Kaspersky Endpoint Detection and Response (KEDR)

Продукт
Разработчики: Лаборатория Касперского (Kaspersky)
Дата премьеры системы: 2018/02/20
Дата последнего релиза: 2024/04/05
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Основная статья: Security Information and Event Management (SIEM)


Kaspersky Endpoint Detection and Response (KEDR) — корпоративное решение для выявления угроз и реагирования на киберинциденты на конечных устройствах.

2024

В составе ПАК «Nerpa + KATA + KEDR»

Производитель ИТ-оборудования Nerpa и разработчик решений в области информационной безопасности «Лаборатория Касперского» при участии OCS Distribution выпустили два программно-аппаратных комплекса (ПАК) — для защиты компаний от различных киберугроз и единого управления ИБ. Об этом OCS Distribution сообщил 6 июня 2024 года.

В рамках сотрудничества вендоры реализовали комплексные решения по кибербезопасности, которые позволяют противостоять сложным атакам. Первый реализованный ПАК — «Nerpa + KATA + KEDR». В систему вошли ПО Kaspersky Anti Targeted Attack и Kaspersky EDR Expert, а также производительный двухпроцессорный сервер Nerpa Nord. Подробнее здесь.

Включение в МТС RED SOC

Компания МТС RED, входящая в ПАО «МТС», дополнила сервисы центра мониторинга и реагирования на кибератаки МТС RED SOC технологией защиты рабочих станций и серверов на базе решения Kaspersky EDR (Endpoint Detection and Response). Об этом МТС RED сообщил 5 апреля 2024 года.

Сервис МТС RED позволяет обнаруживать попытки проникновения или присутствие злоумышленников в ИТ-инфраструктуре компаний на конечных точках сети — рабочих станциях сотрудников и серверах. Большинство целевых атак начинается с проникновения злоумышленников на устройства сотрудников, поэтому выявление подозрительной активности на конечных точках сети позволяет обнаружить и локализовать инцидент до того, как атакующие достигнут конечной цели и компании будет нанесён ущерб. Это особенно важно для реагирования на сложные угрозы и целевые атаки, в ходе которых злоумышленники используют техники и тактики, плохо детектируемые базовыми антивирусами.«Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов 4.2 т

Решение Kaspersky Endpoint Detection and Response аккумулирует многолетнюю экспертизу вендора по выявлению компрометации конечных точек сети и предоставляет глубокую и детализированную аналитику по каждому инциденту. Использование этой технологии в виде сервиса МТС RED SOC снимает с заказчиков необходимость в самостоятельном внедрении, настройке и технической поддержке продукта, а также даёт возможность специалистам МТС RED осуществлять меры реагирования на инциденты непосредственно в инфраструктуре заказчика. Это помогает сократить временной интервал между выдачей рекомендаций по противодействию кибератаке и их реализацией, что в ряде случаев имеет критическое значение.

«
Рабочие станции сотрудников — это самая частая точка проникновения и закрепления злоумышленника в инфраструктуре, поэтому мы должны быть уверены в технологической зрелости решения, которое ложится в основу сервиса по выявлению целевых атак на конечные точки сети. Решение Kaspersky EDR способствует более быстрому выявлению киберугроз и их локализации, даже если речь идёт о сложно детектируемых атаках. Благодаря сервисной модели поставки технологии "Лаборатории Касперского" дополняются опытом и экспертизой команды МТС RED, которая получает возможность собственными силами блокировать развитие атаки в инфраструктуре заказчиков сервиса, — рассказал Евгений Ляпушкин, руководитель портфеля продуктов МТС RED SOC.
»

«
Наше решение Kaspersky EDR позволяет своевременно реагировать даже на самые сложные киберугрозы на уровне конечных узлов и в кратчайшие сроки приступать к устранению последствий, таким образом значительно ускоряя весь процесс отражения атаки. Продукт неоднократно признавался технологическим лидером на мировом рынке EDR-решений, и мы рады, что теперь и клиенты SOC-центра МТС RED смогут воспользоваться его преимуществами, — отметил Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского».
»

Сервис анализа событий на конечных точках сети предоставляется по облачной модели. Скорость подключения составляет от 14 дней, в зависимости от числа рабочих станций и серверов, которые необходимо взять под защиту.

