Рабочие места остаются основной мишенью злоумышленников при проведении комплексных кибератак. Для оперативного выявления и эффективного расследования подобных инцидентов компаниям важно иметь наглядное представление о происходящем и проводить анализ подозрительных активностей в рамках всей инфраструктуры рабочих мест, а не на уровне отдельных рабочих станций и серверов, как это было ранее. Kaspersky Endpoint Detection and Response (EDR) предоставляет специалистам ИБ полную картину событий в инфраструктуре рабочих мест и позволяет автоматизировать выполнение рутинных задач по выявлению, приоритизации, расследованию и нейтрализации сложных угроз из единого веб-интерфейса.


  • Единый агент для комплексной защиты

    Единый агент позволяет организациям использовать одновременно решения Kaspersky EDR и Kaspersky Security для бизнеса без дополнительных затрат на обслуживание и поддержку агентов при минимальном воздействии на производительность рабочих мест. В рамках одного агента компании получают передовой контроль рабочих мест, автоматическое предотвращение рядовых угроз, а также эффективное обнаружение, приоритизацию, детальное расследование сложных угроз и централизованное реагирование на комплексные инциденты.

  • Удобство использования и автоматизация рутинных задач

    В результате использования Kaspersky EDR повышается уровень вовлеченности специалистов ИБ и снижается необходимость привлечения дополнительных ресурсов при общем увеличении числа качественно обработанных инцидентов. Это происходит за счет автоматизации выполнения ручных операций, связанных с процессами обнаружения, расследования и реагирования на инциденты и использования единого интуитивно понятного веб-интерфейса для мониторинга и анализа выявленных угроз, IoC-сканирования, ручного поиска угроз и централизованного реагирования.

  • Быстрый поиск индикаторов компрометации (IoC)

    Для упрощения работы специалистов ИБ по выявлению индикаторов компрометации Kaspersky EDR позволяет загружать IoC, полученные от ФинЦЕРТ и из других источников данных об угрозах, в формате Open IoC и настраивать автоматические сценарии IoC-проверки. Сканирование инфраструктуры рабочих мест может проводиться в режиме реального времени или по расписанию, а также может осуществляться проверка базы ретроспективных данных по запросу или по расписанию. Это существенно повышает эффективность и скорость расследования и принятия оперативных мер по реагированию на инциденты.

  • Детальный анализ событий и проактивный поиск угроз

    Kaspersky EDR в автоматическом режиме сопоставляет все события с уникальным набором индикаторов атак от «Лаборатории Касперского» (IoA-анализ), которые в свою очередь сверяются с базой знаний тактик и техник злоумышленников MITRE ATT&CK. Это позволяет проводить глубокий анализ сложных угроз и оперативно реагировать на них. Kaspersky EDR также позволяет специалистам ИБ составлять сложные запросы на поиск нетипичного поведения, подозрительной активности и иных признаков вредоносных действий с учетом особенностей защищаемой инфраструктуры, чтобы проактивно выявлять угрозы (Threat Hunting) и своевременно принимать необходимые меры для успешного отражения атак. 

  • Автоматический сбор и централизованное хранение данных

    Kaspersky EDR постоянно производит запись телеметрии в централизованное хранилище. Это позволяет при расследованиях оперативно получать доступ к ретроспективным данным, что особо актуально при недоступности скомпрометированных рабочих станций или зашифровки данных злоумышленниками. Централизованное хранение данных и вердиктов позволяют организациям своевременно предоставлять информацию об обнаруженных угрозах службе реагирования и/или регулирующим органам, в строгом соответствии с требованиями российского законодательства по обеспечению безопасности критической информационной инфраструктуры (КИИ).

  • Минимизация затрат на реагирование и восстановление

    Kaspersky EDR помогает сотрудникам службы ИБ оперативно устранять последствия атак на отдельных рабочих станциях и серверах и восстанавливать их работоспособность. За счет наглядного представления информации и централизованной постановки задач по реагированию:
      • удаление объекта,
      • карантин файла,
      • выполнение произвольных команд на хосте,
      • сетевая изоляция рабочих мест и др.,
    организации значительно уменьшают количество рутинных ручных операций и сокращают время реагирования с часов до минут.

ПРИМЕНЕНИЕ

«Лаборатория Касперского» предлагает решение по противодействию комплексным угрозам на уровне рабочих станций и серверов, которое учитывает специфику различных отраслей и помогает обеспечить соответствие нормативам внешних регулирующих органов, стандартам банковской отрасли, PCI DSS, GDPR, а также требованиям законодательства по защите критической информационной инфраструктуры (КИИ).

Awards
Kaspersky Anti-Targeted Attack Platform
ICSA Labs: тестирование расширенной защиты от сложных угроз (Q1, Q2, Q3, Q4)
Recognition
Kaspersky Threat Management and Defense
Radicati: магический квадрант рынка решений для защиты от APT-угроз, 2019
Kaspersky Threat Intelligence Services
The Forrester New Wave™: внешние сервисы информирования об угрозах , Q3 2018

Преимущества

  • Интегрированный подход к защите рабочих мест от сложных угроз

    Kaspersky EDR предоставляется в рамках единого программного агента c Kaspersky Security для бизнеса. Это позволяет компаниям, которые уже используют Kaspersky Security для бизнеса, получить функциональность Kaspersky EDR без развертывания дополнительных агентов на рабочих местах, а также избежать дополнительной нагрузки и снижения производительности рабочих мест, минимизировать затраты на обслуживание, упростить процесс контроля и обеспечить полноценную защиту рабочих станций и серверов от сложных угроз.

  • Выстроенный процесс управления инцидентами

    Автоматический сбор, запись и централизованное хранение данных с рабочих мест обеспечивают оперативный доступ к нужной информации при расследовании комплексных инцидентов. Постоянный мониторинг и визуализация всех этапов поиска угроз, IoC-сканирование, IoA-анализ и встроенная корреляция событий позволяют понять всю последовательность действий злоумышленников и эффективно применять необходимые меры по реагированию без использования вспомогательных инструментов и привлечения дополнительных ресурсов.

  • Высокое качество и скорость реагирования на сложные инциденты

    Качество и скорость реагирования на инциденты – важные показатели эффективности работы службы ИБ. Централизованное управление инцидентами в рамках всей инфраструктуры рабочих станций и серверов и поддержка широкого спектра действий по реагированию из единой веб-консоли помогают компаниям избежать простоев и потери производительности рабочих мест, а также значительно упрощают работу служб ИБ, устраняя необходимость привлечения ИТ-специалистов и дополнительных ресурсов.

24/7

Круглосуточная поддержка и профессиональные сервисы

Специалисты технической поддержки готовы прийти на помощь в любой момент. Воспользуйтесь премиальными пакетами Расширенной технической поддержки или профессиональными сервисами. Они помогут извлечь максимум из установленных у вас решений «Лаборатории Касперского».

Актуальные проблемы

  • Scan

    Необходимость ручного разбора и анализа большого числа инцидентов

  • Scan

    Эксплуатация средств ИБ, которые не взаимодействуют друг с другом и управляются из разных консолей

  • Scan

    Принятие решений без использования средств для наглядного централизованного представления информации

  • Scan

    Выполнение сложных задач в условиях нехватки квалифицированных кадров и экспертизы

  • Scan

    Недостаточная автоматизация процессов противодействия сложным угрозам и отсутствие возможности централизованного хранения данных

  • Scan

    Несоответствие требованиям внешних регулирующих органов и действующего отраслевого законодательства

Обсудите с нашими экспертами, как обеспечить надежную защиту вашей организации от киберугроз.