Saltar al contenido principal
TECHNOLOGY

Protección de redes corporativas: Kaspersky Endpoint Detection and Response (KEDR)

A diferencia de las soluciones de endpoint único, la solución de clase EDR proporciona visibilidad de eventos en varios host y métodos de detección "exhaustivos" (sandbox, modelos de aprendizaje profundo, correlación de eventos), así como herramientas avanzadas para la investigación de incidentes, la búsqueda proactiva de amenazas y la respuesta a ataques.

Kaspersky EDR es una solución de ciberseguridad que protege los sistemas de TI corporativos. Agrega capacidades de detección y respuesta de endpoints (EDR) para efectos de seguridad de TI:

  • Extrae de forma automática y manual patrones de ataques elaborados a partir de eventos ocurridos en muchos hosts.
  • Responde a los ataques bloqueando su progreso.
  • Previene ataques futuros.

La necesidad de EDR

No hace mucho tiempo, los ciberataques típicos usaban malware masivo. Tenían como objetivo endpoints separados y se liberaban dentro de una sola computadora. Los ataques masivos de malware son automáticos, seleccionan víctimas al azar a través de correos electrónicos masivos, sitios web de suplantación de identidad, puntos de acceso Wi-Fi no autorizados, etc. Se debían usar soluciones de protección de endpoint (EPP) que protegieran a los hosts de los malware masivos.

Cuando se enfrentaban a una detección eficaz basada en EPP, los atacantes cambiaban a una táctica más costosa, pero más eficaz, de lanzar ataques selectivos a víctimas específicas. Debido a los altos costos, los ataques selectivos se usan generalmente contra empresas con el objetivo de obtener ganancias. Los ataques selectivos involucran una fase de reconocimiento previo y están diseñados para penetrar el sistema de TI de la víctima y evadir su protección. La cadena de eliminación de ataques involucra a muchos hosts del sistema de TI.

Debido a la gran variedad de métodos y a su naturaleza interactiva y dirigida por humanos, los ataques selectivos pueden evadir la seguridad basada en EPP:

  • Las EPP se basan en lo que ven en un solo endpoint. Sin embargo, los ataques avanzados actúan en muchos hosts, lo que hace que realicen acciones relativamente poco sospechosas en otro endpoint. Incluso si las EPP del host detectan algunas de estas acciones, los atacantes finalmente construyen una cadena de eliminación de múltiples hosts. Los rastros de estos ataques quedan dispersos en muchos hosts.
  • Como el veredicto de la EPP es automático, los atacantes pueden verificar que la EPP de la víctima u otras soluciones de seguridad automática no hayan detectado su ataque. Los atacantes tienen granjas completas de antimalware solo para este caso.
  • Los proveedores no pueden aumentar la protección con solo hacer soluciones de EPP que sean más "paranoicas" a causa del riesgo de que se generen falsos positivos. Por lo tanto, incluso cuando se produce algo ambiguo en un host que podría ser parte de una cadena de eliminación, así como una acción legítima, la EPP está diseñada para no interferir.

Para abordar los ataques selectivos, los proveedores de ciberseguridad extienden las soluciones de EPP con las funciones de detección y respuesta de endpoints (EDR) a través de los siguientes métodos:

  • Proporcionar una visibilidad centralizada de los eventos en muchos hosts para sus correlación manual y automática
  • Proporcionar datos suficientes sobre eventos al personal de seguridad
  • Crear herramientas para la respuesta y la corrección, con lo cual se contrarrestan los ataques selectivos por personas con ciberdefensa dirigida por personas

En esencia, la EDR agrega nuevas capas de protección de endpoints contra ataques avanzados.

Esfuerzo de seguridad de Kaspersky EDR

Kaspersky EDR agrega potencia de protección a una solución de EPP existente. La EPP se especializa en ataques masivos más simples (virus, troyanos, etc.), mientras que la EDR se concentra en ataques avanzados. Con esta solución, los analistas ven la actividad del malware, así como los eventos con software legítimo en el contexto de un ataque, lo que permite descubrir toda la cadena de eliminación.

