Lama berlalu adalah hari-hari ketika dibutuhkan sumber daya yang serius dan spesialis yang kompeten untuk melakukan serangan peretas yang kompleks. Saat ini, malware tingkat lanjut dapat dibeli tanpa banyak usaha di darknet, atau bahkan disewa untuk sementara waktu menggunakan model MaaS (Malware-as-a-service).
Pencipta layanan tersebut tidak hanya menawarkan pelanggan mereka konsol manajemen alat yang nyaman untuk gangguan tidak sah ke infrastruktur TI orang lain, tetapi juga selalu siap untuk memberikan dukungan teknis jika pengguna layanan "bingung dengan pedal". Praktik ini telah membuat ambang batas untuk serangan bertarget yang kompleks menjadi minimum, dengan penyerang biasanya menargetkan mereka yang memiliki sesuatu untuk diambil. Dan ini, tentu saja, pada dasarnya adalah sebuah perusahaan.
Solusi kelas EDR
Kesibukan serangan yang ditargetkan telah menyebabkan munculnya jenis alat keamanan informasi khusus yang disebut EDR (Endpoint Detection and Response). Aktivitas EDR ditujukan untuk melindungi node akhir jaringan perusahaan, yang paling sering menjadi gerbang masuk serangan. Tugas utama EDR adalah mendeteksi tanda-tanda gangguan, menghasilkan respons otomatis terhadap suatu serangan, memberi spesialis kemampuan untuk menentukan dengan cepat skala ancaman dan sumbernya, dan mengumpulkan data untuk penyelidikan insiden selanjutnya.
Fungsi EDR didasarkan pada kemampuan jenis perangkat lunak ini untuk melakukan analisis peristiwa terperinci dan pencarian proaktif untuk ancaman, mengotomatiskan tugas perlindungan harian yang berulang, dan melakukan pengumpulan data pemantauan kesehatan perangkat titik akhir yang terpusat. Semua ini membantu meningkatkan produktivitas spesialis keamanan informasi yang bekerja, misalnya, di SOC (Pusat operasi keamanan) sebuah perusahaan besar.
Deteksi dan Respons Kaspersky Endpoint
Beberapa tahun lalu, Kaspersky Lab memasuki pasar EDR dengan solusi Kaspersky Endpoint Detection and Response (KEDR) miliknya sendiri , yang telah mendapatkan reputasi yang baik di mata para pakar industri. Perusahaan yang sangat memperhatikan keamanan informasi biasanya menggunakan KEDR sebagai bagian dari solusi komprehensif yang mencakup KEDR itu sendiri, platform Kaspersky Anti Targeted Attack (KATA), dan layanan Managed Detection and Response (MDR).
Kombinasi ini memungkinkan profesional keamanan siber untuk secara efektif melawan jenis serangan modern dan paling canggih. Sebagai aturan, solusi tersebut digunakan oleh organisasi tingkat Perusahaan dengan SOC mereka sendiri atau setidaknya departemen keamanan kecil yang terpisah. Biaya lisensi yang diperlukan untuk perangkat lunak dan layanan cukup tinggi, tetapi jika kita berbicara, misalnya, tentang bank skala nasional, maka potensi risikonya jauh lebih tinggi daripada biaya penyediaan keamanan informasi.
EDR Optimal untuk Bisnis Menengah
Seringkali, perusahaan menengah tidak mampu mempertahankan SOC mereka sendiri atau mempekerjakan beberapa spesialis khusus. Meskipun demikian, mereka tentu juga tertarik dengan kemungkinan yang disediakan oleh solusi EDR. Khusus untuk klien tersebut, Kaspersky Lab baru saja merilis produk Kaspersky EDR for Business OPTIMAL .
Hanya dalam waktu enam bulan, produk ini telah mendapatkan popularitas yang memang pantas. Itu adalah bagian dari apa yang disebut. Sebuah "Kerangka Kerja Keamanan TI Optimal" yang dikembangkan oleh vendor khusus untuk pelanggan yang tidak mampu membeli perangkat lunak khusus yang mahal untuk memerangi serangan dunia maya yang canggih.
