Top.Mail.Ru
Вход
Регистрация

Комплексная защита инфраструктуры с Kaspersky Symphony XDR

Комплексная защита инфраструктуры с Kaspersky Symphony XDR

Комплексная защита инфраструктуры с Kaspersky Symphony XDR

Kaspersky Symphony XDR – комплексное решение для обеспечения информационной безопасности IT-инфраструктуры предприятия, включающее ряд решений для обнаружения, анализа и реагирования на инциденты. В апреле 2024 года вышла новая версия платформы, облегчающая управление инструментами, повышающая доступность данных и эффективность реагирования на атаки, а также снижающая число рутинных операций за счет автоматизации некоторых действий.

Защита XDR

Класс решений XDR (Extended Detection and Response, расширенное обнаружение и реагирование) представляет комплексный подход к обеспечению информационной безопасности, подразумевающий интеграцию и координацию различных механизмов защиты. В отличие от традиционных систем безопасности, которые работают в рамках отдельных сегментов (антивирусы, межсетевые экраны, системы обнаружения вторжений и т.д.), XDR объединяет данные из различных источников для создания более полной картины угроз. Решения собирают, анализируют и коррелируют события, поступающие от конечных точек, сетевых устройств, серверов и облачных ресурсов, повышая точность обнаружения и снижая количество ложных срабатываний.

Платформы класса XDR могут автоматизировать процесс реагирования на инциденты, в том числе с помощью алгоритмов машинного обучения: не только выявляют подозрительные активности, но и инициируют действия по их нейтрализации. Например, при обнаружении вредоносного ПО система может автоматически изолировать зараженное устройство, блокировать подозрительный сетевой трафик и уведомить команду безопасности о необходимости дальнейшего расследования. Это позволяет значительно сократить время реакции на инциденты.

Также такие решения, как правило, предполагают наличие единой платформы, объединяющей все компоненты в системе. Она позволяет специалистам эффективно отслеживать сложные многоуровневые угрозы, точно оценивать риски и быстро принимать обоснованные решения.

Kaspersky Symphony XDR

Комплексное решение класса XDR от «Лаборатории Касперского» позволяет компаниям решать задачи мониторинга информационной безопасности, проактивного поиска угроз и реагирования на сложные инциденты в рамках всей IT-инфраструктуры организации. Специалисты могут использовать это ПО как для реализации лучших мировых и отечественных практик по обеспечению безопасности, так и для соответствия требованиям законодательства.

Symphony XDR содержит ряд стратегических элементов, обеспечивающих покрытие всех ключевых векторов киберугроз:

- Kaspersky Anti Targeted Attack (KATA) для защиты сетевого трафика;

- Kaspersky Endpoint Detection and Response (EDR) Expert для защиты и продвинутого реагирования на конечных точках;

- Kaspersky Unified Monitoring and Analysis Platform (KUMA) как объединяющая SIEM-система.

- Single Management Platform (SMP) - единая платформа для расследования инцидентов

Каждый из этих продуктов постоянно развивается, дополняя экосистему XDR.

Так, за прошедший год все элементы KATA были перенесены на отечественное Linux-решение. Была повышена производительность в обработке трафика, добавлена поддержка блокирующего режима по ICAP, возможность хранения и работы с полной копией сырого трафика.

Система EDR была объединена в единый агент, его функциональность зависит только от загруженной лицензии (Endpoint Security или EDR). Добавлена поддержка новых Linux дистрибутивов, улучшены возможности реагирования в этой системе, снижены аппаратные требования. Также EDR получила достаточно редкий сертификат ФСТЭК на систему обнаружения вторжения уровня узла.

KUMA также получает регулярные обновления, как по части пользовательского опыта (UX/UI), так и функционала. Команда постоянно общается с заказчиками и следит за запросами рынка, поэтому, в частности, был реализован редактор контента (правил корреляции) в виде кода; это первый шаг на пути к полноценному редактированию всех ресурсов тем способом, который просят пользователи. Расширены схемы событий по запросам – добавлено неограниченное количество новых полей, в том числе массивы, что расширяет возможности по парсингу данных. С точки зрения функциональности добавлена отказоустойчивость – все сервисы и компоненты можно реализовывать без ограничений в отказоустойчивом режиме, это не требует дополнительного лицензирования. Появились разные уровни хранения: архивы можно складывать на разные диски, система анализирует, какие данные постоянно требуются, а какие можно спрятать в медленное хранилище. Любой запрос по-прежнему будет обработан, но в случае с редкоиспользуемой информацией ответ займет какое-то время. Это актуально для экономии ресурсов, поскольку регуляторы требуют хранить логи очень долго, но системе они нужны относительно редко.

В версии решения 2.0., представленной в апреле 2024, появился компонент SMP - единый интерфейс, обеспечивающий целостное представление информации. Благодаря нему в Kaspersky Symphony XDR реализованы гибкие инструменты для автоматизации процессов реагирования на инциденты, возможность восстановить целостную картину атаки, а также новые способы управления инцидентами.

Важным элементом экосистемы кибербезопасности «Лаборатории Касперского» является Threat intelligence - база знаний об угрозах со всего мира, которая представлена как потоковым обогащением событий, так и доступом к аналитическому порталу, где можно получить дополнительный контекст по запросу. Threat Intelligence обогащает защитные решения актуальными данными и повышает эффективность всей системы ИБ.

«Лаборатория Касперского» также включает в свою концепцию XDR встроенную платформу киберграмотности, помогающую повышать осведомленность сотрудников о киберугрозах. Даже сложные атаки часто начинаются с атаки на рядовых пользователей, поэтому важно обучать их азам ИБ.

