Protección para red empresarial: Kaspersky Endpoint Detection and Response (KEDR)
Kaspersky EDR es una solución de ciberseguridad para proteger los sistemas de IT corporativos. Agrega funcionalidades de detección y respuesta de endpoints (EDR) a la seguridad de IT:
- Extrae patrones de ataques elaborados de forma automática y manual a partir de eventos en muchos hosts.
- Responde a los ataques bloqueando su progreso.
- Previene ataques futuros.
Por qué EDR es necesario
No hace mucho, un ciberataque típico utilizaría malware masivo. Tendría como objetivo endpoints independientes y detonarían dentro de equipos individuales. Los ataques masivos de malware son automáticos, seleccionan víctimas aleatoriamente a través de correos electrónicos masivos, sitios web phishing, puntos de conexión Wi-Fi no autorizados, etc. El remedio era soluciones de protección para endpoints (EPP), que protegería a los hosts del malware masivo.
Al hacer frente a la eficaz detección basada en EPP, los atacantes cambiaron a una táctica más costosa, pero más eficaz, que consiste en lanzar ataques dirigidos contra víctimas específicas. Debido a los altos costos, los ataques dirigidos se usan generalmente contra empresas con el objetivo de obtener ganancias. Los ataques dirigidos implican un reconocimiento y están diseñados para penetrar en el sistema de IT de la víctima y evadir su protección. La cadena de ataques involucra a muchos hosts del sistema de IT.
Debido a la gran variedad de métodos y su naturaleza interactiva y dirigida por humanos, los ataques dirigidos pueden evadir la seguridad basada en EPP:
- EPP se basa en lo que ven en un endpoint único. Sin embargo, los ataques avanzados actúan en muchos hosts, realizando acciones relativamente poco sospechosas en otro endpoint. Incluso si las EPP del host detectan algunas de estas acciones, los atacantes finalmente construyen una cadena de ataques en varios hosts. Los rastros de estos ataques se dispersan sobre muchos hosts.
- Como el veredicto de EPP es automático, los atacantes pueden verificar que la EPP de la víctima u otras soluciones de seguridad automática no detectan su ataque. Los atacantes mantienen granjas completas de antimalware solo para este caso.
- Los proveedores no pueden aumentar la protección con solo hacer que las soluciones EPP entren en modo "paranoico" debido al riesgo de falsos positivos. Por lo tanto, incluso cuando se está produciendo algo ambiguo en un host que podría ser parte de una cadena de ataques, así como una acción legítima, la EPP está diseñada para no interferir.
Para abordar los ataques dirigidos, los proveedores de ciberseguridad amplían las soluciones de EPP con funciones de detección y respuesta de endpoints (EDR):
- Proporcionando una visibilidad centralizada de los eventos en muchos hosts para su correlación manual y automática
- Proporcionando datos suficientes al personal de seguridad sobre eventos
- Creando herramientas de respuesta y corrección, con las que se contrarrestan los ataques dirigidos por personas con defensa cibernética dirigida por humanos
En esencia, EDR agrega nuevas capas de protección de endpoints contra ataques avanzados.
Aportación de Kaspersky EDR a la seguridad
Kaspersky EDR añade una potente protección a una solución EPP que ya exista. El EPP se especializa en ataques masivos más simples (virus, troyanos, etc.), mientras que EDR se centra en los ataques avanzados. Con esta solución, los análisis observan la actividad del malware, así como los eventos con software legítimo en el contexto de un ataque, con lo que descubren toda la cadena de ataque.
