Sản phẩm

Trang chủ / Sản phẩm / Giải Pháp Chống Tấn Công APT – KATA / EDR – Kaspersky

Giải Pháp Chống Tấn Công APT – KATA / EDR – Kaspersky

Giải pháp chống tấn công APT của Kaspersky cung cấp các giải pháp bảo vệ vượt trội, trang bị các công cụ, công nghệ tiên tiến nhất. Công nghệ cho phép giảm thiểu rủi ro, ngăn chặn các cuộc tấn công. Mục tiêu của dự án là phát triển chiến lược toàn diện tại địa điểm khách hàng nhằm giảm thiểu rủi ro của các cuộc tấn công có chủ đích và các mối đe dọa tiên tiến.

Giải Pháp Chống Tấn Công APT – KATA / EDR

 

1. Tổng quan của giải pháp

Trong khi phần lớn các mối đe dọa trực tuyến đơn giản có thể bị chặn bởi các sản phẩm bảo mật truyền thống, dựa trên signature và tăng cường heuristic, thì ngày nay, tội phạm mạng và tin tặc đang sử dụng các cuộc tấn công ngày càng tinh vi – để nhắm vào các doanh nghiệp. Các cuộc tấn công có chủ đích – bao gồm các mối đe dọa liên tục nâng cao (APT) – hiện là một trong những rủi ro nguy hiểm nhất mà các doanh nghiệp phải đối phó. Tuy nhiên, trong khi các mối đe dọa và các kỹ thuật mà tội phạm mạng và tin tặc sử dụng – liên tục phát triển, nhiều doanh nghiệp không thể điều chỉnh các chiến lược bảo mật của họ.

Để duy trì một chiến lược an ninh hiệu quả chống lại những hiểm họa tiên tiến và tấn công có chủ đích, các công ty phải suy nghĩ theo dạng chu kỳ thích nghi vĩnh viễn: phòng ngừa, tìm kiếm, phản ứng và dự đoán. Đây là những trụ cột quan trọng nhất của an ninh mạng, và cũng là cách tiếp cận được chứng minh thực sự chống lại những mối đe dọa thế hệ mới. Hệ thống an ninh của phòng thí nghiệm Kasperky Lab cung cấp cho các tổ chức khả năng duy trì hệ thống an ninh mạng trong mỗi giai đoạn của chu kỳ thích nghi vĩnh viễn như sau:

  • Ngăn chặn – giảm nguy cơ các mối đe dọa tiên tiến và các cuộc tấn công có chủ đích
  • Phát hiện – xác định các hoạt động có thể báo hiệu một cuộc tấn công có chủ đích
  • Phản ứng – làm đầy các khoảng cách an ninh và điều tra các cuộc tấn công
  • Dự đoán – nơi các cuộc tấn công có chủ đích mới có thể xuất hiện

KATA-EDR

Giải pháp Kaspersky Anti Targeted Attack cung cấp khả năng bảo vệ cơ sở hạ tầng chống lại các mối đe dọa và tấn công có mục tiêu (chủ đích). Giải pháp được lựa chọn và một tập hợp các dịch vụ tình báo sẽ là cơ sở để xây dựng một chiến lược toàn diện để chống lại các mối đe dọa với một giải pháp duy nhất trong phát hiện tấn công APT (Tấn công có chủ đích)

2. Giải pháp chống tấn công APT của Kaspersky

Giải pháp chống tấn công APT của Kaspersky cung cấp các giải pháp bảo vệ vượt trội, trang bị các công cụ, công nghệ tiên tiến nhất. Công nghệ cho phép giảm thiểu rủi ro, ngăn chặn các cuộc tấn công Mục tiêu của dự án là phát triển chiến lược toàn diện tại địa điểm khách hàng nhằm giảm thiểu rủi ro của các cuộc tấn công có chủ đích và các mối đe dọa tiên tiến.

Giải pháp sẽ bao gồm các giải pháp và dịch vụ khác nhau được tích hợp trong một phạm vi công việc duy nhất:

Giải pháp:

  • Giải pháp chống APT chuyên dụng để phát hiện các mối đe dọa tinh vi đa tầng – Nền tảng chống tấn công có chủ đích KATA (Kaspersky Anti Targeted Attack) của Kaspersky
  • Giải pháp tự động điều tra và phản ứng sự cố dựa trên agent tích hợp – Phát hiện và phản hồi điểm cuối KEDR (Kaspersky Endpoint Detection and Response) của Kaspersky
  • Cơ sở dữ liệu thống kê mối đe dọa và uy tín – Mạng riêng tư bảo mật KPSN (Kaspersky Private Security Network) của Kaspersky

Dịch vụ:

Đào tạo KATA:

  • Đào tạo tại chỗ 2 ngày cho Quản trị viên hệ thống CNTT
  • Hội thảo 1 ngày tại chỗ dành cho Chuyên gia phân tích bảo mật (nhóm SOC)
  • Đào tạo tại chỗ 5 ngày cho nhóm Điều tra và Phản ứng sự cố

Ứng phó sự cố:

  • Gói đăng ký phản hồi sự cố từ xa
  • Gói đăng ký phản hồi sự cố tại chỗ

Cơ sở dữ liệu tình báo Threat Intelligence để điều tra:

  • Cổng tra cứu mối đe dọa của Kaspersky (Kaspersky Threat Lookup)

Truy tìm mối đe dọa (Threat Hunting):

  • Quản lý bảo vệ của Kaspersky (Kaspersky Managed Protection)
  • Hỗ trợ:
  • Hỗ trợ kỹ thuật cao cấp 24/7 – MSA
  • Trình quản lý tài khoản bảo mật chuyên dụng – SAM
  • Dịch vụ chuyên nghiệp để triển khai, nâng cấp phát hành giải pháp trong tương lai và tinh chỉnh

KATA-EDR

2.1. Cơ sở cải tiến

Sự phát triển trong tương lai của dự án có thể được lên kế hoạch trong những năm tiếp theo, thêm các thành phần chi tiết hàng năm, với cách tiếp cận linh hoạt theo sự phát triển của dự án. Các thành phần có thể có của Chiến lược bảo mật thích ứng Kaspersky được tích hợp đầy đủ có thể bao gồm:

