Passa al contenuto principale
TECHNOLOGY

Kaspersky Endpoint Detection and Response (KEDR), per un'efficace protezione della rete aziendale

A differenza delle soluzioni dedicate ai singoli endpoint, la soluzione EDR fornisce una visibilità degli eventi di tipo multi-host e si avvale di metodi di rilevamento "pesanti" (sandbox, modelli di deep learning, correlazione degli eventi), nonché di strumenti avanzati per condurre attività di incident investigation, threat hunting proattivo e incident response.

Kaspersky EDR è una soluzione di Cybersecurity adibita alla protezione dei sistemi IT aziendali. Aggiunge estese funzionalità Endpoint Detection and Response (EDR) alla sicurezza IT:

  • Estrazione di modelli di attacchi complessi, in modo automatico e manuale, da eventi che si verificano su numerosi host.
  • Risposta agli attacchi informatici, bloccando la progressione degli stessi.
  • Prevenzione degli attacchi futuri.

EDR, una soluzione necessaria

Sino a poco tempo fa, i cyberattacchi di stampo tradizionale facevano ampio uso del malware di massa. Prendevano di mira singoli endpoint e "detonavano" all'interno di computer isolati. Gli attacchi basati su tale genere di malware sono di fatto automatici, scelgono vittime casuali tramite e-mail di massa, siti web di phishing, hotspot Wi-Fi non sicuri, ecc. Nella circostanza, il rimedio era rappresentato dalle soluzioni di endpoint security (EPP), in grado di proteggere gli host dal malware di massa.

Posti di fronte all'elevato grado di efficienza del rilevamento basato sulle soluzioni EPP, gli autori degli attacchi hanno così adottato un'altra tattica, più costosa, ma più efficace: lanciare attacchi mirati nei confronti di determinate vittime. A causa dei costi elevati, gli attacchi di natura mirata vengono di solito utilizzati per colpire le aziende, con il preciso obiettivo di realizzare profitti illeciti. Gli attacchi mirati implicano l'esecuzione di attività di ricognizione e sono appositamente progettati per penetrare all'interno del sistema IT della vittima, eludendo la relativa protezione. La "kill chain" di simili attacchi coinvolge molti host del sistema IT.

A causa dell'ampia varietà di metodi utilizzati, e della loro specifica natura interattiva in relazione all'elemento umano, gli attacchi mirati sono in grado di eludere la sicurezza basata sui sistemi EPP:

  • Le soluzioni EPP si basano su ciò che rilevano su un singolo endpoint. Gli attacchi avanzati, tuttavia, agiscono su molti host, compiendo azioni relativamente non sospette su vari endpoint. Anche se le protezioni EPP implementate sugli host rilevano alcune di queste azioni, gli autori dell'attacco, alla fine, riusciranno pur sempre a creare una "kill chain" di tipo multi-host. Le tracce di simili attacchi risultano di fatto sparse su numerosi host.
  • Dal momento che il verdetto EPP è automatico, i malintenzionati hanno la possibilità di verificare che il loro attacco non venga rilevato dall'EPP della vittima o da altre soluzioni di sicurezza automatiche. Gli autori degli attacchi, solo per gestire questo specifico caso, dispongono di intere farm di anti-malware.
  • Da parte loro, i vendor non possono aumentare il livello di protezione semplicemente rendendo le soluzioni EPP più "paranoiche", a causa del rischio di falsi positivi. La soluzione EPP è specificamente progettata per non interferire, anche nel caso in cui su un host stia accadendo qualcosa di ambiguo, che potrebbe far parte di una "kill chain" o di un'azione del tutto legittima.

Per far fronte agli attacchi mirati, i vendor di Cybersecurity estendono le capacità dei sistemi EPP mediante l'introduzione di apposite funzionalità Endpoint Detection and Response (EDR), adibite ad attività di rilevamento del malware e risposta agli incidenti a livello di endpoint:

  • Visibilità centralizzata degli eventi che si verificano su numerosi host, per la relativa correlazione manuale e automatica
  • Trasmissione di una quantità sufficiente di dati sugli eventi al team di sicurezza IT
  • Creazione di appositi strumenti per le attività di incident response e remediation: in tal modo gli attacchi che sfruttano il fattore umano vengono contrastati direttamente dagli esperti del security team aziendale.

In sostanza, l'EDR aggiunge nuovi livelli di protezione endpoint nei confronti degli attacchi avanzati.

Kaspersky EDR, un prezioso contributo per la sicurezza

Kaspersky EDR conferisce ulteriore potenza ed efficacia alla soluzione EPP già esistente. La protezione EPP è specializzata negli attacchi di massa più comuni (virus, Trojan, ecc.), mentre l'EDR si concentra sugli attacchi avanzati. Questa soluzione è in grado di analizzare, nel contesto di un attacco, sia l'attività del malware, sia gli eventi che prevedono l'esecuzione di software legittimo, scoprendo in tal modo l'intera "kill chain".