Kaspersky EDR está completamente integrado en Kaspersky Enterprise Security EPP y puede trabajar con soluciones EPP de otros proveedores. EDR agrega lo siguiente:
- Visibilidad de eventos multihost: adición de rastros de ataque distribuidos alrededor del sistema de IT
- La detección con métodos "pesados" requiere una elevada potencia computacional que no está disponible en los endpoints de los usuarios habituales debido al posible efecto en el flujo de trabajo regular de los usuarios: preprocesamiento avanzado, sandbox, modelos de aprendizaje automático pesado, incluido el aprendizaje profundo, y otros. Los métodos "pesados" proporcionan una detección de mejor calidad
- Herramientas de expertos para la investigación de incidentes, búsqueda proactiva de amenazas y respuesta a ataques
Diseño de Kaspersky EDR
Elementos
- Sensor de endpoint: integrado en Kaspersky Endpoint Security en un solo agente o independiente (para implementarse con otras soluciones EPP)
- Servidores en las instalaciones (almacenamiento de eventos, motor de análisis, módulo de administración; opcionalmente, un sandbox). La ubicación in situ da al cliente el control total sobre los datos de eventos
- La nube KSN o la nube privada KPSN para mejorar la detección en tiempo real y reaccionar inmediatamente a nuevas amenazas
EDR como parte de la solución de defensa y gestión de amenazas Kaspersky
Kaspersky EDR, Kaspersky Anti Targeted Attack Platform y Kaspersky Cybersecurity Service (KCS) conforman una medida adecuada de protección avanzada e inteligencia de amenazas:
- Kaspersky Anti Targeted Attack Platform agrega detección basada en red, web y correo electrónico, lo que amplía el alcance de la solución de detección de ataques dirigidos a nivel de endpoint y red.
- KCS agrega soporte de expertos para el equipo de seguridad de IT del cliente: formación, que proporciona datos de inteligencia de amenazas, administración de centros de operaciones de seguridad (SOC) por parte de Kaspersky y otras opciones.
Integración con sistemas de gestión de eventos e información de seguridad (SIEM)
Puede integrar nuestra EDR con sistemas SIEM de terceros (detectar datos exportados en formato de evento común, CEF).
Características
Agregación y visibilidad de eventos centralizados continuos. EDR agrega eventos de hosts en tiempo real:
- EDR incorpora eventos de forma continua, independientemente de su causa y comportamiento sospechoso. De este modo, EDR es más eficaz contra el malware desconocido. Podríamos diseñarlo solo para agregar eventos sospechosos o de malware y, por lo tanto, ahorrar espacio en el disco en el nodo central (ya que algunas otras soluciones EDR sí lo hacen). Sin embargo, las acciones legítimas de los atacantes con credenciales robadas no se registrarían y las nuevas amenazas no reconocidas tampoco activarán el registro.
- El nodo central EDR carga eventos transmitiendo eventos desde los hosts a su almacenamiento en el nodo central. Algunas EDR de otros proveedores almacenan eventos en los hosts. Cuando el nodo central necesita datos sobre eventos, solicita información de registro de los hosts. Este diseño ahorra espacio en el disco del nodo central, pero ralentiza la búsqueda y hace que sea dependiente de la conexión, con visibilidad del host según la disponibilidad del host en la red.
Detección automática. Kaspersky Endpoint Security detecta las amenazas visibles en el alcance de un solo host con detección heurística, de comportamiento y de nube (o con otra aplicación de host EPP). Además de esto, el EDR agrega capas de detección con un alcance de host múltiple, en función de la correlación de eventos que se alimentan de varios hosts.
Aparte de la detección basada en eventos, los agentes de host de EDR envían automáticamente objetos o partes de la memoria sospechosos al nodo central para realizar un análisis más profundo con algoritmos que no están disponibles para la potencia de cómputo host normal, que incluyen procesamiento previo, heurística y algoritmos de aprendizaje automático, sandbox, detección de nube ampliada, detección basada en el suministro de datos de amenazas de Kaspersky y reglas de detección personalizadas (YARA).