Ngăn chặn:

  • Giải pháp bảo vệ điểm cuối được quản lý tập trung (Kaspersky Endpoint Security for Business) có thể được tích hợp với nền tảng được cài đặt trong giai đoạn 1 của dự án và có thể bảo vệ: Máy khách Windows và máy chủ, Linux, Mac, iOS, Android, Hệ điều hành nhúng
  • Các giải pháp Mail Antivirus và Antispam có thể được tích hợp với nền tảng thông qua Cổng bảo mật của Kaspersky (cung cấp khả năng phòng ngừa cho các phát hiện KATA)
  • Bảo vệ cơ sở hạ tầng ảo có thể được tích hợp với nền tảng, hỗ trợ kiến ​​trúc sau: VMware, NSX, Microsoft Hyper-V, Citrix Xen Server và KVM.
  • Bảo mật cho Storages, hỗ trợ các kiến ​​trúc sau: IBM, Oracle, Netapp, DELL, EMC, HP, Hitachi.
  • Nền tảng nâng cao nhận thức bảo mật cho nhân viên không không thuộc lĩnh vực bảo mật và nhân viên hỗ trợ CNTT (IT Service Desk)
  • Nền tảng nâng cao nhận thức bảo mật cho nhân viên không không thuộc lĩnh vực bảo mật và nhân viên hỗ trợ CNTT
  • Các khóa đào tạo cấp 2 nên được lên lịch hai lần một năm để duy trì cập nhật cho nhân viên an ninh về các mối đe dọa và kỹ thuật mới nhất đồng thời đào tạo các nhân viên mới của bộ phận an ninh.

Phát hiện:

  • Cải tiến KATA:
  • Cảm biến bổ sung lắp đặt cho các văn phòng từ xa (mạng, email, web proxy)
  • Khả năng cài đặt thêm các máy chủ Sandbox để tăng số đối tượng quét mỗi ngày
  • Nền tảng Deception Threat để phát hiện kẻ tấn công và người trong tổ chức
  • Threat Data Feeds điều chỉnh cho các hệ thống SIEM hoặc giải pháp bên thứ 3 khác
  • Báo cáo mối đe dọa cụ thể theo quốc gia / khách hàng

Phản hồi:

  • Điều chỉnh phát hiện KATA với các tính năng EDR (Phát hiện và phản hồi điểm cuối) thông qua tác nhân duy nhất được tích hợp với nền tảng KESB hoặc một tác nhân độc lập tương thích với Giải pháp Enpoint Protection của bên thứ 3
  • Phân tích phần mềm độc hại, Dịch vụ phản ứng pháp y (Digital Forensic) và sự cố kỹ thuật số được cung cấp trực tiếp bởi các chuyên gia của Kaspersky Lab, sử dụng nền tảng hiện có
  • Việc đào tạo cấp 3 nên được lên kế hoạch cho một nhóm nhân viên bảo mật có trình độ chuyên môn cao hơn
  • Đào tạo YARA cho các nhà nghiên cứu bảo mật về việc triển khai YARA

Dự đoán:

  • Kiểm tra thâm nhập để thực hiện tìm kiếm chủ động các điểm yếu và tài sản dễ bị tổn thương
  • Đánh giá bảo mật ứng dụng cho cơ sở hạ tầng CNTT quan trọng (bao gồm PLC, thiết bị GSM, ATM, v.v.)
  • Kiểm tra toàn bộ cơ sở hạ tầng và hoạt động chung về xây dựng trung tâm pháp y
  • Cổng tra cứu hiểm họa (Threat Lookup portal) cho các chuyên gia về an ninh mạng liên quan đến phân tích phần mềm độc hại, điều tra sự cố và quy trình nghiên cứu mối đe dọa
  • Cổng thông tin APT, bao gồm các báo cáo APT đầy đủ (hơn 200+), các quy tắc IOC và Yara có thể được tích hợp trong hệ thống cốt lõi được cài đặt trên tiền đề trong giai đoạn đầu tiên của dự án hoặc giải pháp bên thứ 3 khác

KATA-EDR

3. Mô tả giải pháp an ninh

Mục tiêu của dự án này là tạo ra một cơ sở hạ tầng bảo mật cho các cuộc tấn công có chủ đích và phát hiện các mối đe dọa tiên tiến, cung cấp hướng dẫn phản ứng vận hành và cho phép các thủ tục điều tra và khắc phục bằng các công cụ tự động hóa. Mục tiêu của dự án này – tạo ra một hệ thống phát hiện nhanh các mối đe dọa tiên tiến và các cuộc tấn công có chủ đích, nhằm mục đích giảm đáng kể thời gian nhận thông tin chính về các sự cố của các cuộc tấn công có chủ đích và các mối đe dọa tiên tiến.

Mục tiêu chính là:

  • Phát triển chiến lược bảo mật doanh nghiệp dài hạn chống lại các mối đe dọa tinh vi, mới và các vectơ tấn công sắp tới
  • Trao quyền cho các quy trình bảo mật của công ty và khả năng SOC với Threat Intelligence and Security Analytics
  • Giảm thiệt hại tài chính và hoạt động do tội phạm mạng gây ra
  • Giảm thiểu thời gian để khám phá sự thật về sự thỏa hiệp mạng doanh nghiệp
  • Giảm thiểu sự gián đoạn đối với các quy trình quan trọng trong kinh doanh với các hoạt động trái phép và tội phạm mạng
  • Tránh các hành động pháp lý tốn kém và các vấn đề pháp lý hoặc tuân thủ
  • Bảo vệ cơ sở hạ tầng của công ty khỏi thiệt hại lén lút lâu dài
  • Tránh chi phí khắc phục (như đào tạo bổ sung, nhân sự, hệ thống cứng lại sau sự cố an ninh thành công)
  • Tăng mức độ bảo mật thông tin chung theo các mức độ đe dọa tiên tiến thực tế mà không cần thay thế các giải pháp bảo mật đã có và thiết kế lại cơ sở hạ tầng CNTT

3.1 Kaspersky Anti Targeted Attack (KATA) platform

Nền tảng chống tấn công có chủ đích của Kaspersky là một phần của cách tiếp cận tích hợp, thích ứng với bảo mật doanh nghiệp. Giám sát lưu lượng mạng theo thời gian thực – kết hợp với phân tích hành vi và sandbox đối tượng – mang đến cái nhìn chi tiết về những gì đang xảy ra trên cơ sở hạ tầng CNTT của doanh nghiệp. Bằng cách tương quan các sự kiện từ nhiều lớp – bao gồm mạng, điểm cuối và bối cảnh mối đe dọa toàn cầu (Threat landscape) – Nền tảng chống tấn công có chủ đích của Kaspersky cung cấp khả năng phát hiện các mối đe dọa phức tạp ‘gần thời gian thực’ và giúp cho phép điều tra hồi cứu.