Kaspersky EDR si integra perfettamente con l'EPP di Kaspersky Enterprise Security ed è in grado di operare assieme alle soluzioni EPP di altri vendor. L'EDR apporta le seguenti funzionalità:

  • Visibilità eventi multi-host: aggregazione delle tracce degli attacchi sparse nel sistema IT
  • Rilevamento con metodi "pesanti", che richiedono un'elevata potenza computazionale, non disponibile per gli endpoint degli utenti ordinari, visti i possibili effetti sul flusso di lavoro di questi ultimi: pre-elaborazione avanzata, sandbox, complessi modelli di machine learning, incluso il deep learning, e altri metodi ancora. I metodi "pesanti" forniscono una migliore qualità in termini di capacità di rilevamento
  • Strumenti avanzati per le attività di incident investigation, threat hunting proattivo e risposta agli attacchi

Design di Kaspersky EDR

Elementi

  • Endpoint sensor: integrato con Kaspersky Endpoint Security in un unico agente o standalone (per il deployment con altre soluzioni EPP)
  • Server on-premise (archiviazione degli eventi; motore analitico; modulo di gestione; facoltativamente, una sandbox). La specifica posizione on-premise mantiene i dati sugli eventi sotto il pieno controllo del cliente
  • Cloud KSN o cloud privato KPSN, per potenziare ulteriormente il rilevamento in tempo reale e ottenere una rapida reazione alle nuove minacce

La soluzione EDR in qualità di componente di Kaspersky Threat Management and Defense

Kaspersky EDR, Kaspersky Anti Targeted Attack Platform e Kaspersky Cybersecurity Service (KCS) costituiscono una suite particolarmente efficace in termini di protezione avanzata e Threat Intelligence:

  • Kaspersky Anti Targeted Attack Platform integra il rilevamento basato su posta e rete, nonché web-based, estendendo in tal modo la portata della soluzione, dal rilevamento degli attacchi mirati al livello "endpoint+rete".
  • KCS aggiunge un avanzato supporto per il team di sicurezza IT del cliente: formazione, fornitura di dati di Threat Intelligence, gestione del Security Operation Center (SOC) da parte di Kaspersky e altre opzioni.

Integrazione con sistemi SIEM (Security Information and Event Management)

È possibile integrare il nostro EDR con sistemi SIEM di terze parti (i dati di rilevamento vengono esportati in formato CEF (Common Event Format)).

Caratteristiche principali

Aggregazione e visibilità degli eventi in modo continuo e centralizzato. L'EDR aggrega in tempo reale gli eventi che si verificano sugli host:

  • L'EDR aggrega gli eventi in modo continuo, indipendentemente dalla causa degli stessi e dal fatto che si rivelino più o meno sospetti. Ciò rende l'EDR ancor più efficace nei confronti del malware sconosciuto. Potremmo progettare il nostro EDR in modo da aggregare solo eventi nocivi o sospetti, risparmiando quindi spazio su disco a livello di nodo centrale (come fanno altre soluzioni EDR). Ma in tal caso le azioni "legittime" compiute dai malintenzionati mediante l'utilizzo di credenziali rubate non verrebbero registrate; anche le nuove minacce non riconosciute non attiverebbero il rilevamento.
  • Il nodo centrale dell'EDR carica sul proprio storage il feed degli eventi relativi agli host. Alcune soluzioni EDR di altri vendor registrano invece gli eventi direttamente sugli host. Così, quando il nodo centrale necessita di dati sugli eventi, richiede agli host le informazioni sui log. Un simile design consente di risparmiare spazio su disco a livello di nodo centrale, ma rende la ricerca più lenta e dipendente dalla connessione; a sua volta, la visibilità dell'host dipende dalla disponibilità in rete di quest'ultimo.

Rilevamento automatico. Kaspersky Endpoint Security individua le minacce visibili nell'ambito di un singolo host tramite il rilevamento euristico, comportamentale e cloud (o attraverso un'altra applicazione host EPP). L'EDR aggiunge a sua volta livelli di rilevamento in ambito multi-host, sulla base della correlazione del feed degli eventi relativi a più host.

Oltre a rilevare le minacce in base agli eventi, gli agenti EDR situati a livello di host inviano automaticamente gli oggetti sospetti o parti della memoria al nodo centrale, per un'analisi più approfondita con algoritmi non disponibili per la normale potenza computazionale dell'host, compresi "pesanti" euristici di pre-elaborazione e algoritmi di machine learning, sandbox, estensione del rilevamento cloud-based, rilevamento basato sui threat data feed di Kaspersky, regole di rilevamento personalizzate (YARA).

