Kaspersky Endpoint Detection and Response (KEDR)

Основная статья: Security Information and Event Management (SIEM)

Kaspersky Endpoint Detection and Response (KEDR) — корпоративное решение для выявления угроз и реагирования на киберинциденты на конечных устройствах.

2024

В составе ПАК «Алькор»

Технологический альянс компаний «Гравитон», «Лаборатория Касперского», «Группа Астра» и Axoft представили российский ПАК «Алькор». ИТ-решение на базе отечественных серверов и ИБ-систем предназначено для мониторинга и защиты от комплексных угроз и целевых атак. В его состав также вошло ПО Kaspersky EDR Expert (KEDR). Об этом 25 ноября 2024 года сообщили представители Axoft. Подробнее здесь.

В составе ПАК «Nerpa + KATA + KEDR»

Производитель ИТ-оборудования Nerpa и разработчик решений в области информационной безопасности «Лаборатория Касперского» при участии OCS Distribution выпустили два программно-аппаратных комплекса (ПАК) — для защиты компаний от различных киберугроз и единого управления ИБ. Об этом OCS Distribution сообщил 6 июня 2024 года.

В рамках сотрудничества вендоры реализовали комплексные решения по кибербезопасности, которые позволяют противостоять сложным атакам. Первый реализованный ПАК — «Nerpa + KATA + KEDR». В систему вошли ПО Kaspersky Anti Targeted Attack и Kaspersky EDR Expert, а также производительный двухпроцессорный сервер Nerpa Nord. Подробнее здесь.

Включение в МТС RED SOC

Компания МТС RED, входящая в ПАО «МТС», дополнила сервисы центра мониторинга и реагирования на кибератаки МТС RED SOC технологией защиты рабочих станций и серверов на базе решения Kaspersky EDR (Endpoint Detection and Response). Об этом МТС RED сообщил 5 апреля 2024 года.

Сервис МТС RED позволяет обнаруживать попытки проникновения или присутствие злоумышленников в ИТ-инфраструктуре компаний на конечных точках сети — рабочих станциях сотрудников и серверах. Большинство целевых атак начинается с проникновения злоумышленников на устройства сотрудников, поэтому выявление подозрительной активности на конечных точках сети позволяет обнаружить и локализовать инцидент до того, как атакующие достигнут конечной цели и компании будет нанесён ущерб. Это особенно важно для реагирования на сложные угрозы и целевые атаки, в ходе которых злоумышленники используют техники и тактики, плохо детектируемые базовыми антивирусами.Михаил Белошапка, «Далее»: Тенденция укрупнения IT-рынка продолжится 5.2 т

Решение Kaspersky Endpoint Detection and Response аккумулирует многолетнюю экспертизу вендора по выявлению компрометации конечных точек сети и предоставляет глубокую и детализированную аналитику по каждому инциденту. Использование этой технологии в виде сервиса МТС RED SOC снимает с заказчиков необходимость в самостоятельном внедрении, настройке и технической поддержке продукта, а также даёт возможность специалистам МТС RED осуществлять меры реагирования на инциденты непосредственно в инфраструктуре заказчика. Это помогает сократить временной интервал между выдачей рекомендаций по противодействию кибератаке и их реализацией, что в ряде случаев имеет критическое значение.

Рабочие станции сотрудников — это самая частая точка проникновения и закрепления злоумышленника в инфраструктуре, поэтому мы должны быть уверены в технологической зрелости решения, которое ложится в основу сервиса по выявлению целевых атак на конечные точки сети. Решение Kaspersky EDR способствует более быстрому выявлению киберугроз и их локализации, даже если речь идёт о сложно детектируемых атаках. Благодаря сервисной модели поставки технологии "Лаборатории Касперского" дополняются опытом и экспертизой команды МТС RED, которая получает возможность собственными силами блокировать развитие атаки в инфраструктуре заказчиков сервиса, — рассказал Евгений Ляпушкин, руководитель портфеля продуктов МТС RED SOC.

Наше решение Kaspersky EDR позволяет своевременно реагировать даже на самые сложные киберугрозы на уровне конечных узлов и в кратчайшие сроки приступать к устранению последствий, таким образом значительно ускоряя весь процесс отражения атаки. Продукт неоднократно признавался технологическим лидером на мировом рынке EDR-решений, и мы рады, что теперь и клиенты SOC-центра МТС RED смогут воспользоваться его преимуществами, — отметил Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского».

Сервис анализа событий на конечных точках сети предоставляется по облачной модели. Скорость подключения составляет от 14 дней, в зависимости от числа рабочих станций и серверов, которые необходимо взять под защиту.

2023

Использование в качестве платформы Axiom JDK Certified

«Лаборатория Касперского» будет использовать в составе своих решений Axiom JDK Certified, российскую сертифицированную платформу Java. Об этом «Лаборатория Касперского» сообщила 27 ноября 2023 года.