Nền tảng chống tấn công có chủ đích của Kaspersky sử dụng phát hiện mối đe dọa nhiều lớp được gọi là phát hiện nâng cao – bao gồm đánh giá chi tiết về hoạt động xảy ra trên mạng doanh nghiệp – để giúp bảo vệ doanh nghiệp chống lại các cuộc tấn công tinh vi nhất. Phát hiện nâng cao được tăng cường hơn nữa bằng cách phát hiện máy chủ liên quan đến tấn công nhắm mục tiêu, sử dụng cơ sở dữ liệu được cập nhật liên tục của máy chủ chỉ huy và kiểm soát hoạt động (C&C Server), trang web độc hại và điểm phân phối phần mềm độc hại, dựa trên trí thông minh mới nhất từ ​​nhóm GReAT của Kaspersky Lab, cho phép phát hiện ngay cả các mối đe dọa mới nhất.

KATA-EDR

3.1.1        KATA components description

Nền tảng chống tấn công có chủ đích của Kaspersky (Kaspersky Anti Targeted Attack Platform) kết hợp phân tích động dựa trên sandbox và khả năng học máy tiên tiến để cung cấp bảo vệ chống lại nhiều mối đe dọa. Nền tảng này bao gồm:

  • Kiến trúc cảm biến đa lớp – để cung cấp cho bạn tất cả khả năng hiển thị ‘ vòng tròn ‘: Thông qua sự kết hợp đầy đủ của dữ liệu mạng, web & email, và cảm biến điểm cuối (endpoint sensor), Kaspersky Anti Targeted Attack Platform cung cấp phát hiện nâng cao ở mọi cấp cơ sở hạ tầng CNTT doanh nghiệp của bạn
  • Động cơ phân tích mạnh mẽ – cho các phán quyết nhanh chóng và ít dương tính giả (False positives): Kaspersky Targeted Attack Analyzer đánh số liệu từ cảm biến mạng, cảm biến điểm cuối và nhanh chóng tạo ra các quyết định phát hiện mối đe dọa cho nhóm bảo mật của tổ chức.
  • Advanced sandbox – để đánh giá các mối đe dọa mới: Kết quả từ hơn 10 năm phát triển liên tục, Advanced sandbox của Kaspersky cung cấp một môi trường bị cô lập, ảo hóa nơi các đối tượng đáng ngờ có thể được thực hiện một cách an toàn – vì vậy hành vi của chúng có thể được quan sát
  • Thông tin tình báo mối đe dọa toàn cầu (Global Threat Intelligence) giải pháp hàng đầu về phân tích dữ liệu lớn (Big Data) trong điện toán an ninh mạng đám mây của Kaspersky (Kaspersky Security Network cloud)

KATA-EDR

3.1.2        KATA sensors

  • Giải pháp có các cảm biến linh hoạt cho phép không chỉ tích hợp riêng với các loại lưu lượng khác nhau mà còn thực hiện cả ba loại phân tích (lưu lượng mirrored, mail và web proxy) trên cùng một máy chủ vật lý cho cảm biến
  • Công nghệ cảm biến mạng (network sensor) có thể phát hiện lưu lượng đáng ngờ và tạo cảnh báo
  • Cảm biến mạng có thể phát hiện giao tiếp với URL đáng ngờ và độc hại
  • Cảm biến mạng phân tích loại đối tượng để chỉ cung cấp khả năng áp dụng cho các tệp tấn công vào các công cụ phát hiện
  • Công nghệ cảm biến có thể hỗ trợ tối đa thông lượng lên tới 2 Gb / giây
  • Công nghệ cảm biến có thể xác định các chỉ số tấn công trong các mẫu lưu lượng truy cập mạng trong thời gian thực và thực hiện phát hiện phần mềm độc hại lén lút xâm nhập vào mạng thông qua tải xuống ổ đĩa hoặc các cuộc tấn công HTTP nhắm mục tiêu khác khai thác lỗ hổng hoặc truyền ra Internet.
  • Công nghệ cảm biến có khả năng phân tích và xử lý dữ liệu .pcap của khách hàng. Công nghệ cho phép nhóm bảo mật tải lên dữ liệu .pcap được thu thập từ các nguồn bên ngoài và phát hiện các chỉ số cũng như cảnh báo về các mối đe dọa.
  • Công nghệ cảm biến có thể lưu trữ lưu lượng mạng để phân tích pháp y mạng (network forensic analysis).
  • Công nghệ cảm biến thư (email sensor) có thể hỗ trợ thông lượng lên tới 2 Gb / giây
  • Cảm biến mạng không ảnh hưởng đến tương tác của người dùng
  • Sensors các cảm biến mạng có thể cung cấp lưu trữ lưu trữ từ email
  • Các cảm biến có thể thực hiện việc lọc ra SMTP gốc từ SPAN sensors.
  • Các cảm biến mạng có thể thực hiện các khả năng ngăn chặn email thông qua triển khai lược đồ MTA sensors.
  • Các cảm biến mạng có thể thực hiện phân tích URL từ lưu lượng email