Selain "Kaspersky EDR for Business OPTIMAL" yang disebutkan di atas, yang mencakup teknologi kelas EPP (Endpoint Protection Platform) dan teknologi EDR dasar, kerangka kerja ini juga menyertakan alat Kaspersky Sandbox dan layanan Kaspersky MDR Optimum.
Mari daftar fitur utama " Kaspersky EDR for Business OPTIMAL ". Fungsi utamanya adalah untuk memantau perangkat akhir, mendeteksi ancaman yang muncul dan mengumpulkan informasi tentangnya.
Untuk setiap insiden yang terdeteksi, grafik pengembangan serangan disusun, dilengkapi dengan informasi tentang perangkat dan aktivitas sistem operasinya. Produk dapat menggunakan Indikator Kompromi (IoC) yang diidentifikasi selama investigasi atau diunduh dari sumber eksternal untuk menemukan ancaman atau jejak serangan sebelumnya.
Reaksi mekanisme pertahanan terhadap ancaman yang terdeteksi dapat dikonfigurasi berdasarkan sifat serangan: isolasi host jaringan, karantina atau penghapusan objek yang terinfeksi dalam sistem file, memblokir atau melarang peluncuran proses tertentu dalam sistem operasi, dll. .
Fungsionalitas produk dapat diperluas secara signifikan berkat sarana integrasi dengan produk Kaspersky Lab lainnya - layanan cloud Kaspersky Security Network, sistem informasi Kaspersky Threat Intelligence Portal, dan basis data Kaspersky Threats. Teknologi dan layanan ini termasuk dalam harga lisensi (KSN) atau disediakan secara gratis (OpenTIP, Kaspersky Threats).
Arsitektur dan penerapan
Penyebaran Kaspersky EDR for Business OPTIMAL di jaringan korporat tidak membutuhkan sumber daya komputasi yang besar. Semua perangkat titik akhir harus memiliki Kaspersky Endpoint Security yang diinstal dengan Agen Endpoint diaktifkan, kompatibel dengan sistem operasi Windows apa pun yang dimulai dari Windows 7 SP1 / Windows Server 2008 R2 dan menempati tidak lebih dari 2 GB ruang disk. Untuk pengoperasian penuhnya, prosesor inti tunggal dengan kecepatan clock 1,4 GHz dan RAM 1 GB (x86), 2 GB (x64) sudah cukup.
Persyaratan sistem untuk komputer tempat solusi akan dikontrol sedikit lebih tinggi. Kita berbicara tentang server Pusat Keamanan Kaspersky lokal yang dilengkapi dengan konsol administrasi, tetapi Anda juga dapat menggunakan layanan cloud Kaspersky Security Center Cloud Console. Dalam kedua kasus tersebut, kontrol produk diakses melalui browser web. Server Pusat Keamanan Kaspersky lokal memerlukan akses ke Microsoft SQL Server atau MySQL DBMS.
Penerapan Pusat Keamanan Kaspersky dilakukan menggunakan wizard penginstalan dan tidak memakan banyak waktu. Selama penginstalan, folder dibuat untuk menyimpan paket penginstalan dan pembaruan, dan server administrasi dikonfigurasi.
Pemasangan Kaspersky Endpoint Security dengan komponen Endpoint Agent diaktifkan dilakukan secara terpusat menggunakan Protection Deployment Wizard. Selama proses instalasi, administrator diminta untuk menentukan daftar host yang dilindungi, mengunduh file instalasi, mengkonfigurasi kebijakan untuk pemberitahuan tentang peristiwa keamanan, dll. Setelah itu, sebenarnya, penerapan akan dimulai sesuai dengan opsi yang dipilih.
Cara alternatif untuk mendistribusikan Kaspersky Endpoint Security dengan komponen Endpoint Agent diaktifkan melalui jaringan dapat menggunakan kebijakan grup Windows.
Dengan dirilisnya " Kaspersky EDR for Business OPTIMAL»Perusahaan dapat menggunakan alat modern untuk mendeteksi dan menanggapi ancaman tanpa perlu berinvestasi dalam layanan keamanan informasi mereka sendiri.
Solusinya mungkin akan dilayani oleh administrator sistem pelanggan, yang kualifikasinya Kaspersky Lab telah menyiapkan pelatihan yang sesuai .