Beveiliging van bedrijfsnetwerken: Kaspersky Endpoint Detection and Response (KEDR)
Kaspersky EDR is een cyberbeveiligingsoplossing voor het beschermen van IT-systemen van bedrijven. Hiermee voegt u functies van Endpoint Detection and Response (EDR) toe aan IT-beveiliging:
- Automatisch en handmatig extraheren van ingewikkelde aanvalspatronen, uit gebeurtenissen op vele hosts.
- Reageren op aanvallen door hun voortgang te blokkeren.
- Toekomstige aanvallen voorkomen.
De behoefte aan EDR
Niet lang geleden werd bij een typische cyberaanval massale malware gebruikt. Er werden afzonderlijke endpoints aangevallen en vernietigd in individuele computers. Massale malwareaanvallen verlopen automatisch. Ze kiezen willekeurige slachtoffers via bulkmails, phishing-websites, valse wifi-hotspots enz. De oplossing bestond uit endpointbeveiligingsoplossingen (endpoint protection solutions of EPP) die hosts beschermen tegen massale malware.
Door de effectieve detectie van EPP's gingen aanvallers overschakelen op duurdere, maar effectievere doelgerichte aanvallen op specifieke slachtoffers. Vanwege de hoge kosten worden doelgerichte aanvallen meestal uitgevoerd tegen bedrijven, met het doel om geld te verdienen. Verkenning maakt deel uit van doelgerichte aanvallen, die zijn ontwikkeld om het IT-systeem van het slachtoffer binnen te dringen en de beveiliging te omzeilen. De kill chain van de aanval treft veel hosts in het IT-systeem.
Vanwege de enorme variatie in methoden en de door mensen gestuurde en interactieve aard, kunnen doelgerichte aanvallen EPP-beveiliging omzeilen.
- EPP's vertrouwen op wat ze zien op een individueel endpoint. Maar geavanceerde aanvallen werken op vele hosts en voeren relatief onverdachte acties uit op nog een ander endpoint. Zelfs als host-EPP's enkele van deze acties detecteren, kunnen de aanvallers uiteindelijk een kill chain voor meerdere hosts bouwen. Sporen van dergelijke aanvallen zijn dan over vele hosts verspreid.
- Een EPP-oordeel vindt automatisch plaats. Hierdoor kunnen de aanvallers controleren of hun aanval niet is gedetecteerd door de EPP van het slachtoffer of door andere automatische beveiligingsoplossingen. Aanvallers hebben grote verzamelingen anti-malware voor dit geval alleen.
- Leveranciers kunnen de beveiliging niet verbeteren door EPP-oplossingen alleen meer “paranoïde” te maken vanwege het risico op false positives. Zelfs wanneer er op een host iets dubbelzinnigs gebeurt wat mogelijk deel uitmaakt van een kill chain en van een legitieme actie, onderneemt EPP geen actie.
Om doelgerichte aanvallen aan te pakken, moeten leveranciers van cyberbeveiligingsproducten de EPP-oplossingen uitbreiden met EDR-functies (Endpoint Detection and Response):
- Centrale zichtbaarheid van gebeurtenissen bieden op vele hosts voor hun handmatige en automatische correlatie
- Beveiligingsmedewerkers voldoende gegevens bieden over gebeurtenissen
- Tools maken voor respons en herstel om menselijke aanvallen te bestrijden met menselijke cyberverdediging
In feite worden met EDR nieuwe lagen van endpointbeveiliging toegevoegd om geavanceerdere aanvallen te bestrijden.
De toegevoegde waarde van Kaspersky EDR op het gebied van beveiliging
Kaspersky EDR voegt beveiligingskracht toe aan een bestaande EPP-oplossing. EPP is gespecialiseerd in eenvoudigere, massale aanvallen (virussen, trojans enz.), terwijl EDR gericht is op geavanceerde aanvallen. Met deze oplossing zien analytici malwareactiviteit en gebeurtenissen met legitieme software in de context van een aanval en wordt de hele kill chain ontdekt.