2023

Использование в качестве платформы Axiom JDK Certified

«Лаборатория Касперского» будет использовать в составе своих решений Axiom JDK Certified, российскую сертифицированную платформу Java. Об этом «Лаборатория Касперского» сообщила 27 ноября 2023 года.

Сертифицированную платформу Java планируется задействовать в комплексной защите класса XDR нативного типа от сложных угроз и целевых атак, состоящей из решений Kaspersky Anti Targeted Attack и Kaspersky EDR Expert. Это повысит их безопасность и существенно ускорит процесс сертификации ФСТЭК, где вместе с решением требуется верификация кода среды его функционирования. Подробнее здесь.

Совместимость с Delta Tioga Pass и Delta Argut

Delta Computers и «Лаборатория Касперского» подтвердили совместимость и корректность работы программного обеспечения Kaspersky Anti Targeted Attack Platform (KATA), Kaspersky Endpoint Detection and Response (KEDR) и Kaspersky Unified Monitoring and Analysis Platform (KUMA) с серверными продуктами Delta Tioga Pass и Delta Argut. Об этом 6 сентября 2023 года сообщила компания Delta Computers. Подробнее здесь.

2022: В составе ПАКа на базе Depo Storm Kaspersky Endpoint Detection and Response (KEDR)

Компании Axoft, «Лаборатория Касперского» и DEPO Computers представили российские программно-аппаратные комплексы, созданные на базе серверных платформ DEPO Storm и программных продуктов компании «Лаборатория Касперского». Комплексы протестированы инженерами технологического центра DEPO Computers и готовы к использованию в государственных учреждениях и на предприятиях корпоративного сектора. Подробнее здесь.

2020

В основе продукта по киберстрахованию

Страховой Дом ВСК и Angara Professional Assistance запустили продукт по киберстрахованию на базе технологий «Лаборатории Касперского». Об этом 26 октября 2020 года сообщила ГК Angara.

Интеллектуальная основа сервиса по обеспечению ИБ – программное решение «Лаборатории Касперского» по защите от сложных и неизвестных угроз – Kaspersky Endpoint Detection and Response (Kaspersky EDR), а также платформа Angara Cyber Resilience Platform (ACRP), предназначенная для мониторинга, расследования и аналитики киберугроз. Подробнее здесь.

В основе сервиса по выявлению сложных многокомпонентных атак

22 октября 2020 года «Ростелеком-Солар» сообщил, что совместно с «Лабораторией Касперского» запустил сервис по выявлению сложных многокомпонентных атак на рабочих станциях и серверах корпоративных заказчиков. В его основе лежит система выявления атак на конечные хосты (Endpoint Detection and Response, EDR) Kaspersky EDR. Решение подключено к сервисам центра мониторинга и реагирования на кибератаки Solar JSOC и поможет выявлять активность (на пример, присутствие в инфраструктуре) высококвалифицированных злоумышленников, которую обычно не детектируют базовые инструменты защиты.

По статистике «Ростелеком-Солар», с каждым годом техники и методики, которые применяют хакеры для обхода классических средств защиты, становятся сложнее, а все больше атак связаны с длительным и скрытным нахождением в инфраструктуре жертвы. Злоумышленники с высокой квалификацией (кибернаемники и кибервойска) используют сочетание уникальных и дорогих собственных разработок с легальными утилитами и методами социальной инженерии для внедрения вредоносных модулей в атакуемую систему. Причем эти сложные инструменты постепенно распространяются в теневом сегменте Сети, и их берут на вооружение уже киберпреступники со средней квалификацией (киберкриминал). При этом их основными методами для проникновения в инфраструктуру жертвы остаются фишинговые рассылки со сложным вредоносным ПО, которое обычно не распознает стандартный антивирус. Расширение сервиса мониторинга на базе EDR поможет выявлять и локализовывать даже такие сложно детектируемые атаки на конечных узлах инфраструктуры организации.

«
Система EDR является важной составляющей центра реагирования на киберинциденты (SOC) – она ускоряет сбор первичных улик, предоставляет подробную телеметрию и автоматизирует процессы EDR, сокращая общее время реагирования с нескольких часов до считаных минут. Для обработки этих данных и грамотного реагирования на инциденты нужна профессиональная команда аналитиков, и благодаря тому, что в Solar JSOC выделили ресурсы на ее создание, клиентам сервиса будет существенно проще обеспечить надежную защиту своих ресурсов, – поделился мнением Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России, странах СНГ и Балтии.

