Защита конечных точек от сложных кибератак

Контроль рабочих станций сотрудников и серверов с решением Endpoint Detection and Response (EDR) для эффективной борьбы с целенаправленными атаками

Выявление атак в режиме реального времени

Противодействие злоумышленникам высокого уровня квалификации

Обнаружение угроз по сигнатурам и IoC

Снижение киберрисков и минимизация последствий атак

Автоматизированное и управляемое реагирование

Описание

Для противодействия комплексным угрозам Solar JSOC предлагает специализированную защиту конечных точек на базе решения класса Endpoint Detection and Response (EDR) «Лаборатории Касперского». Сервис контроля конечных точек и серверов позволяет на ранней стадии выявлять сложные атаки и оперативно реагировать на них. Он подключается как дополнение к базовой услуге Solar JSOC по мониторингу и реагированию на инциденты информационной безопасности.

Благодаря контролю за устройствами сотрудников, которые злоумышленники часто выбирают как исходную точку для проникновения в сеть компании, атаки можно обнаружить быстрее и локализовать еще до того, как заражение приобретет серьезный масштаб. Это, в свою очередь, снижает стоимость инцидентов безопасности для компании. Компонент EDR сигнализирует в том числе и о подозрительной активности на устройствах, не охваченных сервисом по мониторингу и реагированию на инциденты ИБ, что расширяет возможности защиты и локализации угроз.

Автоматический сбор следов присутствия посторонних в инфраструктуре упрощает и ускоряет как реагирование на инциденты, так и их дальнейшее расследование. Компонент EDR обогащает информацию об инцидентах, зафиксированных другими СЗИ, и предоставляет данные по подозрительной активности, не попавшей в их поле зрения.

Решаемые задачи

Обнаружение следов присутствия злоумышленника в инфраструктуре

Выявление атак на ранней стадии и локализация области распространения угроз

Сокращение времени реагирования за счет автоматизации сбора доказательств

Больше информации об инциденте благодаря глубокой детализации журналов событий

Для кого

Сервис подходит организациям, которые уже подписаны на услуги Solar JSOC по мониторингу и реагированию на инциденты ИБ, если они заинтересованы в эффективной защите конечных устройств от сложных атак и стремятся локализовать распространение угрозы в кратчайшие сроки.

Возможности сервиса

Круглосуточный мониторинг конечных точек

Деятельность злоумышленников не останавливается в 18:00. По данным Solar JSOC, в 2020 году 47,2% критических внешних инцидентов происходит ночью. С каждой минутой бездействия размер ущерба возрастает, а нейтрализация угрозы становится во много раз более сложным и трудозатратным процессом. В рамках сервиса мониторинг конечных точек ведется круглосуточно и без выходных 5 филиалами Solar JSOC в разных часовых поясах — так что атака будет остановлена вовремя.

Выявление невидимых для базовых СЗИ угроз

Базовые средства безопасности, такие как антивирус и брандмауэр, защищают от простых угроз, но целенаправленные атаки, подготовленные продвинутыми злоумышленниками, могут обмануть их. Контроль конечных точек и серверов на базе EDR укрепляет защиту от сложных угроз за счет обнаружения угроз не только по сигнатурам, но и по IoC.

Информирование об инцидентах с ручной верификацией

Даже лучшие защитные решения иногда выдают ложную тревогу. Чтобы не беспокоить вас, оповещения об инцидентах перепроверяются вручную, и ложные срабатывания отсеиваются.

Разработка и обновление сценариев выявления новых атак

Злоумышленники постоянно совершенствуют свой арсенал, стремясь обойти средства защиты. Чтобы не пропустить новые атаки, необходимо регулярно разрабатывать актуальные сценарии выявления атак и совершенствовать уже имеющиеся. Эксперты Solar JSOC разрабатывают и совершенствуют правила детектирования инцидентов, проводят ретроспективный анализ событий и выявленных инцидентов для оценки общего уровня защищенности клиента, анализируют информацию о новых угрозах, получаемую из внешних источников и базы знаний Solar JSOC CERT.