Решение представлено на двух уровнях:

- Базовый уровень лицензирования XDR Core появился по просьбам заказчиков – он удобен при поступательном внедрении, на первых этапах, когда запрос на полноценную систему уже есть, нужен достаточно сложный SIEM/EDR-продукт, но еще нет ресурсов и экспертизы для развертывания большого решения. Этот уровень включает в себя передовую защиту всех типов конечных точек, инструменты EDR (обнаружение и реагирование), песочницу, SIEM-систему, а также платформу SMP с гибкими возможностями для расследования инцидентов.

- Уровень Symphony XDR содержит поверх Core также защиту на уровне сети (KATA), защиту почтовых серверов и шлюзов, платформу обучения сотрудников киберграмотности, а также аналитические данные об актуальных киберугрозах со всего мира

Новое в версии 2.0

. единый граф расследования, оркестрацию и управление инцидентами

Благодаря появлению в составе Kaspersky Symphony XDR платформы Kaspersky Single Management Platform пользователи решения получили в свой арсенал гибкие инструменты реагирования и расследования. Ключевые нововведения: единый граф расследования и готовые плейбуки.

Графы расследований

Единый граф на все компоненты позволяет визуально оценить, что происходит в рамках инцидента, определить порядок действий и расставить приоритеты. Информация собирается не только с конечных точек, но и со всех прочих источников – сетевого оборудования, домен-контроллеров и т.д. В результате получается полная картина со всеми аспектами и целями атаки. Это позволяет получить целостное представление о происходящем, что важно для понимания масштаба угрозы и приоритизации действий. Это упрощает работу аналитиков, позволяет сосредоточиться на важных аспектах, снижает метрики MTTD и MTTR (время реагирования). Графы интерактивные, по всем компонентам можно получить дополнительную информацию, имеющуюся в системе. Также есть возможность добавления контекста – взгляд на инцидент не только изнутри корпоративной инфраструктуры, но и со стороны: Threat Intelligence фиды, запросы в Threat Lookup, другие внешние источники знаний. Все эти данные можно увидеть на интерактивном графе, при необходимости дополнительно обогатив их запросами. С графами может работать несколько сотрудников, поскольку совместная работа над серьезными инцидентами повышает эффективность реагирования.

Плейбуки

Хотя, как правило, инциденты требуют непосредственного вмешательства специалиста по ИБ и расследования, существуют наборы действий, которые в любом случае необходимо выполнить, и которые можно автоматизировать. Например, если событие связано с заражением хоста, точно потребуется дополнительное сканирование. Другие примеры – обогащение данных, сбор дополнительной информации внутри инфраструктуры, оповещение ключевых сотрудников. Плейбуки позволяют выполнять такие действия автоматически, снимая рабочую нагрузку с аналитика и снижая риски человеческого фактора. Настраивается порядок действий и расписание; плейбуки могут срабатывать по триггеру или запускаться вручную. Также доступна опция обучения, когда первые запуски выполняет аналитик, а дальше платформа начинает совершать нужные действия самостоятельно.

Перспективы развития

Платформа продолжает развиваться. Основных направления три – архитектура, интерфейс и функциональность. В архитектурной части планируется дальнейшее улучшение характеристик и быстродействия, снижение системных требований. Интерфейс развивается на основе опыта аналитиков и заказчиков, основная цель – сокращение рутинных операций для повышения эффективности работы специалистов. С функциональной точки зрения в планах – развитие работы с инцидентами, добавление гибкости, как в части отображения информации, так и в SLA (делегирование, назначение, зависимость сроков от критичности инцидента). Также планируется развитие автоматизации: появятся комплексные многоуровневые плейбуки, реализующие более сложную логику в зависимости от типа и критичности инцидента.

Комплексное решение, основанное на опыте

В развитии своих продуктов разработчики «Лаборатории Касперского» опираются на опыт как собственных аналитиков, так и отделов ИБ заказчиков, предоставляя новый востребованный практикующими специалистами функционал. Компания «Системный софт», Платиновый партнёр «Лаборатории Касперского», обладает большим опытом внедрения решений в области информационной безопасности, эксперты готовы подробно рассказать о платформе Kaspersky Symphony XDR, продемонстрировать ее возможности и помочь развернуть ее в инфраструктуре компании. Это позволит обеспечить надежную защиту от внешних угроз и соответствие требованиям регулятора.

ПОЛУЧИТЕ КОНСУЛЬТАЦИЮ ЭКСПЕРТА!

Дарья Чеборюкова, Руководитель направления Kaspersky ООО «Системный софт»


Самое читаемое

3425 | SoftPowerKaspersky Security для почтовых серверов: исчерпывающее решение для борьбы с email-атаками на корпоративную инфраструктуру 694 | SoftPowernanoCAD Механика PRO – новая российская САПР для машиностроения в экосистеме «Нанософт» 416 | Новости вендоровPositive Technologies анонсировала запуск официальной версии межсетевого экрана нового поколения PT NGFW. 370 | SoftPowerКомплексная защита инфраструктуры с Kaspersky Symphony XDR 249 | ВебинарыПоднятие ЦИМ в nanoCAD BIM Строительство по результатам данных лазерного сканирования 203 | Акции и скидкиНовогодняя акция на «ИНСАЙДЕР» – успейте приобрести со скидкой 20%! 125 | Новости вендоровНовый инструмент РОСА Миграция в ROSA Virtualization v.3.0 81 | Записи вебинаровРоссийская платформа для виртуализации vStack: эффективное управление ИТ-инфраструктурой с помощью HCI-подхода 78 | Записи вебинаровzVirt. Технологии, которые изменят российский рынок виртуализации 78 | Записи вебинаровИнтеллектуальная обработка документов: ИИ-технологии Content AI