複雑なハッカー攻撃を実行するために、深刻なリソースと有能な専門家を引き付ける必要があった時代は過ぎ去りました。今日では、高度なマルウェアはダークネットでそれほど労力をかけずに購入でき、MaaS(Malware-as-a-service)モデルを使用してしばらくの間レンタルすることもできます。
このようなサービスの作成者は、他人のITインフラストラクチャへの不正侵入に便利なツール管理コンソールを顧客に提供するだけでなく、サービスのユーザーが「ペダルで混乱」した場合にいつでも技術サポートを提供する準備ができています。この慣行により、複雑な標的型攻撃のしきい値が最小限に抑えられ、攻撃者は通常、何かを奪うものを標的にしています。そしてもちろん、これは主に会社です。
EDRクラスソリューション
標的型攻撃の急増により、EDR(Endpoint Detection and Response)と呼ばれる特別なタイプの情報セキュリティツールが登場しました 。 EDRアクティビティは、企業ネットワークのエンドノードを保護することを目的としています。企業ネットワークは、ほとんどの場合、攻撃の入り口になります。 EDRの主なタスクは、侵入の兆候を検出し、攻撃への自動応答を生成し、脅威の規模とその発生源を迅速に判断する機能を専門家に提供し、その後のインシデントの調査のためにデータを収集することです。
EDRの機能は、このタイプのソフトウェアの機能に基づいており、詳細なイベント分析と脅威のプロアクティブな検索を実行し、繰り返しの毎日の保護タスクを自動化し、エンドポイントデバイスのヘルスモニタリングデータの集中収集を実行します。これはすべて、たとえば大企業のSOC(セキュリティオペレーションセンター)で働く情報セキュリティスペシャリストの生産性を高めるのに役立ちます 。
Kasperskyエンドポイントの検出と応答
数年前、 Kaspersky Labは、独自のKaspersky Endpoint Detection and Response(KEDR)ソリューションでEDR市場に参入しました 。これは、業界の専門家から高い評価を得ています。情報セキュリティを真剣に懸念している企業は、通常、KEDR自体、Kaspersky Anti Targeted Attack(KATA)プラットフォーム、およびManaged Detection and Response(MDR)サービスを含む包括的なソリューションの一部としてKEDRを使用します。
この組み合わせにより、サイバーセキュリティの専門家は、最も高度なタイプの最新の攻撃に効果的に対抗することができます。原則として、このようなソリューションは、独自のSOCまたは少なくとも別の小さなセキュリティ部門を持つエンタープライズレベルの組織によって利用されます。ソフトウェアとサービスに必要なライセンスのコストは非常に高いですが、たとえば全国規模の銀行について話している場合、潜在的なリスクは情報セキュリティを提供するコストよりも何倍も高くなります。
中規模ビジネスに最適なEDR
多くの場合、中堅企業は独自のSOCを維持したり、複数の専門家を雇用したりする余裕がありません。そうは言っても、彼らはもちろんEDRソリューションによって提供される可能性にも興味を持っています。特にこれらのクライアント向けに、KasperskyLabはKasperskyEDR for BusinessOPTIMAL製品をリリースしました 。
わずか6か月で、この製品は当然の人気を得ました。それはいわゆるの一部です。高度なサイバー攻撃に対抗するための高価な専用ソフトウェアを購入できない顧客向けにベンダーが開発した「最適なITセキュリティフレームワーク」。
このフレームワークには、EPP(Endpoint Protection Platform)クラスのテクノロジと基本的なEDRテクノロジを含む前述の「KasperskyEDR for Business OPTIMAL」に加えて、KasperskySandboxツールとKasperskyMDROptimumサービスも含まれています。
「KasperskyEDRforBusinessOPTIMAL」の主な機能をリストアップしましょう 。その主な機能は、エンドデバイスを監視し、新たな脅威を検出し、それらに関する情報を収集することです。
検出されたインシデントごとに、攻撃開発グラフがコンパイルされ、デバイスとそのオペレーティングシステムのアクティビティに関する情報が補足されます。この製品は、調査中に特定された、または外部ソースからダウンロードされた侵入の痕跡(IoC)を使用して、脅威または以前の攻撃の痕跡を見つけることができます。
検出された脅威に対する防御メカニズムの反応は、攻撃の性質に基づいて構成できます。ネットワークホストの分離、ファイルシステム内の感染オブジェクトの隔離または削除、オペレーティングシステム内の特定のプロセスの起動のブロックまたは禁止などです。 。
製品の機能は、他のKaspersky Lab製品(Kaspersky Security Networkクラウドサービス、Kaspersky Threat Intelligence Portal情報システム、およびKaspersky Threatsデータベース)との統合手段のおかげで大幅に拡張できます。これらのテクノロジーとサービスは、ライセンス価格(KSN)に含まれているか、無料で提供されています(OpenTIP、Kaspersky Threats)。
アーキテクチャと展開
Kaspersky EDR for Business OPTIMALを企業ネットワークに導入 する場合、大規模なコンピューティングリソースは必要ありません。すべてのエンドポイントデバイスには、エンドポイントエージェントを有効にしてKaspersky Endpoint Securityをインストールし、Windows 7 SP1 / Windows Server 2008 R2以降のWindowsオペレーティングシステムと互換性があり、2GB以下のディスク領域を占有する必要があります。本格的な動作には、クロック速度1.4 GHz、1 GB(x86)、2 GB(x64)のRAMを備えたシングルコアプロセッサで十分です。
ソリューションの制御元となるコンピューターのシステム要件はわずかに高くなります。管理コンソールを備えたローカルのKasperskySecurity Centerサーバーについて説明していますが、クラウドサービスのKaspersky Security Center CloudConsoleを使用することもできます。どちらの場合も、製品コントロールにはWebブラウザーを介してアクセスします。ローカルのKasperskySecurity Centerサーバーには、Microsoft SQLServerまたはMySQLDBMSへのアクセスが必要です。
Kaspersky Security Centerの展開は、インストールウィザードを使用して実行され、それほど時間はかかりません。インストール中に、インストールパッケージと更新プログラムを格納するフォルダーが作成され、管理サーバーが構成されます。
EndpointAgentコンポーネントを有効にしたKasperskyEndpoint Securityのインストールは、Protection DeploymentWizardを使用して一元的に実行されます。インストールプロセス中に、管理者は保護されたホストのリストの定義、インストールファイルのダウンロード、セキュリティイベントに関する通知のポリシーの構成などを求められます。その後、実際には、選択したオプションに従って展開が開始されます。
ネットワーク上でエンドポイントエージェントコンポーネントを有効にしてKasperskyEndpoint Securityを配布する別の方法は、Windowsグループポリシーを使用することです。
「KasperskyEDRforBusinessOPTIMAL」のリリースに伴い »企業は、自社の情報セキュリティサービスに投資することなく、脅威を検出して対応するための最新のツールを使用することができました。
このソリューションは、KasperskyLabが適切なトレーニングを準備した資格を持つ顧客のシステム管理者によってサービスされる可能性があります 。