Kaspersky EDR is volledig geïntegreerd met Kaspersky Enterprise Security EPP en kan werken met EPP-oplossingen van andere leveranciers. EDR voegt het volgende toe:
- Zichtbaarheid van gebeurtenissen op meerdere hosts: samenvoeging van aanvalssporen die verspreid zijn in het hele IT-systeem
- Detectie met krachtige methoden waarvoor veel rekenkracht nodig is, zijn niet beschikbaar voor normale gebruikers-endpoints vanwege het mogelijke effect op de normale gebruikersworkflow: sandbox, krachtige machine-learning-modellen, waaronder deep learning. Krachtige methoden bieden een betere detectie
- Geavanceerde tools voor incidentonderzoek, proactieve opsporing van dreigingen en reactie op aanvallen
Ontwerp van Kaspersky EDR
Elementen
- Endpointsensor: geïntegreerd met Kaspersky Endpoint Security in een enkelvoudige of standalone agent (voor implementatie met andere EPP-oplossingen)
- Servers op locatie (opslag van gebeurtenissen, analyse-engine, beheermodule, optioneel een sandbox). Op locatie blijven de gebeurtenisgegevens volledig onder controle van de klant
- De KSN-cloud of KPSN-privécloud voor meer uitgebreide detectie in realtime en snelle reactie op nieuwe dreigingen
EDR als onderdeel van Kaspersky Threat Management and Defense
Kaspersky EDR, Kaspersky Anti Targeted Attack-platform en Kaspersky Cybersecurity Service (KCS) vormen een pakket voor geavanceerde beveiliging en dreigingsinformatie:
- Kaspersky Anti Targeted Attack-platform voegt nieuwe netwerk-, web- en e-maildetectie toe, waardoor de detectie van doelgerichte aanvallen wordt uitgebreid naar het niveau “endpoint + netwerk”.
- Met KCS wordt geavanceerde ondersteuning toegevoegd voor het IT-beveiligingsteam van klanten: training, levering van dreigingsinformatie, beheer van Security Operation Center (SOC) door Kaspersky en andere opties.
Integratie met SIEM-systemen (Security Information & Event Management)
U kunt uw EDR integreren met SIEM-systemen van derden(detectiegegevens worden geëxporteerd in CEF (Common Event Format)).
Functies
Continue, centrale samenvoeging van gebeurtenissen en zichtbaarheid. EDR voegt in realtime gebeurtenissen van hosts samen:
- EDR voegt continu gebeurtenissen samen, ongeacht de oorzaak en mate van verdenking. Hierdoor is EDR effectiever tegen onbekende malware. We kunnen het ontwerpen om alleen verdachte gebeurtenissen of gebeurtenissen met malware toe te voegen en schijfruimte te besparen op de centrale node (zoals sommige andere EDR-oplossingen). Maar in dit geval worden legitieme acties van aanvallers met gestolen aanmeldingsgegevens niet geregistreerd en worden ook geen niet-herkende dreigingen geregistreerd.
- De centrale node van EDR uploadt een gebeurtenissenfeed vanaf hosts naar de opslag op de centrale node. De EDR's van sommige andere leveranciers slaan gebeurtenissen direct op hosts op. Wanneer de centrale node gegevens nodig heeft over gebeurtenissen, vraagt deze logboekgegevens aan de hosts. In dit ontwerp wordt schijfruimte bespaard op de centrale node, maar is het zoeken langzamer en afhankelijk van de verbinding. Ook is de zichtbaarheid van de host afhankelijk van de beschikbaarheid van de host in het netwerk.
Automatische detectie. Dreigingen die zichtbaar zijn binnen het bereik van een enkelvoudige host worden gedetecteerd door Kaspersky Endpoint Security met heuristische-, gedrags- en cloud-detectie (of met een andere EPP-hostapplicatie). Daarnaast voegt EDR detectielagen toe met een omvang van meerdere hosts, op basis van correlatie van de gebeurtenissenfeed van meerdere hosts.
Naast op gebeurtenis gebaseerde detectie, verzenden EDR-hostagents verdachte objecten of geheugenonderdelen automatisch naar de centrale node voor een uitgebreidere analyse met algoritmes die niet beschikbaar zijn voor normale rekenkracht op de host, waaronder krachtige voorverwerking, heuristiek, machine-learning-algoritmen, sandbox, uitgebreide clouddetectie, detectie op basis van de dreigingsgegevensfeed van Kaspersky en aangepaste detectieregels (YARA).
