiden EPP-ratkaisujen kanssa).
• Paikalliset palvelimet (tapahtumien tallennus, analyysimoduuli, hallintamoduuli, valinnaisena testiympäristö). Sijainti paikan päällä pitää tapahtumatiedot asiakkaan hallinnassa.
• KSN:n pilvipalvelu tai KPSN:n yksityinen pilvipalvelu parantaa reaaliaikaista tunnistusta ja nopeuttaa uusiin uhkiin reagointia.

EDR osana Kaspersky Threat Management and Defense -ratkaisua

Kaspersky EDR, Kaspersky Anti Targeted Attack Platform ja Kaspersky Cybersecurity Service (KCS) muodostavat palvelun, joka tarjoaa edistyneen suojauksen ja uhkatiedot:

• Kaspersky Anti Targeted Attack Platform lisää verkko-, Internet- ja sähköpostipohjaisen tunnistuksen ja laajentaa ratkaisun kohdistettujen hyökkäysten havaitsemisen päätepisteiden ja verkon tasolle.
• KCS lisää asiantuntijatuen tietoturvatiimiä varten: koulutuksen, uhkatiedot, Kasperskyn hallitseman tietoturvavalvomon (SOC) ja muita vaihtoehtoja.

Integrointi suojaustietojen ja tapahtumien hallinnan (SIEM) järjestelmiin

EDR-ratkaisumme voi integroida kolmannen osapuolen SIEM-järjestelmiin (tunnistustiedot viedään CEF-muotoon).

Ominaisuudet

Jatkuva keskitetty tapahtumien koonti ja tarkastelu. EDR koostaa tapahtumat isäntäkoneista reaaliaikaisesti:

• EDR koostaa tapahtumia jatkuvasti niiden syystä ja epäilyttävyydestä riippumatta. Tämä tekee EDR-ratkaisusta muita tehokkaamman tuntemattomien haittaohjelmien torjunnassa. Olisimme voineet suunnitella sen koostamaan vain epäilyttävät tai haittaohjelmien tapahtumat ja säästämään siten keskusyksikön levytilaa (jotkin muut EDR-ratkaisut toimivat näin). Silloin varastettuja tunnistetietoja käyttävien hyökkääjien luvallisia toimia ei kirjattaisi lokiin eivätkä myöskään uudet tunnistamattomat uhat käynnistäisi lokiinkirjausta.
• EDR-ratkaisun keskusyksikkö lataa tapahtumasyötteen isäntäkoneista omaan tallennustilaansa. Joidenkin muiden toimittajien EDR-ratkaisut tallentavat tapahtumat suoraan isäntäkoneisiin. Kun keskusyksikkö tarvitsee tietoja tapahtumista, se pyytää lokitietoja isäntäkoneilta. Tällainen rakenne säästää keskusyksikön levytilaa, mutta tekee hakemisesta hidasta ja yhteyksistä riippuvaista, ja isäntäkoneen näkyvyys riippuu isäntäkoneen saatavuudesta verkossa.

Automaattinen tunnistus. Kaspersky Endpoint Security havaitsee yksittäisessä isäntäkoneessa näkyvät uhat heuristisen, toimintaan perustuvan ja pilvipohjaisen tunnistuksen avulla (tai toisella isäntäkoneen EPP-sovelluksella). Tämän lisäksi EDR lisää tunnistuksen tasoja toimimalla usean isäntäkoneen laajuudella korreloimalla useiden isäntäkoneiden tapahtumasyötteen.

Tapahtumapohjaisen tunnistuksen lisäksi EDR-ratkaisun isäntäkoneiden agentit lähettävät automaattisesti epäilyttävät kohteet tai muistin osat keskusyksikköön, jotta ne voidaan analysoida perusteellisemmin algoritmeilla, joita ei ole saatavilla tavallisten isäntätietokoneiden laskentateholla. Tässä käytetään muassa tehokasta esikäsittelyä, heuristiikkaa ja koneoppimisen algoritmeja, testiympäristöä, laajennettua pilvipohjaista tunnistusta, Kasperskyn uhkatietosyötteeseen perustuvaa tunnistusta ja mukautettuja tunnistuksen sääntöjä (YARA).

Manuaalinen tunnistus tai uhkien etsintä tarkoittaa ennakoivaa etsintää, jossa käyttäjä hakee hyökkäysten ja uhkien jälkiä. EDR antaa käyttäjän etsiä monien isäntäkoneiden koko tapahtumahistoriasta, joka on koostettu tallennustilaan:

• Voit hakea tallennustilasta hyökkäysten ja epäilyttävien tapahtumien jälkiä ja yhdistää ne mahdolliseksi hyökkäysketjuksi. Tietokannan hauissa voi käyttää suodattimien yhdistelmiä (isäntäkoneiden, tunnistustekniikan, ajankohdan, tuloksen, vakavuustason jne. mukaan).
• Voit ladata uudet vaarantumisindikaattorit (IOC) EDR-ratkaisuun ja tunnistaa aiemmin havaitsematta jääneet pitkäkestoiset uhat.
• Voit lähettää epäilyttävät kohteet manuaalisesti ”raskailla” tunnistusmenetelmillä suoritettavaan perusteellisempaan analyysiin.
• Jos yritys on ottanut käyttöön KL TIP -palvelun (Kaspersky Threat Intelligence Platform), voit pyytää tietoja uhkatietokannassa olevista kohteista.