3.1.3        KATA sandbox

  • Công nghệ sandboxing hỗ trợ khả năng mở rộng linh hoạt với các tùy chọn phân cụm
  • Tất cả các tệp nhận được bởi giải pháp để phân tích thì bắt buộc phải được thực thi trong Sandbox.
  • Sandbox không phải là công nghệ OEM
  • Cung cấp khả năng xác định các phần mở rộng tệp đã bị thay đổi.
  • Giải pháp Sandbox hỗ trợ xử lý phần mềm độc hại với chế độ người dùng 32-bit và 64-bit và kernel-land
  • Giải pháp Sandbox có khả năng phân tích các tệp .exe, dll, MS office, .pdf và flash
  • Giải pháp Sandbox có khả năng giám sát lưu lượng mạng được tạo bởi mẫu
  • Giải pháp Sandbox cung cấp khả năng xử lý bộ nhớ cho phân tích pháp y (forensic)
  • Giải pháp Sandbox cung cấp khả năng giám sát các nỗ lực được sử dụng bởi phần mềm độc hại để trốn tránh (né tránh Sandbox).
  • Giải pháp Sandbox cung cấp ảnh chụp màn hình hoạt động mẫu trong máy ảo (VM-virtual machine)
  • Giải pháp Sandbox cung cấp thêm kênh truyền thông cho phép các mẫu tải xuống mô-đun và thực hiện tương tác thực với các miền bên ngoài (kênh bẩn)
  • Lưu trữ được mã hóa và bảo vệ bằng mật khẩu trong lưu lượng truy cập mạng được trích xuất và nội dung của chúng được “kích nổ” trong Sandbox
  • Liên kết web nguy hiểm trong thông điệp email được điều tra kỹ lưỡng. Các đối tượng được tải xuống qua địa chỉ này được “kích nổ” và kiểm tra với môi trường Sandbox để có thể xem xét kỹ lưỡng.

 

3.1.4        Công cụ quản lý và điều khiển tương quan sự kiện trung tâm KATA

  • Hỗ trợ phát hiện phần mềm độc hại không xác định trong thời gian thực, bao gồm cả việc sử dụng Quy tắc tĩnh tùy chỉnh (YARA) do bên thứ 3 cung cấp
  • Giải pháp tương quan tập trung (central correlation) có khả năng xác thực chứng chỉ
  • Giải pháp tương quan tập trung cung cấp phân tích bắt buộc tất cả các tệp nhận được bởi tất cả các công cụ hiện hành
  • Công nghệ cung cấp Bảng điều khiển quản lý tập trung (Centralized Management Console).
  • Nhiều cảm biến có thể được tích hợp trong một bảng điều khiển quản lý duy nhất
  • Tất cả các sự kiện được ghi lại và giữ lại trong một khoảng thời gian được xác định tùy thuộc vào chi tiết và thông tin được lưu trữ trong Data Base (tức là đã bắt .pcap).
  • Có thể tích hợp với các giải pháp SIEM của bên thứ ba
  • Bảng điều khiển quản lý tập trung được trình bày dưới dạng giao diện web với bảng điều khiển có thể tùy chỉnh:
  • Sức khỏe và hoạt động của các thành phần, độ dài hàng đợi và hiệu suất
  • Đối với các sự kiện đã đăng ký, trạng thái và công nghệ được sử dụng để đưa ra phán quyết, phân công sự cố
  • Danh sách hàng đầu về IP, tên miền, email liên quan đến sự cố
  • Tất cả thông tin có giá trị từ bảng điều khiển có thể được cung cấp dưới dạng báo cáo có thể tải xuống để cung cấp tổng quan về sức khỏe hệ thống và kết quả tổng thể của công việc
  • Quy tắc tùy chỉnh linh hoạt (theo công nghệ chịu trách nhiệm về phán quyết, mức độ nghiêm trọng, v.v.) cho phép chỉ cung cấp thông tin có liên quan cho từng tài khoản email nhất định
  • Danh sách trắng có thể tùy chỉnh cho người dùng, tên miền, URL, IP, tệp, v.v …
  • Hệ thống quan trọng và nhân viên gắn thẻ VIP – cho phép phân tích ưu tiên
  • Kiểm soát truy cập dựa trên vai trò để cho phép phân tách nhiệm vụ theo cấp độ truy cập và lưu giữ dữ liệu nhạy cảm của công ty, như thông tin nhận dạng cá nhân (PII), thông tin cá nhân nhạy cảm (SPI) và nội dung liên lạc
  • Liên kết web nguy hiểm trong email tin nhắn được điều tra kỹ lưỡng. URL được kiểm tra bằng dịch vụ danh tiếng URL toàn cầu.

3.1.5        Công cụ phân tích hành vi mạng học máy KATA

  • Tự động thu thập thông tin và xây dựng hành vi bình thường
  • Xác định độ lệch hành vi của người dùng và quy trình trong các điểm cuối (endpoint)
  • Xác định độ lệch truy cập vào tên miền đáng ngờ sử dụng mô hình kết nối bình thường như một đường cơ sở (baseline)
  • Dữ liệu truyền thông mạng và các đối tượng được lưu trữ và đóng hộp định kỳ bởi máy học công cụ. Ví dụ: ngay cả khi sự cố thoát khỏi phát hiện ngày hôm kia, nó sẽ được phát hiện ngày hôm nay với thông tin Cập Nhật từ Global Threat Cloud
  • Thực hiện xác nhận “kích nổ” thông qua các cảm biến điểm cuối trên các mẫu phát hiện như “xấu” trong sandbox
  • Tăng cường kết nối với mỗi sự kiện tương quan khác vào vụ việc vĩ mô

3.1.6        KATA Endpoint Sensors

  • Các Host Agent được tích hợp sẵn trong Kaspersky Endpoint Security (hệ điều hành Windows) – Chỉ cần bật lên (turn on) là có thể hoạt động
  • Các Host Agent cho phép giám sát liên tục & ghi âm mạng (Network recording), quá trình – và các hoạt động liên quan đến tài khoản trên máy trạm/laptop và Servers
  • Các Host Agent có thể thực hiện tất cả các thu thập dữ liệu cần thiết để đánh giá phạm vi của một cuộc tấn công
  • Các Agent chạy trực tiếp trên máy tính bị nghi ngờ với tương tác người dùng tối thiểu.
  • Nó phát hiện các bằng chứng tiềm năng để xác định xem điều tra thêm là cần thiết hay không (tức là kiểm tra những gì các ứng dụng được cài đặt, chụp một danh sách các tiến trình đang chạy, giám sát lưu lượng truy cập mạng, vv).
  • Khả năng thu thập một tập hợp con dữ liệu (cần thiết cho giải pháp) từ một máy tính qua mạng, theo cách thức pháp y, mà không cần phải hình ảnh toàn bộ ổ cứng
  • Khả năng phân tích một máy tính mà không làm gián đoạn việc sử dụng nó (không cần khởi động lại) hoặc phải offline thiết bị
  • Khả năng để có được dữ liệu trong chế độ ẩn (ví dụ như Agent ẩn và hạn chế hiệu suất tác động trên máy mục tiêu)
  • Endpoint Sensor hoạt động như một phần của giải pháp bảo mật điểm cuối- Endpoint Protection