Сертифицированную платформу Java планируется задействовать в комплексной защите класса XDR нативного типа от сложных угроз и целевых атак, состоящей из решений Kaspersky Anti Targeted Attack и Kaspersky EDR Expert. Это повысит их безопасность и существенно ускорит процесс сертификации ФСТЭК, где вместе с решением требуется верификация кода среды его функционирования. Подробнее здесь.

Совместимость с Delta Tioga Pass и Delta Argut

Delta Computers и «Лаборатория Касперского» подтвердили совместимость и корректность работы программного обеспечения Kaspersky Anti Targeted Attack Platform (KATA), Kaspersky Endpoint Detection and Response (KEDR) и Kaspersky Unified Monitoring and Analysis Platform (KUMA) с серверными продуктами Delta Tioga Pass и Delta Argut. Об этом 6 сентября 2023 года сообщила компания Delta Computers. Подробнее здесь.

2022: В составе ПАКа на базе Depo Storm Kaspersky Endpoint Detection and Response (KEDR)

Компании Axoft, «Лаборатория Касперского» и DEPO Computers представили российские программно-аппаратные комплексы, созданные на базе серверных платформ DEPO Storm и программных продуктов компании «Лаборатория Касперского». Комплексы протестированы инженерами технологического центра DEPO Computers и готовы к использованию в государственных учреждениях и на предприятиях корпоративного сектора. Подробнее здесь.

2020

В основе продукта по киберстрахованию

Страховой Дом ВСК и Angara Professional Assistance запустили продукт по киберстрахованию на базе технологий «Лаборатории Касперского». Об этом 26 октября 2020 года сообщила ГК Angara.

Интеллектуальная основа сервиса по обеспечению ИБ – программное решение «Лаборатории Касперского» по защите от сложных и неизвестных угроз – Kaspersky Endpoint Detection and Response (Kaspersky EDR), а также платформа Angara Cyber Resilience Platform (ACRP), предназначенная для мониторинга, расследования и аналитики киберугроз. Подробнее здесь.

В основе сервиса по выявлению сложных многокомпонентных атак

22 октября 2020 года «Ростелеком-Солар» сообщил, что совместно с «Лабораторией Касперского» запустил сервис по выявлению сложных многокомпонентных атак на рабочих станциях и серверах корпоративных заказчиков. В его основе лежит система выявления атак на конечные хосты (Endpoint Detection and Response, EDR) Kaspersky EDR. Решение подключено к сервисам центра мониторинга и реагирования на кибератаки Solar JSOC и поможет выявлять активность (на пример, присутствие в инфраструктуре) высококвалифицированных злоумышленников, которую обычно не детектируют базовые инструменты защиты.

По статистике «Ростелеком-Солар», с каждым годом техники и методики, которые применяют хакеры для обхода классических средств защиты, становятся сложнее, а все больше атак связаны с длительным и скрытным нахождением в инфраструктуре жертвы. Злоумышленники с высокой квалификацией (кибернаемники и кибервойска) используют сочетание уникальных и дорогих собственных разработок с легальными утилитами и методами социальной инженерии для внедрения вредоносных модулей в атакуемую систему. Причем эти сложные инструменты постепенно распространяются в теневом сегменте Сети, и их берут на вооружение уже киберпреступники со средней квалификацией (киберкриминал). При этом их основными методами для проникновения в инфраструктуру жертвы остаются фишинговые рассылки со сложным вредоносным ПО, которое обычно не распознает стандартный антивирус. Расширение сервиса мониторинга на базе EDR поможет выявлять и локализовывать даже такие сложно детектируемые атаки на конечных узлах инфраструктуры организации.

Система EDR является важной составляющей центра реагирования на киберинциденты (SOC) – она ускоряет сбор первичных улик, предоставляет подробную телеметрию и автоматизирует процессы EDR, сокращая общее время реагирования с нескольких часов до считаных минут. Для обработки этих данных и грамотного реагирования на инциденты нужна профессиональная команда аналитиков, и благодаря тому, что в Solar JSOC выделили ресурсы на ее создание, клиентам сервиса будет существенно проще обеспечить надежную защиту своих ресурсов, – поделился мнением Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России, странах СНГ и Балтии.

Для реализации данного сервиса была проведена совместная проработка технических решений и моделей взаимодействия. В частности, в Solar JSOC была выделена специализированная команда по анализу сложных атак.

Развитие инструментария и техник злоумышленников требует других подходов к детектированию атак. Проблема защиты рабочих станций, которые чаще всего становятся точкой закрепления и развития атаки злоумышленника, является одной из первоочередных для объектов критической информационной инфраструктуры (КИИ). Мы рады расширить сотрудничество с нашим давним технологическим партнером – «Лабораторией Касперского» – совместным сервисом по выявлению атак на конечных узлах сети, – отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC.

