Proteção de rede corporativa: Kaspersky Endpoint Detection and Response (KEDR)
O Kaspersky EDR é uma solução de cibersegurança para a proteção dos sistemas de TI corporativos. Ele acrescenta recursos de detecção e resposta em endpoints (EDR, Endpoint Detection and Response) à segurança da TI:
- Extração de padrões de ataques elaborados, automática e manualmente, a partir de eventos em muitos hosts.
- Resposta a ataques bloqueando o progresso deles.
- Prevenção de ataques futuros.
A necessidade do EDR
Não muito tempo atrás, um ataque cibernético típico utilizava malware em massa. Ele visava endpoints separados e era detonado em computadores individuais. Os ataques de malware em massa eram automáticos, eles escolhiam vítimas aleatórias por meio de e-mails em massa, sites de phishing, hotspots de Wi-Fi desconhecidos, etc. A remediação era usar soluções de proteção de endpoints (EPP), que protegiam os hosts do malware em massa.
Ao enfrentar a detecção eficaz baseada em EPP, os hackers mudaram para uma tática mais cara, porém mais eficaz, de iniciar ataques direcionados contra vítimas específicas. Devido ao custo elevado, os ataques direcionados são normalmente utilizados contra empresas, com o objetivo de obter lucro. Os ataques direcionados envolvem reconhecimento e são desenvolvidos para penetrar no sistema de TI da vítima e contornar sua proteção. A kill chain do ataque envolve muitos hosts do sistema de TI.
Devido à grande variedade de métodos e à sua natureza interativa conduzida por humanos, os ataques direcionados podem contornar a segurança baseada em EPP:
- As EPPs dependem daquilo que veem em um único endpoint. Mas os ataques avançados atuam em muitos hosts, executando ações relativamente insuspeitas em outro endpoint. Mesmo que as EPPs do host detectem algumas dessas ações, os hackers eventualmente constroem uma kill chain em vários hosts. Os vestígios desses ataques são espalhados por muitos hosts.
- Como o veredito da EPP é automático, os hackers podem verificar se o seu ataque não foi detectado pela EPP da vítima ou por outras soluções de segurança automáticas. Os hackers mantêm farms inteiros de antimalware apenas para esta finalidade.
- Os fornecedores não podem aumentar a proteção apenas tornando as soluções de EPP mais "paranoicas" devido ao risco de falsos positivos. Por isso, mesmo quando algo ambíguo está acontecendo em um host que pode fazer parte de uma kill chain, mas também de uma ação legítima, a EPP está programada para não interferir.
Para solucionar ataques direcionados, os fornecedores de cibersegurança ampliam as soluções de EPP com recursos de detecção e resposta nos endpoints (EDR, Endpoint Detection and Response):
- Fornecer visibilidade centralizada de eventos em muitos hosts para a correlação manual e automática
- Fornecer à equipe de segurança dados suficientes sobre os eventos
- Criar ferramentas de resposta e neutralização, enfrentando os ataques conduzidos por humanos com defesa cibernética conduzida por humanos
De forma geral, a EDR acrescenta novos níveis de proteção de endpoints contra ataques avançados.
Contribuição do Kaspersky EDR para a segurança
O Kaspersky EDR adiciona capacidade de proteção a uma solução de EPP existente. A EPP é especializada em ataques em massa mais simples (vírus, cavalos de Troia, etc.), ao passo que o EDR se concentra em ataques avançados. Com essa solução, as análises exibem a atividade do malware, bem como eventos de software legítimo no contexto de um ataque, revelando toda a kill chain.
O Kaspersky EDR é totalmente integrado ao Kaspersky Enterprise Security EPP e pode funcionar com soluções de EPP de outros fornecedores. O EDR adiciona o seguinte:
- Visibilidade de eventos em vários hosts: agregação de vestígios do ataque espalhados pelo sistema de TI
- Detecção com métodos "pesados", o que exige muita potência de computação que não está disponível para endpoints de usuários normais devido ao possível efeito no fluxo de trabalho desse tipo de usuário: pré-processamento avançado, sandbox, modelos potentes de Machine Learning, incluindo deep learning, e outros. Os métodos pesados oferecem detecção de melhor qualidade
- Ferramentas especializadas para investigação de incidentes, busca proativa de ameaças e resposta a ataques
Design do Kaspersky EDR
Elementos
- Sensor de endpoint: integrado ao Kaspersky Endpoint Security em agente único ou no modo autônomo (para implementação com outras soluções de EPP)
- Servidores no local (armazenamento de eventos; mecanismo analítico; módulo de gerenciamento; opcionalmente, uma sandbox). A localização interna mantém o cliente em total controle dos dados do evento
- Nuvem da KSN ou nuvem privada da KPSN para enriquecimento da detecção em tempo real e reação imediata a novas ameaças
EDR como parte do Kaspersky Threat Management and Defense
O Kaspersky EDR, a Kaspersky Anti Targeted Attack Platform e o Kaspersky Cybersecurity Service (KCS) formam um pacote de proteção avançada e inteligência de ameaças:
- A Kaspersky Anti Targeted Attack Platform inclui detecção com base na rede, na Web e no e-mail, ampliando o escopo da solução de detecção de ataques direcionados até o nível "endpoint+rede".
- O KCS oferece suporte especializado para a equipe de segurança de TI do cliente: treinamento, fornecimento de dados de inteligência de ameaças, gerenciamento do centro de operações de segurança (SOC) pela Kaspersky e outras opções.
Integração com sistemas de gerenciamento de informações e eventos de segurança (SIEM, Security information and event management)
É possível integrar nosso EDR a sistemas SIEM de terceiros (os dados detectados são exportados no formato de eventos comum, CEF).