KATA-EDR

3.1.7        Threat Intelligence Cloud Global-Kaspersky an ninh mạng (KSN)

  • Cơ sở hạ tầng phân phối phức tạp dành riêng cho việc xử lý các luồng dữ liệu liên quan đến an ninh mạng từ hàng triệu người tham gia tự nguyện trên toàn thế giới
  • Cung cấp thông tin bảo mật của Kaspersky Lab cho mọi đối tác hoặc khách hàng được kết nối với Internet, đảm bảo thời gian phản ứng nhanh nhất, tốc độ dương tính giả thấp và duy trì mức bảo vệ cao nhất
  • Các phán quyết phát hiện của giải pháp có thể được tự động chia sẻ với giải pháp chống vi-rút điểm cuối tại nơi làm việc
  • Cơ sở dữ liệu uy tín toàn cầu cung cấp giải pháp với tất cả các thông tin cần thiết và kết hợp thông tin về các mối đe dọa của doanh nghiệp tổ chức (B2B) và về các cuộc tấn công vào người dùng riêng lẻ (B2C)

3.2        Kaspersky Endpoint Detection and Response

Để giải quyết các vấn đề cấp bách của các mối đe dọa nâng cao và các cuộc tấn công có chủ đích (APT) một lớp chuyên dụng của các giải pháp bảo mật gọi là EDR là cần thiết để tăng tốc độ phân tích sự cố và phản hồi. Kaspersky Lab giới thiệu Kaspersky Endpoint Detection and Response với giảm thiểu sự cố nâng cao, tầm nhìn tốt hơn các điểm cuối (endpoint), khả năng tương thích với các sản phẩm bảo vệ điểm cuối truyền thống và khả năng điều tra cho các nhóm bảo mật và SOC (Trung tâm An ninh bảo mật). Kaspersky Endpoint Detection and Response được tích hợp hoàn toàn với Nền tảng chống tấn công có chủ đích của Kaspersky – không cần thiết phải đầu tư phần cứng và thiết bị bổ sung để đạt được cùng chức năng.

Điểm chính của giải pháp phát hiện và phản hồi sự cố điểm cuối của Kaspersky – Kaspersky Endpoint Detection and Response

  • Adaptive Threat Response: Kaspersky EDR bao gồm một loạt các phản ứng tự động giúp các doanh nghiệp để tránh việc sử dụng các quá trình khắc phục bằng tay truyền thống – chẳng hạn như wiping và reimaging – điều đó có thể dẫn tới tăng thời gian chết, đắt tiền và mất năng suất
  • Proactive Threat Hunting: cung cấp tìm kiếm nhanh chóng, sử dụng một cơ sở dữ liệu tập trung – cộng với các chỉ số thỏa hiệp (IoC) – Kaspersky EDR có thể triệt để thay đổi quy trình bảo mật. Thay vì phải chờ cảnh báo, nhóm bảo mật của tổ chức có thể chủ động tìm kiếm các mối đe dọa – bằng cách chủ động quét các điểm cuối để phát tại chỗ bất thường và vi phạm bảo mật.
  • Human intuitive web-interface: Kaspersky EDR và KATA dễ sử dụng, giao diện dựa trên trình duyệt cung cấp cho nhân viên bảo mật thống nhất khả năng hiển thị và kiểm soát: phát hiện, điều tra, ngăn chặn, báo cáo và cảnh báo. Bởi vì một phạm vi rộng lớn của các chức năng có thể được theo dõi và kiểm soát qua một giao diện duy nhất, nhóm bảo mật có thể thực hiện nhiệm vụ bảo mật hiệu quả hơn – mà không cần phải chuyển giữa các công cụ riêng biệt và nhiều giao diện quản trị.

Các trường hợp sử dụng Kaspersky Endpoint Detection và Response

  • Tìm kiếm chủ động cho các bằng chứng về xâm nhập – bao gồm cả các chỉ số của thỏa hiệp (IoC) – trên toàn bộ mạng lưới… theo thời gian thực
  • Phát hiện nhanh chóng và khắc phục sự xâm nhập – trước khi kẻ truy nhập trái phép có thể gây ra thiệt hại lớn và làm gián đoạn hệ thống.
  • Tích hợp với SIEM – để giúp tương quan cảnh báo cộng với hoạt động tại điểm cuối… trong thời gian thực
  • Xác nhận các cảnh báo và sự cố tiềm năng được phát hiện bởi các giải pháp bảo mật khác
  • Điều tra nhanh và quản lý tập trung các sự cố – trên hàng nghìn điểm cuối – với quy trình làm việc liền mạch
  • Tự động hóa các hoạt động thường xuyên – để giúp giảm thiểu các nhiệm vụ thủ công, miễn phí tài nguyên và giảm khả năng ‘ cảnh báo quá tải ‘.

Lợi ích chính của Kaspersky Endpoint Detection và Response

Kaspersky Endpoint Detection and Response (KEDR) là một sản phẩm điều tra và phản hồi dựa trên Agent cung cấp cho các nhóm bảo mật và Trung tâm hoạt động an ninh (SOCs):

  • Agent thống nhất để bảo vệ điểm cuối và khả năng điều tra và phản hồi nâng cao
  • EDR Agent Độc lập tương thích với các giải pháp Endpoint Protection của bên thứ 3.
  • Cải thiện khả năng hiển thị của các điểm cuối, bao gồm trực quan hóa các sự kiện đã đăng
  • Nâng cao khả năng phát hiện mối đe dọa nền tảng KATA
  • Phòng chống cưỡng bức ở mức điểm cuối
  • Thu thập tập trung và tập hợp dữ liệu Forensics
  • Tìm kiếm nâng cao trực quan cho các chỉ số thỏa hiệp (IOCs) và các ứng dụng mô hình hành vi trên các điểm cuối và trong cơ sở dữ liệu tổng hợp của sự kiện thu thập
  • Đáp ứng sự cố tự động và bộ công cụ khắc phục.