Kaspersky EDR está completamente integrado con la EPP de Kaspersky Enterprise Security, y puede trabajar con soluciones de EPP de otros proveedores. EDR agrega los siguientes elementos:

  • Visibilidad de eventos en múltiples host: adición de rastros de ataque distribuidos en el sistema de TI
  • La detección con métodos "exhaustivos", que requiere mucha capacidad de procesamiento no disponible para los endpoints de los usuarios habituales debido al posible efecto en las labores regulares de los usuarios: preprocesamiento avanzado, sandbox, modelos de aprendizaje automático exhaustivo, incluido el aprendizaje profundo y otros. Los métodos exhaustivos proporcionan una detección de mejor calidad
  • Herramientas avanzadas para la investigación de incidentes, la búsqueda proactiva de amenazas y la respuesta a ataques

Kaspersky EDR Optimum

Elementos

  • Sensor de endpoint: integrado con Kaspersky Endpoint Security en un solo agente o independiente (para la implementación con otras soluciones de EPP)
  • Servidores en las instalaciones (almacenamiento de eventos, motor de análisis, módulo de administración, opcionalmente, un sandbox). La ubicación en las instalaciones mantiene los datos del evento bajo el control total del cliente
  • La nube KSN o la nube privada KPSN para enriquecimiento en la detección en tiempo real y una reacción inmediata ante nuevas amenazas

EDR como parte de Kaspersky Threat Management and Defense

Kaspersky EDR, Kaspersky Anti Targeted Attack Platform y Kaspersky Cybersecurity Service (KCS) conforman una medida adecuada para la protección avanzada y la inteligencia de amenazas:

  • Kaspersky Anti Targeted Attack Platform agrega detección basada en la red, Internet y correo electrónico, lo que extiende el alcance de la solución de detección de ataques selectivos a nivel de "endpoint y red".
  • KCS agrega soporte avanzado para el equipo de seguridad de TI del cliente: capacitación, datos de inteligencia de amenazas, administración de centros de operaciones de seguridad (SOC) de Kaspersky y otras opciones.

Integración con sistemas de administración de eventos e información de seguridad (SIEM)

Puede integrar nuestra EDR con sistemas SIEM de otros fabricantes (detecte los datos que se exportan en formato de evento común [CEF]).

Características

Adición y visibilidad de eventos centralizados continuos. La EDR agrega eventos de hosts en tiempo real:

  • La EDR incorpora eventos de forma continua, independientemente de su causa y su calidad de sospechoso. Esto hace que la EDR sea más eficaz contra malware desconocidos. Podríamos diseñarlo para agregar solo eventos sospechosos o de malware y, por lo tanto, ahorrar espacio en el disco en el nodo central (al igual que otras soluciones de EDR). Sin embargo, las acciones legítimas de los atacantes con credenciales robadas no se registrarían, y las nuevas amenazas no reconocidas tampoco activarían el registro.
  • El nodo central de EDR carga información de eventos desde los hosts en su almacenamiento en el nodo central. Algunas EDR de otros proveedores almacenan eventos directamente en los hosts. Cuando el nodo central necesita datos sobre eventos, solicita información de registro a los hosts. Este diseño ahorra espacio en el disco del nodo central, pero hace que la búsqueda sea más lenta y dependa de la conexión, y ofrece visibilidad del host según la disponibilidad del host en la red.

Detección automática. Kaspersky Endpoint Security detecta las amenazas visibles en el alcance de un solo host con detección heurística, de comportamiento y de nube (o con otra aplicación de host de EPP). Además de esto, la EDR agrega capas de detección con un alcance de múltiples host sobre la base de la correlación de transmisión de eventos de varios hosts.

Aparte de la detección basada en eventos, los agentes del host de EDR envían automáticamente objetos o partes de la memoria sospechosos al nodo central para realizar un análisis más exhaustivo con algoritmos que no están disponibles para la capacidad de procesamiento del host regular, incluidos el procesamiento previo exhaustivo, la heurística y algoritmos de aprendizaje automático, sandbox, la detección de nube ampliada, la detección basada en las fuentes de datos sobre amenazas de Kaspersky y las reglas de detección personalizadas (YARA).