Recursos
Visibilidade e agregação de eventos centralizadas e contínuas. O EDR agrega eventos de hosts em tempo real:
- O EDR agrega eventos constantemente, independentemente da causa e da suspeita. Isso torna o EDR mais eficaz contra malware desconhecido. Poderíamos projetá-lo para agregar apenas eventos de malware ou suspeitos e, assim, poupar espaço em disco no nó central (assim como fazem outras soluções EDR). Mas nesse caso, as ações legítimas dos hackers com credenciais roubadas não seriam registradas e as novas ameaças não reconhecidas também não acionariam o registro.
- O nó central do EDR carrega o feed de eventos dos hosts em seu armazenamento no nó central. Alguns EDRs de outros fornecedores armazenam os eventos diretamente nos hosts. Quando o nó central precisa de dados sobre os eventos, ele solicita as informações de registro aos hosts. Esse método poupa espaço em disco no nó central, mas torna a pesquisa mais lenta e dependente da conexão, com a visibilidade do host dependente da disponibilidade do host na rede.
Detecção automática. As ameaças visíveis no escopo de um host único são detectadas pelo Kaspersky Endpoint Security com a detecção na nuvem, comportamental e heurística (ou com outro aplicativo de host de EPP). Além disso, o EDR adiciona níveis de detecção com escopo de vários hosts, de acordo com a correlação do feed de eventos de múltiplos hosts.
Além da detecção baseada em eventos, os agentes de host do EDR enviam automaticamente objetos suspeitos ou partes de memória para o nó central para uma análise mais aprofundada com algoritmos indisponíveis para a potência de computação de host normal, incluindo pré-processamento potente, algoritmos de Machine Learning e heurística, sandbox, detecção ampliada na nuvem, detecção baseada no feed de dados de ameaças da Kaspersky, regras de detecção personalizadas (YARA).
Detecção manual, ou busca de ameaças, é a pesquisa proativa de vestígios de ataques e ameaças feita por um operador. O EDR permite pesquisar todo o histórico de eventos de vários hosts, agregado no armazenamento:
- Você pode pesquisar no armazenamento vestígios de ataques e eventos suspeitos e associá-los para reconstruir a possível kill chain. As consultas nos bancos de dados suportam filtros compostos (por hosts, tecnologia de detecção, tempo, veredito, nível de gravidade, etc.).
- Você pode carregar novos IOCs ao EDR e detectar ameaças persistentes que não eram encontradas anteriormente.
- Você pode enviar manualmente objetos suspeitos para análise mais profunda por métodos de detecção "pesados".
- Se a empresa tiver ativado o serviço KL TIP (Kaspersky Threat Intelligence Platform), você poderá solicitar informações sobre objetos no banco de dados de ameaças.
Resposta é a ação que um operador pode realizar ao detectar uma ameaça. Essas ações incluem:
- Investigação do incidente, reconstruindo os eventos na kill chain.
- Operações remotas no host, incluindo o encerramento do processo, a exclusão ou a quarentena de arquivos, a execução de programas e outras ações.
- Contenção da ameaça detectada por negação baseada em hash da execução do objeto.
- A reversão das alterações nos hosts causada pela atividade do malware depende da solução de EPP. Por exemplo, o Kaspersky Endpoint Security desfaz essas ações do malware.
Prevenção são as políticas que restringem as atividades do objeto nos endpoints:
- As políticas de negação de execução com base em hash impedem a execução de certos arquivos (PE, scripts, documentos do Office, PDF) em todo o sistema de TI e permitem que você impeça ataques que estão se espalhando pelo mundo.
- Detecção automática de objetos ou URLs nos hosts, os quais haviam sido detectados anteriormente em uma sandbox como malware.
- Controle de execução de aplicativos (lista de permissões, controle de inicialização, controle de privilégios), políticas de acesso à rede, acesso à unidade USB e outros fatores dependem da solução de EPP. O Kaspersky Endpoint Security EPP oferece todos esses recursos de prevenção.
O gerenciamento do Kaspersky EDR é baseado em funções e fornece gerenciamento de fluxo de trabalho: atribuição de alertas, status de alertas de rastreamento e registro de processamento de alertas. As notificações de e-mail são configuradas de forma flexível, de acordo com os tipos de alerta e suas combinações (tipo de detecção, gravidade, etc.).
Caso de uso: descoberta da kill chain
Os agentes de host do EDR enviam eventos para o servidor interno do EDR regularmente.
- Um dos eventos recebidos no servidor é associado à execução de um arquivo com ocorrência única no sistema de TI corporativo (a julgar pelo seu hash). O arquivo também tem outros traços suspeitos.
- O servidor aciona uma investigação mais minuciosa. Ele baixa o arquivo para análise automatizada pelos mecanismos analíticos do EDR. O arquivo entra na fila dos procedimentos analíticos automáticos.
- A sandbox detecta o comportamento do arquivo como malware e alerta o operador.
- O operador inicia uma investigação manual e verifica os eventos possivelmente associados à infecção:
a. Com ferramentas de administrador padrão, ele descobre que as máquinas infectadas foram acessadas a partir de um servidor Web corporativo, que está disponível na Internet. Ele encontra os arquivos e processos suspeitos em execução no servidor, bem como a criação de executáveis suspeitos. Eventualmente, encontra um Web shell que os hackers carregaram através de uma vulnerabilidade no site do servidor.
b. Ele identifica todos os servidores de comando e controle (C&C) do ataque. - O operador responde ao ataque:
a. Bloqueia todos os C&Cs detectados.
b. Encerra os processos maliciosos.
c. Bloqueia a execução de arquivos de malware pelos respectivos hashes.
d. Coloca em quarentena os arquivos suspeitos e de malware para investigação posterior.