Lợi ích kinh doanh của Kaspersky Endpoint Detection và Response

Giảm chi phí:

  • Tự động hóa các tác vụ thủ công – trong khi phát hiện mối đe dọa và phản hồi
  • Giúp tăng tốc độ ngăn chặn mối đe dọa – để tiết kiệm tiền và tài nguyên
  • Nền tảng đơn giúp giảm thiểu đầu tư vào phần cứng và thiết bị
  • Giải phóng CNTT và nhân viên an ninh cho các nhiệm vụ khác
  • Giúp giảm thiểu gián đoạn kinh doanh – trong khi điều tra

Tăng tốc lợi tức đầu tư

  • Cho phép quy trình làm việc hiệu quả
  • Giảm thời gian để xác định và phản hồi các mối đe dọa
  • Giúp cho phép tuân thủ – (PCI DSS và nhiều hơn nữa) – bằng việc thực thi các bản ghi điểm cuối, đánh giá cảnh báo và tài liệu về kết quả điều tra.

Giảm thiểu rủi ro tấn công

  • Giúp loại bỏ khoảng trống bảo mật và giảm thời gian tấn công.
  • Đơn giản hóa phân tích mối đe dọa và phản ứng sự cố
  • Trao quyền cho bảo mật hiện có với các mối đe dọa xác nhận

3.3        Yêu cầu phần cứng KATA / KEDR

Nền tảng chống tấn công có chủ đích – KATA và EDR chia sẻ một cơ sở phần cứng duy nhất.

Trong dự án, Kaspersky sẽ triển khai cấu hình cơ bản của hai máy chủ. Máy chủ đầu tiên kết hợp vai trò của Nút trung tâm và cảm biến, máy chủ thứ hai thực hiện vai trò Sandbox.

KATA-EDR

SERVER 1: SANDBOX: suggested HW: ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________
SERVER 2: Central Node + Sensor: suggested HW: ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3.4        Kaspersky Private Security Network (KPSN)

Kaspersky Private Security Network là bản sao riêng của Mạng bảo mật Kaspersky cung cấp quyền truy cập vào cơ sở kiến ​​thức trực tuyến của Kaspersky Lab với các thông tin sau:

  • Danh tiếng của tệp, trang web và ứng dụng
  • Danh mục tệp, trang web và các ứng dụng (ví dụ: tệp hệ điều hành, trò chơi máy tính, trang web nội dung dành cho người lớn)
  • Tần suất phát hiện tệp ở tất cả các quốc gia trên thế giới và địa lý phân phối tệp
  • Thống kê về cách các tệp và trang web được người dùng ứng dụng Kaspersky Lab tin tưởng trên toàn thế giới (Kaspersky Application Advisor)
  • Gợi lại bởi các nhà phân tích của Kaspersky Lab AV về các chữ ký vi rút riêng lẻ trong cơ sở dữ liệu cục bộ của các ứng dụng chống vi-rút (ví dụ: một bản án đã thay đổi từ Hồi phục nguy hiểm thành một đối tượng cụ thể)
  • Tạo cơ sở dữ liệu danh sách trắng và danh sách đen với các bản ghi riêng tư cho các tệp và URL

 

Trí thông minh các mối đe dọa thời gian thực – trí thông minh các mối đe dọa toàn cầu từ Kaspersky Lab cung cấp tất cả thông tin cần thiết – trong thời gian thực – để giảm thiểu sự cố bảo mật hàng ngày và điều tra các cuộc tấn công tiềm năng

 

Rapid Threat Detection – các giải pháp bảo mật tiêu chuẩn mất tới bốn giờ để phát hiện và chặn phần mềm độc hại mới. Kaspersky Private Security Network mất khoảng 40 giây – và không có một dữ liệu nào rời khỏi mạng cục bộ của bạn.

 

Kaspersky Private Security Network có thể được cài đặt trong trung tâm dữ liệu của tổ chức; các chuyên gia CNTT trong tổ chức giữ quyền kiểm soát hoàn toàn đối với nó. Tổ chức giữ tất cả các lợi ích của bảo mật được hỗ trợ bởi đám mây mà không ảnh hưởng đến quyền riêng tư.

KATA-EDR

3.4.1        Lợi ích của KPSN

  • Trao quyền phát hiện tối ưu của các đối tượng độc hại
  • Truy cập thời gian thực đến mối đe dọa và uy tín thống kê
  • Chống đối sự lây lan của phần mềm độc hại
  • Giảm rủi ro và giảm thiểu thiệt hại từ sự cố an ninh mạng
  • Giảm nguy cơ dương tính giả
  • Cho phép bổ sung “phán quyết” về phần mềm độc hai của các khách hàng để tùy chỉnh bảo mật
  • Hỗ trợ tuân thủ đầy đủ các yêu cầu quy định về bảo mật của các mạng bị cô lập
  • Bản ghi được thêm tùy chỉnh cho các phán quyết cục bộ – có thể liệt kê danh sách trắng và các tệp trong danh sách đen và URL trong mạng cục bộ của bạn.

3.4.2        Yêu cầu phần cứng KPSN

Trong dự án, Kaspersky sẽ triển khai cấu hình cơ bản của ba máy chủ cho KPSN. Máy chủ đầu tiên cho các dịch vụ chung và máy chủ thứ hai cho vai trò dịch vụ KATA / KEDR.