Услуга EDR от Solar JSOC предоставляется как по облачной модели (полностью из ядра Solar JSOC), так и с размещением ключевых компонентов системы на площадке заказчика, а подключение к сервису займет 4-5 недель. В инфраструктуру заказчика устанавливаются необходимые компоненты, обогащенные унифицированным контентом от экспертов Solar JSOC, который будет дополнительно профилирован и адаптирован под особенности инфраструктуры и процессы конкретной организации. Сервис также доступен для заказчиков, самостоятельно приобретающих лицензии Kaspersky EDR, а не только в рамках MSSP-лицензий.

На 22 октября 2020 года «Ростелеком-Солар» и «Лаборатория Касперского» уже готовят запуск сервиса EDR для нескольких крупных государственных и коммерческих заказчиков.

2019: В составе совместных сервисов Kaspersky и Angara по защите от целевых атак

8 октября 2019 года «Лаборатория Касперского» сообщила, что начинает работать по MSSP-модели в России. Первым партнёром компании стал сервис-провайдер Angara Professional Assistance. Подробнее здесь.

2018: Выпуск

20 февраля 2018 года «Лаборатория Касперского» представила решение Kaspersky Endpoint Detection and Response (KEDR), которое непрерывно отслеживает любые аномалии и подозрительные процессы на рабочих местах сотрудников, представляет все собранные данные в удобном визуализированном виде, распознаёт угрозы и реагирует на инциденты. Таким образом, решение в значительной степени автоматизирует процесс поиска вредоносного ПО и вторжений в корпоративную сеть, сводя время ответной реакции на угрозу к минимуму. Компонент Kaspersky EDR тесно интегрирован с платформой для защиты от целевых атак Kaspersky Anti Targeted Attack Platform.

ЛК: современное решение EDR должно включать несколько подсистем обнаружения угроз, интегрированных в единый комплекс с функциями статического, поведенческого и динамического анализа, а также с постоянным доступом к глобальной библиотеке аналитических данных об угрозах и к технологиям машинного обучения.

В компании отметили, что скорость реакции на угрозы важна как никогда. По данным исследования «Лаборатории Касперского», позднее распознавание киберинцидента и отсутствие визуального контроля над конечными устройствами, через которые и проникает абсолютное большинство угроз, оборачивается для компании значительным финансовым ущербом. А в России за прошедший год с ними столкнулась почти четверть организаций ― 23%.

При этом целевые атаки в подавляющем большинстве случаев протекают незаметно для компании на протяжении минимум полугода, и этому способствуют два фактора. Во-первых, поиск скрытых угроз до сих пор осуществляется вручную специалистами по информационной безопасности, выискивающими аномалии среди огромных массивов данных. А во-вторых, даже в случае обнаружения подозрительной активности в системе IT-специалисты внутри организации не всегда могут оценить степень её опасности, поскольку для этого нужны глубокие знания в смежной для них области информационной безопасности и анализа ПО.

По словам разработчика, Kaspersky EDR позволит принципиально изменить ситуацию. В этом решении реализован гибкий и интеллектуальный подход к автоматическому распознаванию любых угроз (в том числе ещё неизвестных), а также своевременному и наиболее адекватному реагированию на них для предотвращения возможного ущерба и негативных последствий для организации. При этом всё управление осуществляется с помощью единого интерфейса.

Kaspersky EDR сочетает в себе пять основных направлений работы:

• непрерывный мониторинг угроз на рабочих местах ― специалисты по безопасности мгновенно получают визуальный контроль в масштабах всей сети, а представление данных в графическом виде позволяет выявлять комплексные и сложные угрозы;
• централизованный сбор данных ― решение агрегирует в рамках одного хранилища ключевые данные о реальных и потенциальных угрозах, непрерывно поступающие с рабочих мест, в частности информацию о неизвестных файлах, процессах, программах, службах, модулях, автозапусках, подключениях к сети и временных графиках;
• расширенное обнаружение угроз ― многоаспектный подход выявления рисков включает в себя статический, динамический и поведенческий анализ полученной информации, а также аналитические данные о киберугрозах и технологии машинного обучения;
• высокоточное реагирование ― широкий набор инструментов позволяет специалистам по информационной безопасности удалённо просматривать, оценивать, локализовывать и устранять отдельные угрозы и их последствия без воздействия на работу конечных пользователей;
• предотвращение угроз на рабочих местах ― с помощью функций быстрого поиска и проверки на индикаторы компрометации IT-специалисты могут реагировать на обнаруженные угрозы и задавать автоматические правила их предотвращения.

Kaspersky EDR доступен как самостоятельный продукт, а также в составе комплексной платформы Kaspersky Threat Management and Defense, позволяющей компаниям получить полный визуальный контроль над всеми событиями в IT-инфраструктуре. Помимо Kaspersky EDR, эта платформа также включает в себя специализированное решение для борьбы с целевыми атаками ― Kaspersky Anti Targeted Attack Platform ― и аналитические сервисы, помогающие понимать особенности различных киберугроз. Также продукт работает как единый агент вместе с решением Kaspersky Security для бизнеса.