Il rilevamento manuale, o threat hunting, è la ricerca proattiva, da parte di un operatore, delle tracce relative ad attacchi e minacce. L'EDR consente di condurre tale attività attraverso l'intera cronologia degli eventi occorsi in molti host, successivamente aggregati nello storage:

  • Per ricostruire la potenziale "kill chain" è possibile ricercare in tale storage, e collegare tra loro, le tracce inerenti ad attacchi ed eventi sospetti. Le query di ricerca nel database supportano filtri complessi (per host, tecnologia di rilevamento, orario, verdetto, livello di gravità, ecc.).
  • Si possono caricare nuovi IOC nell'EDR e individuare minacce persistenti non rilevate in precedenza.
  • È inoltre possibile inviare manualmente gli oggetti sospetti per la conduzione di analisi più approfondite tramite metodi di rilevamento "pesanti".
  • Se l'azienda ha abilitato il servizio TIP di Kaspersky (piattaforma Kaspersky Threat Intelligence), si possono richiedere specifiche informazioni sugli oggetti presenti nel database delle minacce.

Le attività di incident response sono le azioni che un operatore può intraprendere nel momento in cui rileva una minaccia. Tali attività comprendono:

  • Incident investigation, mediante la ricostruzione degli eventi che caratterizzano la "kill chain".
  • Operazioni da remoto sull'host, compresi process kill, eliminazione o messa in quarantena di file, esecuzione di programmi e altre azioni.
  • Contenimento della minaccia rilevata mediante negazione hash-based riguardo all'esecuzione dell'oggetto.
  • Il rollback delle modifiche apportate agli host a causa dell'attività del malware si basa sulla soluzione EPP. Kaspersky Endpoint Security, ad esempio, annulla tali azioni nocive.

La prevenzione riguarda le policy che limitano le attività degli oggetti a livello di endpoint:

  • Le policy di negazione hash-based relativamente all'esecuzione impediscono di lanciare determinati file (PE, script, documenti di Office, PDF) in tutto il sistema IT, consentendo di prevenire gli attacchi attualmente diffusi in ogni angolo del globo.
  • Rilevamento automatico sugli host di URL od oggetti precedentemente classificati come malware tramite la sandbox.
  • Il controllo relativo all'esecuzione delle applicazioni (whitelisting, controllo dell'avvio, controllo dei privilegi), le policy di accesso alla rete, l'accesso all'unità USB, si basano sulla soluzione EPP, al pari di ulteriori elementi. Kaspersky Endpoint Security EPP fornisce tutte le funzionalità di prevenzione qui elencate.

La gestione di Kaspersky EDR è di tipo role-based e consente l'esecuzione delle seguenti attività, nell'ambito della gestione del flusso di lavoro: assegnazione degli avvisi, monitoraggio dello stato degli avvisi, registrazioni relative all'elaborazione degli avvisi. Le notifiche e-mail sono configurate in modo flessibile in base alle varie tipologie di avviso e alle relative combinazioni (tipo di rilevamento, gravità, ecc.).

Use case: in che modo viene scoperta la "kill chain"

Gli agenti EDR situati a livello di host inviano regolarmente gli eventi al server EDR interno.

  1. Uno degli eventi ricevuti sul server risulta associato all'esecuzione di un file con ricorrenza unica nel sistema IT aziendale (giudizio basato sul relativo hash). Il file presenta ugualmente ulteriori tratti sospetti.
  2. Il server attiva un'investigation più approfondita. Scarica il file in questione per l'effettuazione dell'analisi automatizzata tramite i motori analitici EDR. Il file viene messo in coda per l'esecuzione delle procedure di analisi automatica.
  3. La sandbox rileva il comportamento del file come malware e avvisa l'operatore.
  4. L'operatore avvia l'investigation manuale e controlla gli eventi potenzialmente associati all'infezione:
    a. Con gli strumenti di amministratore standard rileva che è stato effettuato l'accesso alle macchine infette da parte di un server web aziendale, disponibile attraverso Internet. Individua file e processi sospetti in esecuzione sul server, così come la creazione di eseguibili sospetti. Trova, infine, una web shell caricata dagli autori dell'attacco tramite una vulnerabilità presente sul sito web del server.
    b. Identifica tutti i server di command and control (C&C) relativi all'attacco in questione.
  5. L'operatore risponde all'attacco:
    a. Blocca tutti i C&C rilevati.
    b. Uccide i processi dannosi, terminandoli.
    c. Blocca l'esecuzione dei file di malware tramite i loro hash.
    d. Mette in quarantena malware e file sospetti, per condurre la successiva investigation.

Prodotti correlati

Tecnologie correlate