SERVER 1: Danh tiếng tệp, danh tiếng URL, dịch vụ bổ sung, dịch vụ giám sát:

  • CPU: 1 CPU 8 lõi 2 GHz
  • RAM: 64 GB
  • Yêu cầu mạng: giao diện mạng với băng thông 100 Mbit / giây.
  • Hard disk: SSD 500 GB. Nên dùng RAID
  • Dung lượng bổ sung cho dữ liệu tùy chỉnh: dung lượng lưu trữ thêm 5 GB cho mỗi 100 triệu bản ghi

 

SERVER 2: Dịch vụ KATA / KEDR: đề xuất CTNH:

  • CPU: 1 CPU 10 lõi 3 GHz
  • RAM: 96 GB
  • Yêu cầu mạng: giao diện mạng với băng thông 100 Mbit / giây.
  • Hard disk: HDD 600 GB. Nên dùng RAID

4        Mô tả các dịch vụ bảo mật được đề xuất

Dịch vụ thông minh bảo mật của Kaspersky, bao gồm các khóa đào tạo của chuyên gia bảo mật, Ứng phó sự cố, giám sát bảo mật từ xa và hỗ trợ cao cấp hoàn thành các khả năng phát hiện tiên tiến của Nền tảng tấn công nhắm mục tiêu của Kaspersky.

4.1        Đào tạo quản trị viên KATA / KEDR

Tại chỗ (Onsite) – 2 ngày

Khóa học này cung cấp các chủ đề sau cho quản trị viên KATA / KEDR:

  • Giới thiệu giải pháp
  • Lập kế hoạch triển khai
  • Cài đặt và cấu hình
  • Khởi chạy hoạt động
  • Xử lý các sự kiện bảo mật
  • Định vị và sự khác biệt cạnh tranh (tùy chọn)

Khóa học cung cấp kiến ​​thức cần thiết về cách triển khai, cấu hình và quản trị KATA / KEDR

4.2        Hội thảo phân tích bảo mật

Tại chỗ (Onsite) – 1 ngày

Khóa học này nhằm vào các nhà khai thác giải pháp KATA và giáo dục:

  • Cách giải thích các sự cố KATA
  • KATA bao gồm những công cụ nào và cách họ làm việc
  • Tích điểm và giải thích động cơ rủi ro

Khóa học cung cấp kiến ​​thức cần thiết và kỹ năng sử dụng nền tảng với hiệu quả cao nhất.

4.3        Huấn luyện ứng phó sự cố

Tại chỗ – 5 ngày

Kỹ năng tiếp thu:

  • Tham dự học cách thu thập bằng chứng kỹ thuật số và quy trình làm việc với họ.
  • Người tham dự tổ chức tái cấu trúc sự cố, sẽ sử dụng dấu thời gian và tìm kiếm dấu vết thâm nhập trên các thành phần được phân tích của HĐH Windows.
  • Học sinh cũng sẽ học cách tìm kiếm và phân tích lịch sử của các trang web đã truy cập trong trình duyệt, e-mail và cách sử dụng tiện ích để tìm kiếm bằng chứng kỹ thuật số.

Những người tham gia khóa học sẽ nhận được không chỉ một bộ phần mềm và hướng dẫn, kiến ​​thức và sự hiểu biết về các kỹ thuật cơ bản. Tất cả các nhiệm vụ thực tế dựa trên các ví dụ thực tế, mà không vi phạm chính sách bảo mật của các tổ chức.

 

4.4        Ứng phó sự cố (Incident Response)

Tại chỗ / Từ xa, số giờ làm việc của chuyên gia

Dịch vụ nhằm phát hiện quy mô tấn công của các tài nguyên bị xâm phạm và loại bỏ hậu quả của sự cố. Công việc có thể đạt được trên trang web của khách hàng hoặc thông qua kết nối từ xa.

Trên thực tế, một khách hàng mua theo một lượng thời gian nhất định, được phân phối trên một số gói. Trong khuôn khổ được đặt trong mỗi giờ theo gói, khách hàng có thể kết hợp các dịch vụ được cung cấp theo quyết định của họ.

Trong dịch vụ, các tác vụ sau đã được giải quyết:

  • Xác định các máy tính và dịch vụ bị xâm nhập
  • Ngăn chặn sự lây lan thêm của cuộc tấn công và giảm thiểu hậu quả của nó
  • Việc thu thập dữ liệu để phân tích thêm, bao gồm hình ảnh của ổ cứng, tệp nhật ký, theo dõi lưu lượng mạng, hình ảnh về trạng thái RAM
  • Tái thiết lịch sử sự cố và logic của nó
  • Chuẩn bị kế hoạch khôi phục hệ thống về trạng thái hoạt động bình thường

4.5        Tra cứu mối đe dọa của Kaspersky (Kaspersky Threat Lookup)

Kaspersky Threat Lookup cung cấp tất cả kiến ​​thức mà Kaspersky Lab có được về các mối đe dọa trên mạng và các mối quan hệ của chúng, kết hợp thành một dịch vụ web mạnh mẽ duy nhất. Mục tiêu là cung cấp cho các nhóm bảo mật của tổ chức nhiều dữ liệu điều tra nhất có thể. Nền tảng lấy thông tin mối đe dọa chi tiết mới nhất về URL, tên miền, địa chỉ IP, băm tệp, tên mối đe dọa, dữ liệu thống kê / hành vi, dữ liệu WHOIS / DNS, thuộc tính tệp, dữ liệu định vị địa lý, chuỗi tải xuống, dấu thời gian, v.v. các mối đe dọa mới và mới nổi, giúp bạn bảo vệ tổ chức của mình và tăng cường ứng phó sự cố.

Thông tin tình báo về các mối đe dọa được cung cấp bởi Kaspersky Threat Lookup được tạo và theo dõi trong thời gian thực bởi cơ sở hạ tầng có khả năng chịu lỗi cao, đảm bảo tính khả dụng liên tục và hiệu suất ổn định. Hàng trăm chuyên gia, bao gồm các nhà phân tích bảo mật trên toàn cầu, các chuyên gia bảo mật nổi tiếng thế giới từ nhóm GReAT của chúng tôi và các nhóm R & D hàng đầu, tất cả đều góp phần tạo ra thông tin tình báo về các mối đe dọa trong thế giới thực.

KATA-EDR

4.6        Dịch vụ quản lý bảo mật của Kaspersky (Kaspersky Managed Protection – KMP)

SLA – 24/7 hoặc 8/5.