Handmatige detectie of opsporing van dreigingen, is het proactieve zoeken van een operator naar sporen van aanvallen en dreigingen. Met EDR kunt u zoeken in de hele gebeurtenissengeschiedenis van vele hosts die zijn samengevoegd in de opslag:
- U kunt de opslag doorzoeken op sporen van aanvallen en verdachte gebeurtenissen en deze vervolgens koppelen om de potentiële kill chain te reconstrueren. Zoekquery's in de database bieden ondersteuning voor samengestelde filters (op host, detectietechnologie, tijd, oordeel, ernstniveau enz.).
- U kunt nieuwe IOC's uploaden naar de EDR en eerder niet-gedetecteerde, persistente dreigingen detecteren.
- U kunt verdachte objecten handmatig verzenden voor uitgebreidere analyse met krachtige detectiemethoden.
- Als het bedrijf de KL TIP-service (Kaspersky Threat Intelligence Platform) heeft ingeschakeld, kunt u informatie vragen over objecten in de dreigingendatabase.
Responsis een actie die operators kunnen uitvoeren wanneer ze een dreiging detecteren. Deze acties omvatten:
- Incidentonderzoek, gebeurtenissen reconstrueren in de kill chain.
- Externe bewerkingen op de host, waaronder processen stoppen, bestanden verwijderen of in quarantaine zetten, programma's uitvoeren en andere acties.
- Inperking van de gedetecteerde dreiging via weigering van objectuitvoering op basis van hashes.
- Het ongedaan maken van wijzigingen op hosts als gevolg van malwareactiviteit is afhankelijk van de EPP-oplossing. Kaspersky Endpoint Security is een voorbeeld van een oplossing die dergelijke malwareacties ongedaan maakt.
Preventieis het beleid waarbij objectactiviteiten op endpoints worden beperkt:
- Met een beleid voor het weigeren van uitvoering op basis van hashes wordt voorkomen dat bepaalde bestanden (PE, scripts, Office-documenten, PDF) in het hele IT-systeem worden uitgevoerd. Zo kunt u aanvallen voorkomen die zich momenteel over de wereld verspreiden.
- Automatische detectie van objecten of URL's op hosts die eerder in een sandbox gedetecteerd werden als malware.
- Beheer van applicatie-uitvoer (whitelisting, opstartbeheer, rechtenbeheer), beleid voor netwerktoegang, toegang tot USB-stations en andere functies vertrouwen op de EPP-oplossing. Kaspersky Endpoint Security EPP biedt al deze preventiefuncties.
Beheer van Kaspersky EDR is rolgebaseerd en biedt workflowbeheer: toewijzing van waarschuwingen, traceren van waarschuwingsstatus, verwerking van waarschuwingsregistratie. E-mailmeldingen zijn flexibel geconfigureerd op basis van typen waarschuwingen en hun combinaties (detectietype, ernst enz.).
Gebruiksscenario: de kill chain blootleggen
EDR-hostagents verzenden routinematig gebeurtenissen naar de interne EDR-server.
- Een van de gebeurtenissen ontvangen op de server wordt gekoppeld aan de uitvoering van een uniek bestand in het IT-systeem van het bedrijf (door de hash te bekijken). Het bestand heeft ook andere verdachte kenmerken.
- De server activeert een uitgebreider onderzoek. De server downloadt het bestand zelf voor geautomatiseerde analyse door de EDR-analyse-engines. Het bestand wordt in de wachtrij geplaatst voor automatische analyseprocedures.
- De sandbox detecteert bestandsgedrag als malware en waarschuwt de operator.
- De operator start een handmatig onderzoek en controleert of de gebeurtenissen mogelijk te maken hebben met de infectie:
a. Met de standaard beheertools ontdekt de operator dat toegang is verkregen tot de geïnfecteerde computers vanaf een webserver van het bedrijf die beschikbaar is op het internet. De operator vindt verdachte bestanden en processen die worden uitgevoerd op de server en merkt dat er verdachte uitvoerbare bestanden zijn gemaakt. De operator vindt uiteindelijk een webshell die aanvallers hebben geüpload via een kwetsbaarheid op de website van de server.
b. De operator vindt alle C&C-servers (Command & Control) voor deze aanval. - De operator reageert op de aanval:
a.Blokkeert alle gedetecteerde C&C's.
b.Stopt schadelijke processen.
c.Blokkeert de uitvoering van malwarebestanden via hun hashes.
d.Zet malware en verdachte bestanden in quarantaine om deze later te onderzoeken.