Автоматическое реагирование на инциденты или предоставление рекомендаций

Клиенты сервиса могут самостоятельно решить, какую часть действий по реагированию доверить автоматике, а что выполнить силами собственных специалистов по результатам получения рекомендаций и нужно ли привлечь к решению задачи экспертов Solar JSOC (в случае необходимости провести глубокое техническое расследование инцидента). Список доступных автоматических действий ограничен, и их набор всегда согласовывается с заказчиком.

Преимущества

Создание единого окна для работы службы ИБ в компании

Сокращение времени реагирования на кибератаки и минимизация их последствий

Сквозной контроль за жизненным циклом инцидента

Формирование общей отчетности и визуализация данных

Почему Solar JSOC?

Применение опыта крупнейшего коммерческого SOC в России* в противодействии передовым киберугрозам

Полный цикл экспертизы в управлении инцидентами

Простое и централизованное управление расширенной защитой хостов без необходимости самостоятельной эксплуатации специализированных решений или поддержки open-source

Наличие необходимых лицензий и сертификатов (ФСТЭК России, PCI DSS, ФСБ России)

Собственная исследовательская лаборатория и ежедневно актуализируемая база знаний Solar JSOC CERT о новых атаках

Круглосуточный мониторинг благодаря 5 филиалам в разных часовых поясах; для решения сложных вопросов в любое время доступен бизнес-аналитик

_{* Anti-Malware. Сравнение услуг коммерческих SOC (Security Operations Center). Часть 1. 2019 г.}

Схема работы

Сервис функционирует на базе решения «Лаборатории Касперского» Kaspersky EDR. Возможно как использование ранее приобретенного заказчиком ПО (гибридная схема), так и предоставление в аренду лицензий и аппаратных мощностей для запуска из ядра Solar JSOC в облаке ПАО «Ростелеком» (облачная схема). Между инфраструктурой заказчика и облаком ПАО «Ростелеком» устанавливается защищенный канал связи.

EDR автоматически собирает первичную информацию о событиях ИБ на рабочих местах и предоставляет подробную телеметрию. Эксперты Solar JSOC анализируют получаемую информацию, сопоставляют ее с данными Threat Intelligence из различных источников и, если потребуется, принимают меры реагирования и проводят расследование. Отчеты об инцидентах и данные расследования регулярно передаются клиенту. В случае необходимости в рамках сервиса можно подключить систему защиты от целенаправленных атак Kaspersky Anti Targeted Attack Platform, которая позволяет обнаружить сложные угрозы на сетевом уровне.

Актуальность

Злоумышленники чаще всего начинают атаку на бизнес с заражения устройств сотрудников. Поэтому крайне важно выявлять и блокировать вредоносную активность именно на таких устройствах. Однако базовые средства защиты рабочих мест — спам-фильтры, антивирусы и брандмауэры — могут обнаружить только простые атаки. В случае сложной целенаправленной атаки высока вероятность, что они не сработают.

Даже киберпреступники средней квалификации нередко используют сложные вредоносные программы и прибегают к особым приемам, таким как многоступенчатая обфускация или использование цепочки вызовов легальных утилит, которые позволяют обмануть и обойти базовые средства защиты. Атаки киберпреступников высокой квалификации чаще всего базовым СЗИ не по зубам.

Именно поэтому для полноценной защиты требуются дополнительные инструменты. Среди них важнейшие — системы выявления и локализации атак на конечные устройства (EDR).

49,2%

инцидентов
не выявляются
с помощью базовых СЗИ

_{По данным Solar JSOC,
2021 г.}
75%

атак профессиональные злоумышленники реализовали с помощью фишинга
_{По данным Solar JSOC,
2021 г.}
15%

пользователей совершают потенциально опасные действия при получении фишинговых писем
_{По данным Solar JSOC
за 2021 г.}
16%

компаний способны эффективно сопротивляться кибератакам

_{По данным Accenture,
2021 г.}