Dịch vụ được cung cấp bởi các chuyên gia từ Trung Tâm Giám sát sự cố An ninh của Kaspersky Lab bao gồm:

  • Giám sát việc triển khai trong các hệ thống mạng của khách hàng, Kaspersky Endpoint Security (KES) với thành phần hoạt động của APS và / hoặc Nền tảng chống tấn công có chủ đích của Kaspersky (KATA) để xác định các cuộc tấn công một cách chủ động bằng cách chủ động thu thập mạng siêu dữ liệu và hoạt động hệ thống.
  • Thu thập thông tin thu được khi sử dụng công nghệ Kaspersky Private Security Network / Kaspersky Security Network
  • Phân tích thông tin nhận được về sự hiện diện dấu vết của các cuộc tấn công có chủ đích. Phân tích dựa trên dữ liệu về các chiến thuật, kỹ thuật và quy trình thực tế của kẻ xâm nhập
  • Thông báo khẩn cấp cho khách hàng về các mối đe dọa

4.7        Dịch Hỗ trợ cao cấp cho KATA / KEDR (Maintenance Service Agreement -MSA)

Hỗ trợ kỹ thuật cao cấp về các vấn đề liên quan đến hoạt động của KATA / KEDR.

Là một phần của dịch vụ được cung cấp cho Khách hàng:

  • Hỗ trợ 24 giờ qua điện thoại (đường dành riêng cho hỗ trợ cấp 2)
  • Hỗ trợ ưu tiên trong ngày làm việc qua e-mail và bảng điều khiển web cá nhân
  • Thời gian phản hồi được đảm bảo dưới 4 giờ cho các sự cố nghiêm trọng
  • Không quá 36 sự cố/gói trong một năm.

4.8        Dịch vụ hỗ trợ cao cấp với Trình quản lý tài khoản bảo mật chuyên dụng cho KATA / KEDR (bao gồm MSA) –  Security Account Manager (SAM)

Dịch vụ hỗ trợ chuyên dụng được cung cấp bởi Trình quản lý tài khoản bảo mật Kaspersky Lab (SAM) về các sự cố được phát hiện bởi giải pháp KATA / KEDR, cũng như mức độ bảo mật tổng thể.

Các trách nhiệm chính của SAM bao gồm:

  • Trợ giúp về chức năng và tư vấn của KATA / KEDR về các sự kiện và sự cố chung được phát hiện bởi giải pháp
  • Hỗ trợ 24 giờ trong việc khắc phục các sự cố an ninh nhằm giảm thiểu hậu quả (về kế hoạch hành động để ứng phó với sự cố, có thể bao gồm hỗ trợ trong đánh giá sơ bộ về mức độ nghiêm trọng của sự cố, các khuyến nghị vấn đề chính để giảm thiểu tác động và khuyến nghị về việc lựa chọn dịch vụ để ứng phó)
  • Giúp khắc phục sự cố và dương tính giả với giải pháp KATA / KEDR
  • Theo dõi và đảm bảo ngay lập tức phản ứng mức leo thang theo yêu cầu hỗ trợ kỹ thuật hoặc yêu cầu dịch vụ Ứng phó sự cố
  • Hỗ trợ khách hàng nhận thức về các lực chọn mới của các quyết định và đề xuất về việc chọn một bộ dịch vụ liên quan tối ưu

5        Trích dẫn

5.1             Kaspersky Anti Targeted Attack platform

# Kaspersky Anti Targeted Attack platform PACKAGES __ Year_

USD

1 Kaspersky Anti Targeted Attack platform Standard 0 000$
2 Kaspersky Anti Targeted Attack platform Advanced 0 000$
3 Kaspersky Anti Targeted Attack platform Enterprise 0 000$
4 Kaspersky Anti Targeted Attack platform Additional Sensor 0 000$
5 Kaspersky Anti Targeted Attack platform Enterprise EDR Edition (includes 10,000 endpoint sensors support) 0 000$
TOTAL: xxx xxx

Renewal is 70% from the SKU base price.

5.2             Kaspersky Endpoint Detection and Response

 

# Kaspersky Endpoint Detection and Response PACKAGES __ Year_

USD

1 Kaspersky Endpoint Detection and Response Standard           $
2 Kaspersky Endpoint Detection and Response Advanced (Sandbox included)           $
3 Kaspersky Endpoint Detection and Response
Kaspersky Anti Targeted Attack Platform Add-On
          $
TOTAL: xxx xxx

Renewal is 70% from the SKU base price.

5.3             Kaspersky Private Security Network

# Kaspersky Private Security Network PACKAGES __ Year_

USD

1 Kaspersky Private Security Network Standard 00 000$
2 Kaspersky Private Security Network Advanced 00 000$
TOTAL: xxx xxx

Renewal is 70% from the SKU base price.

5.4             Additional Services

# Security Intelligence Services PACKAGES
1 Administrator Training (by person price) 10 – 14 15 – 19 20 – 24
xxx xxx xxx xxx xxx xxx
2 Security Analyst  workshop 10 – 14 15 – 19 20 – 24
xxx xxx xxx xxx xxx xxx
3 Incident Response Training 10 – 14 15 – 19 20 – 24
xxx xxx xxx xxx xxx xxx
4 IR initial analysis On-site Remote
   
5 IR subscription (15 working days) On-site Remote
xxx xxx xxx xxx
6 IR subscription (40 working days) On-site Remote
xxx xxx xxx xxx
7 IR subscription (90 working days) On-site Remote
xxx xxx xxx xxx
8 Kaspersky Threat Lookup Depends on the number of daily requests
xxx xxx
9 Kaspersky Managed Protection (SLA – 5/8 or 24/7) Depends on the size of company
xxx xxx
10 MSA Premium tech support subscription for 1 year
xxx xxx
11 MSA + Security Account Manager Premium tech support subscription for 1 year
xxx xxx
12 Professional services (implementation, customization, maintenance) Depends on the amount of working days
xxx xxx
TOTAL: xxx xxx

Liên hệ tư vấn và báo giá:

CÔNG TY CỔ PHẦN GIẢI PHÁP CÔNG NGHỆ SONIC

Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội

Tel: 0976.369.119

Hotline: 02466.564.587

Email: Sales@sonic.com.vn

 

Đọc thêm

Thông tin liên hệ

Giải Pháp Chống Tấn Công APT – KATA / EDR – Kaspersky

Giải Pháp Chống Tấn Công APT – KATA / EDR – Kaspersky