La detección manual (o la búsqueda de amenazas) corresponde a la búsqueda proactiva por parte de un operador para detectar rastros de ataques y amenazas. La EDR permite "buscar" en todo el historial de eventos de muchos hosts agregados en el almacenamiento:

  • Puede buscar rastros de ataques y eventos sospechosos en el almacenamiento y vincularlos para reconstruir la posible cadena de eliminación. Las consultas de búsqueda en la base de datos admiten la aplicación de filtros compuestos (por hosts, tecnología de detección, hora, veredicto, nivel de gravedad, etc.).
  • Puede cargar nuevos IOC en la EDR y hallar amenazas persistentes no detectadas antes.
  • Puede enviar manualmente objetos sospechosos para un análisis más detallado mediante métodos de detección "exhaustivos".
  • Si la empresa ha habilitado el servicio KTIP (Kaspersky Threat Intelligence Platform), puede solicitar información sobre los objetos en la base de datos de amenazas.

Las respuestas son las acciones que un operador puede realizar cuando detecta una amenaza. Estas acciones pueden incluir las siguientes:

  • Investigación de incidentes, reconstrucción de eventos en la cadena de eliminación.
  • Operaciones remotas en el host, incluidas la eliminación de procesos, la eliminación o la puesta en cuarentena de archivos, la ejecución de programas y otras acciones.
  • Neutralización de la amenaza detectada mediante la denegación de la ejecución del objeto basada en hash.
  • La reversión de cambios en hosts causados por la actividad de malware depende de la solución de EPP. Por ejemplo, Kaspersky Endpoint Security deshace dichas acciones de malware.

La prevención se refiere a las políticas que restringen las actividades de objetos en los endpoints:

  • Las directivas de denegación de ejecución basadas en el hash impiden la ejecución de determinados archivos (PE, scripts, documentos de oficina, PDF) en todo el sistema informático, lo que permite prevenir los ataques que se estén propagando por todo el mundo en un momento dado.
  • Detección automática de objetos o direcciones URL en hosts, que ya se hayan detectado en un sandbox como malware.
  • El control de ejecución de aplicaciones (whitelisting, control de inicio, control de privilegios), las políticas de acceso a la red, el acceso a la unidad USB y otros dependen de la solución de EPP. La EPP de Kaspersky Endpoint Security proporciona todas estas funciones de prevención.

La administración de Kaspersky EDR se basa en roles y proporciona administración del flujo de trabajo: asignación de alertas, seguimiento del estado de alerta, procesamiento de alertas de registro. Las notificaciones de correo electrónico se configuran de forma flexible según los tipos de alertas y sus combinaciones (detección de tipo, gravedad, etc.).

Caso de uso: detección de la cadena de eliminación

Los agentes del host de EDR tienen una rutina de envio de eventos al servidor interno de EDR.

  1. Uno de los eventos recibidos en el servidor está asociado con la ejecución de un archivo con una ocurrencia única en el sistema de TI corporativo (a juzgar por su hash). El archivo también tiene otros rasgos sospechosos.
  2. El servidor desencadena una investigación más exhaustiva. Descarga el archivo en sí para realizar el análisis automatizado mediante motores analíticos de EDR. El archivo está en cola para realizar los procedimientos de análisis automáticos.
  3. El sandbox detecta el comportamiento de los archivos como malware y alerta al operador.
  4. El operador inicia una investigación manual y comprueba los eventos posiblemente asociados con la infección:
    a. Con las herramientas estándar del administrador, detecta que se ha accedido a las máquinas infectadas desde un servidor web corporativo, que está disponible desde Internet. Detectan archivos y procesos sospechosos que se ejecutan en el servidor, además de la creación de archivos ejecutables sospechosos. Finalmente, detecta un shell web que los atacantes cargaron a través de una vulnerabilidad en el sitio web del servidor.
    b. Identifica todos los servidores de comando y control (C&C) de este ataque.
  5. El operador responde al ataque:
    a. Bloquea todos los servidores de administración detectados.
    b. Elimina los procesos maliciosos.
    c. Bloquea la ejecución de archivos de malware por sus hashes.
    d. Pone en cuarentena el malware y los archivos sospechosos para investigarlos más tarde.

Productos relacionados

Tecnologías relacionadas