Reagointi tarkoittaa toimia, joihin käyttäjä voi ryhtyä uhan havaittuaan. Näitä toimia ovat seuraavat:

• Häiriöiden tutkiminen, hyökkäysketjun tapahtumien kokoaminen.
• Etätoimet isäntäkoneessa, kuten prosessien lopettaminen, tiedostojen poistaminen tai karanteeniin asettaminen, ohjelmien suorittaminen ja muut toimet.
• Havaitun uhan eristäminen kohteen suorituksen tarkistussummapohjaisella estolla.
• Haittaohjelmien toiminnan aiheuttamien muutosten kumoaminen isäntäkoneissa perustuu EPP-ratkaisuun. Esimerkiksi Kaspersky Endpoint Security kumoaa tällaisia haittaohjelmien toimia.

Esto tarkoittaa käytäntöjä, joilla rajoitetaan kohteiden toimintaa päätepisteissä:

• Tarkistussummapohjaiset suorituksen estokäytännöt, jotka estävät tiettyjen tiedostojen (PE-tiedostot, komentosarjat, Office-asiakirjat, PDF:t) suorittamisen koko IT-järjestelmässä, auttavat estämään hyökkäyksiä, jotka leviävät parhaillaan kaikkialla maailmassa.
• Sellaisten isäntäkoneissa olevien kohteiden tai URL-osoitteiden automaattinen tunnistus, jotka on havaittu testiympäristössä aiemmin haittaohjelmiksi.
• Sovellusten suorittamisen hallinta (hyväksyntäluettelot, käynnistyksen hallinta, käyttöoikeuksien hallinta) sekä verkkoyhteyksien käytön, USB-tikkujen käytön ja muun käytön käytännöt perustuvat EPP-ratkaisuun. Kaspersky Endpoint Securityn EPP-ratkaisu tarjoaa kaikki nämä esto-ominaisuudet.

Hallinta on Kaspersky EDR -ratkaisussa roolipohjaista ja tarjoaa työnkulkujen hallinnan: hälytysten määrityksen, hälytysten tilan seurannan, hälytysten käsittelyn lokiinkirjauksen. Sähköposti-ilmoitukset voi määrittää joustavasti hälytystyyppien ja niiden yhdistelmien mukaan (tunnistuksen tyyppi, vakavuus jne.).

Käyttötapaus: hyökkäysketjun paljastaminen

EDR-ratkaisun isäntäkoneiden agentit lähettävät säännöllisesti tapahtumia yrityksen omaan EDR-palvelimeen.

1. Yksi palvelimeen vastaanotetuista tapahtumista liittyy sellaisen tiedoston suorittamiseen, joka on ainutlaatuinen yrityksen IT-järjestelmässä (tarkistussumman perusteella). Tiedostossa on muitakin epäilyttäviä piirteitä.
2. Palvelin käynnistää perusteellisemman tutkimuksen. Se lataa tiedoston EDR-ratkaisun analyysimoduulien suorittamaa automattista analysointia varten. Tiedosto asetetaan jonoon automaattisia analyysitoimintoja varten.
3. Testiympäristö havaitsee tiedoston toiminnan perusteella haittaohjelmaksi ja lähettää käyttäjälle hälytyksen.
4. Käyttäjä aloittaa manuaalisen tutkimuksen ja tarkistaa tartuntaan mahdollisesti liittyvät tapahtumat:
   a. Käyttäjä havaitsee tavallisten järjestelmänvalvojan työkalujen avulla, että tartunnan saaneita tietokoneita oli käytetty yrityksen verkkopalvelimesta, joka on saatavilla Internetin kautta. Hän löytää epäilyttäviä tiedostoja ja prosesseja, joita suoritetaan palvelimessa, sekä epäilyttävien suoritettavien tiedostojen luontia. Hän löytää lopulta verkkopohjaisen haittakoodin, jonka hyökkääjät latasivat palvelimen verkkosivuston haavoittuvuuden kautta.
   b. Käyttäjä löytää kaikki hyökkäyksen komento- ja hallintapalvelimet (C&C).
5. Käyttäjä reagoi hyökkäykseen:
   a. Hän estää kaikki komento- ja hallintapalvelimet.
   b. Hän lopettaa haitalliset prosessit.
   c. Hän estää haittaohjelman tiedostojen suorituksen niiden tarkistussummien perusteella.
   d. Hän asettaa haittaohjelman ja epäilyttävät tiedostot karanteeniin myöhempiä tutkimuksia varten.