SOC-Форум 2019: Лаборатория Касперского об автоматизации реагирования на инциденты ИБ
BIS Journal начинает серию материалов, в которых спикеры SOC-Форума 2019 ответят на вопросы, которые поступили им в чат-бот организаторов. Сегодня на ваши вопросы отвечает Вениамин Левцов, вице-президент по корпоративным продажам, Лаборатория Касперского.
В чем принципиальное отличие допустим вашего EDR от Sysmon, не беря в учёт Response модуль?
Kaspersky Endpoint Detection and Response работает с тысячами хостов одновременно и предоставляет доступ к данным с этих машин. Эти данные хранятся месяц, а скоро окно хранения можно будет расширить. Интегрированное программное решение также связывает все события, и с помощью дерева исполнения процессов можно «размотать» любую цепочку запусков. Благодаря многолетнему опыту компании в области анализа киберугроз в Kaspersky EDR представлен набор правил, с помощью которых детектируются подозрительные и вредоносные активности. Не менее важно, что все это устанавливается «из коробки» и уже настроено.
Sysmon – это бесплатная утилита, которая отслеживает и логирует системные события. У нее отсутствует собственный графический интерфейс, логи собираются отдельно для каждой машины. Для централизованного сбора и последующей корреляции событий с разных рабочих станций необходим сторонний продукт.
Грубо говоря, в Kaspersky EDR без использования сторонних приложений и решений можно выполнить поиск какого-либо события по всем рабочим станциям, на которых установлен агент, нажатием одной кнопки, в то время как в случае с Sysmon необходимо ставить и настраивать дополнительные решения.
Помимо этого, Kaspersky EDR интегрирован с решением Kaspersky Anti Targeted Attack, с помощью которого можно выполнять мониторинг сетевого трафика и, в дальнейшем, использовать данные из событий безопасности, обнаруженных в сетевом трафике, при поиске вредоносной активности на рабочих станциях.
Дополнительно в части обнаружения вредоносного ПО и связанных с ним активностей на рабочих станциях можно использовать песочницу. Объекты на анализ она получает либо в автоматическом режиме из сетевого трафика, либо же в ручном – с рабочих станций. На основе данных, полученных в результате эмуляции ВПО в песочнице офицер безопасности может создавать свои правила обнаружения вредоносной активности на рабочих станциях.
Какие детекты я могу написать в EDR, а какие не могу покрыть в том же Sysmon?
С помощью Kaspersky EDR можно написать те же правила что и с Sysmon, но мы также поставляем свои собственные правила. Решение «Лаборатории Касперского» собирает дополнительные события из Kaspersky Endpoint Security и Kaspersky Security Network, полные URL запросов и данные о файлах с помощью которых можно написать правила, недоступные для Sysmon. Также за счет песочницы у нас есть дополнительный контекст о работе того или иного вредоносного ПО, который офицер безопасности может использовать для создания новых правил и дополнения существующих.
Более того, в Sysmon отсутствуют данные о событиях безопасности из сетевого трафика.
Как коррелируйте события?
С помощью технологии IOA, которая на лету размечает события и производит детект при поступлении на решение. Благодаря регистрации родителя всех событий, все события автоматически собираются в цепочки и можно найти как первый, так и последний процесс, участвующий в активности.
Какой движок? какой поток?
Движок для корреляции разработан нами на базе Spark, но планируем перейти на более быструю собственную разработку. Поток данных составляет где-то 80-100 ГБ в день на 1 максимально нагруженную ноду (10000 подключенных хостов). В событиях это более 20 миллионов в день. Также в следующем году планируем переход на микросервисную архитектуру, которая позволит увеличить эти показатели и удобно масштабировать систему горизонтально.