La detección manual o búsqueda de amenazas, es la búsqueda proactiva por parte de un operador para detectar rastros de ataques y amenazas. EDR permite "buscar" en todo el historial de eventos de muchos hosts, todo de forma agregada en el almacenamiento:
- Puede buscar en el almacenamiento rastros de ataques y eventos sospechosos y vincularlos para reconstruir la posible cadena de ataques. Las consultas de búsqueda en la base de datos admiten filtros compuestos (por hosts, tecnología de detección, tiempo, veredicto, nivel de gravedad, etc.).
- Puede cargar nuevos IOC en la EDR y detectar amenazas que persisten no detectadas anteriormente.
- Puede enviar manualmente objetos sospechosos para llevar a cabo un análisis más profundo mediante métodos de detección "pesados".
- Si la empresa ha habilitado el servicio KL TIP (plataforma Kaspersky Threat Intelligence), puede solicitar información sobre objetos en la base de datos de amenazas.
La respuestason acciones que un operador puede realizar cuando detecta una amenaza. Entre estas acciones se encuentran:
- Investigación de incidentes, reconstrucción de eventos en la cadena de ataque.
- Operaciones remotas en el host, que incluyen eliminación de procesos, eliminación o colocación en cuarentena de archivos, ejecución de programas y otras acciones.
- Neutralización de la amenaza detectada mediante la denegación de ejecución del objeto basada en hash.
- La reversión de cambios en hosts causados por la actividad de malware depende de la solución EPP. Por ejemplo, Kaspersky Endpoint Security deshace dichas acciones de malware.
Prevenciónrepresenta las políticas que restringen las actividades de objeto en los endpoints:
- La ejecución basada en hash no permite que las políticas impidan la ejecución de determinados archivos (PE, scripts, documentos de Office, PDF) en todo el sistema de IT, con lo que se evita que los ataques se propaguen por todo el mundo.
- Detección automática de objetos o direcciones URL en hosts anteriormente detectados en un sandbox como malware.
- Control de ejecución de aplicaciones (lista de admitidos, control de arranque, control de privilegios), políticas de acceso a la red, acceso a la unidad USB y otros dependen de la solución EPP. Kaspersky Endpoint Security EPP proporciona todas estas funciones de prevención.
Administraciónde Kaspersky EDR está basada en roles y proporciona administración del flujo de trabajo: asignación de alertas, seguimiento del estado de alertas, procesamiento de alertas de registro. Las notificaciones de correo electrónico se configuran de forma flexible según los tipos de alertas y sus combinaciones (detectar tipo, gravedad, etc.).
Caso de uso: descubrir la cadena de ataque
Los agentes de host de EDR envían eventos habitualmente al servidor de EDR interno.
- Uno de los eventos recibidos en el servidor está asociado con la ejecución de un archivo con una ocurrencia única en el sistema de IT corporativo (a juzgar por su hash). El archivo también tiene otros rasgos sospechosos.
- El servidor inicia una investigación más profunda. Descarga el archivo para realizar el análisis automatizado mediante motores analíticos de EDR. El archivo se introduce en la cola para ejecutar posteriormente los procedimientos analíticos automáticos.
- El sandbox detecta el comportamiento de los archivos como malware y alerta al operador.
- El operador inicia una investigación manual y comprueba los eventos posiblemente asociados con la infección:
a. Con las herramientas estándar de administrador, se descubre que se ha accedido a los equipos infectados desde un servidor web corporativo, que está disponible desde Internet. Encuentra archivos y procesos sospechosos que se ejecutan en el servidor, creación de archivos ejecutables sospechosos. Finalmente, busca un shell web que los atacantes cargaron a través de una vulnerabilidad en el sitio web del servidor.
b. Identifica todos los servidores de comando y control (C&C) de este ataque. - El operador responde al ataque:
a.Bloquea todos los C&CS detectados.
b.Elimina los procesos maliciosos.
c.Bloquea la ejecución de archivos de malware por sus hashes.
d.Pone en cuarentena el malware y los archivos sospechosos para investigarse posteriormente.