»

Для реализации данного сервиса была проведена совместная проработка технических решений и моделей взаимодействия. В частности, в Solar JSOC была выделена специализированная команда по анализу сложных атак.

«
Развитие инструментария и техник злоумышленников требует других подходов к детектированию атак. Проблема защиты рабочих станций, которые чаще всего становятся точкой закрепления и развития атаки злоумышленника, является одной из первоочередных для объектов критической информационной инфраструктуры (КИИ). Мы рады расширить сотрудничество с нашим давним технологическим партнером – «Лабораторией Касперского» – совместным сервисом по выявлению атак на конечных узлах сети, – отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC.
»

Услуга EDR от Solar JSOC предоставляется как по облачной модели (полностью из ядра Solar JSOC), так и с размещением ключевых компонентов системы на площадке заказчика, а подключение к сервису займет 4-5 недель. В инфраструктуру заказчика устанавливаются необходимые компоненты, обогащенные унифицированным контентом от экспертов Solar JSOC, который будет дополнительно профилирован и адаптирован под особенности инфраструктуры и процессы конкретной организации. Сервис также доступен для заказчиков, самостоятельно приобретающих лицензии Kaspersky EDR, а не только в рамках MSSP-лицензий.

На 22 октября 2020 года «Ростелеком-Солар» и «Лаборатория Касперского» уже готовят запуск сервиса EDR для нескольких крупных государственных и коммерческих заказчиков.

2019: В составе совместных сервисов Kaspersky и Angara по защите от целевых атак

8 октября 2019 года «Лаборатория Касперского» сообщила, что начинает работать по MSSP-модели в России. Первым партнёром компании стал сервис-провайдер Angara Professional Assistance. Подробнее здесь.

2018: Выпуск

20 февраля 2018 года «Лаборатория Касперского» представила решение Kaspersky Endpoint Detection and Response (KEDR), которое непрерывно отслеживает любые аномалии и подозрительные процессы на рабочих местах сотрудников, представляет все собранные данные в удобном визуализированном виде, распознаёт угрозы и реагирует на инциденты. Таким образом, решение в значительной степени автоматизирует процесс поиска вредоносного ПО и вторжений в корпоративную сеть, сводя время ответной реакции на угрозу к минимуму. Компонент Kaspersky EDR тесно интегрирован с платформой для защиты от целевых атак Kaspersky Anti Targeted Attack Platform.

ЛК: современное решение EDR должно включать несколько подсистем обнаружения угроз, интегрированных в единый комплекс с функциями статического, поведенческого и динамического анализа, а также с постоянным доступом к глобальной библиотеке аналитических данных об угрозах и к технологиям машинного обучения.

В компании отметили, что скорость реакции на угрозы важна как никогда. По данным исследования «Лаборатории Касперского», позднее распознавание киберинцидента и отсутствие визуального контроля над конечными устройствами, через которые и проникает абсолютное большинство угроз, оборачивается для компании значительным финансовым ущербом. А в России за прошедший год с ними столкнулась почти четверть организаций ― 23%.

При этом целевые атаки в подавляющем большинстве случаев протекают незаметно для компании на протяжении минимум полугода, и этому способствуют два фактора. Во-первых, поиск скрытых угроз до сих пор осуществляется вручную специалистами по информационной безопасности, выискивающими аномалии среди огромных массивов данных. А во-вторых, даже в случае обнаружения подозрительной активности в системе IT-специалисты внутри организации не всегда могут оценить степень её опасности, поскольку для этого нужны глубокие знания в смежной для них области информационной безопасности и анализа ПО.

По словам разработчика, Kaspersky EDR позволит принципиально изменить ситуацию. В этом решении реализован гибкий и интеллектуальный подход к автоматическому распознаванию любых угроз (в том числе ещё неизвестных), а также своевременному и наиболее адекватному реагированию на них для предотвращения возможного ущерба и негативных последствий для организации. При этом всё управление осуществляется с помощью единого интерфейса.

Kaspersky EDR сочетает в себе пять основных направлений работы:

  • непрерывный мониторинг угроз на рабочих местах ― специалисты по безопасности мгновенно получают визуальный контроль в масштабах всей сети, а представление данных в графическом виде позволяет выявлять комплексные и сложные угрозы;
  • централизованный сбор данных ― решение агрегирует в рамках одного хранилища ключевые данные о реальных и потенциальных угрозах, непрерывно поступающие с рабочих мест, в частности информацию о неизвестных файлах, процессах, программах, службах, модулях, автозапусках, подключениях к сети и временных графиках;
  • расширенное обнаружение угроз ― многоаспектный подход выявления рисков включает в себя статический, динамический и поведенческий анализ полученной информации, а также аналитические данные о киберугрозах и технологии машинного обучения;
  • высокоточное реагирование ― широкий набор инструментов позволяет специалистам по информационной безопасности удалённо просматривать, оценивать, локализовывать и устранять отдельные угрозы и их последствия без воздействия на работу конечных пользователей;
  • предотвращение угроз на рабочих местах ― с помощью функций быстрого поиска и проверки на индикаторы компрометации IT-специалисты могут реагировать на обнаруженные угрозы и задавать автоматические правила их предотвращения.

Kaspersky EDR доступен как самостоятельный продукт, а также в составе комплексной платформы Kaspersky Threat Management and Defense, позволяющей компаниям получить полный визуальный контроль над всеми событиями в IT-инфраструктуре. Помимо Kaspersky EDR, эта платформа также включает в себя специализированное решение для борьбы с целевыми атаками ― Kaspersky Anti Targeted Attack Platform ― и аналитические сервисы, помогающие понимать особенности различных киберугроз. Также продукт работает как единый агент вместе с решением Kaspersky Security для бизнеса.



ПРОЕКТЫ (5) ИНТЕГРАТОРЫ (5) СМ. ТАКЖЕ (27)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (92)
  Positive Technologies (Позитив Текнолоджиз) (23)
  SearchInform (СёрчИнформ) (16)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (14)
  Другие (141)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Ngenix (Современные сетевые технологии, ССТ) (2)
  Positive Technologies (Позитив Текнолоджиз) (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  InnoSTage (Инностейдж) (4)
  CyberOK (СайберОК) (4)
  SearchInform (СёрчИнформ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  Softline (Софтлайн) (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (2)
  Лаборатория Касперского (Kaspersky) (2)
  МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (2)
  Другие (11)

  SearchInform (СёрчИнформ) (8)
  Softline (Софтлайн) (5)
  Positive Technologies (Позитив Текнолоджиз) (4)
  Перспективный мониторинг (2)
  Angara Security (Ангара Технолоджиз Груп, АТ Груп) ранее Angara Technologies Group (1)
  Другие (12)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
  Positive Technologies (Позитив Текнолоджиз) (17, 39)
  SearchInform (СёрчИнформ) (2, 17)
  Лаборатория Касперского (Kaspersky) (8, 14)
  ArcSight (5, 13)
  Другие (278, 110)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  IBM (2, 2)
  Инфосекьюрити (Infosecurity) (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  SearchInform (СёрчИнформ) (1, 2)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  CloudLinux (1, 1)
  Positive Technologies (Позитив Текнолоджиз) (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (3, 3)
  Перспективный мониторинг (1, 3)
  Русием (RuSIEM) (1, 2)
  Другие (6, 6)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Security Operation Center (SOC) - 37
  MaxPatrol SIEM - 33
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
  СёрчИнформ SIEM - 17
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
  Другие 156

  R‑Vision SOAR (ранее R-Vision IRP) - 3
  Ngenix Облачная платформа - 2
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
  MaxPatrol SIEM - 2
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Другие 13

  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
  CyberART Сервисная служба киберзащиты - 4
  Innostage SOAR (ранее Innostage IRP) - 4
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
  Security Vision Incident Response Platform (Security Vision IRP) SOAR - 2
  Другие 13

  СёрчИнформ SIEM - 3
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Инфосекьюрити ISOC - 1
  МТС RED SOC - 1
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 1
  Другие 11

  СёрчИнформ SIEM - 9
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3
  Перспективный мониторинг: Ampire Киберполигон - 3
  RuSIEM Система сбора информации и событий от ИТ-систем - 2
  Kaspersky Endpoint Detection and Response (KEDR) - 2
  Другие 11