Решение, разработанное «Лабораторией Касперского», которое обеспечивает комплексную защиту от намеренных кибератак. Осуществляя мониторинг сетевого трафика (NTA) в режиме реального времени, достигается отличная скорость реагирования. А в сочетании с поведенческим анализом проявления активности на отдельных устройствах и динамическим анализом не внушающих доверия объектов дает возможность объективно оценить общее представление того, что происходит в радиусе корпоративной IT-инфраструктуры.
KATA способствует расследованию произошедших кибератак, а также службам реагирования, путем предоставления соответствующей информации, которая собирается и хранится централизованно.
Главной задачей систем противодействия целевым атакам является повышения затрат, необходимых для успешной кибератаки до такого уровня, но котором она будет невыгодной. Поэтому используемые технологии обнаружения разделяются на уровни, каждый из которых отвечает за свою специфику. Основная задача Kaspersky Anti Targeted Attack заключается в обнаружении признаков кибератак на каждом этапе их развития. Технология Sandbox (песочница) реализует эту задачу, организовывая каждый уровень защиты под конкретный этап кибератаки.
Ключевые функции Kaspersky Anti Targeted Attack Platform
- Наглядная визуализация, мониторинг и автоматизация процесса сбора и хранения данных, цифровых улик и вердиктов
- Сформированный процесс по анализу сетевого трафика и автоматическому обнаружению угроз с помощью передовых технологий на базе машинного обучения
- Многоуровневый динамический анализ объектов в изолированной среде для эмуляции вредоносного ПО и противодействия методам обхода песочницы
- Постоянное взаимодействие с глобальной базой знаний об угрозах и автоматическое получение информации о репутации файлов, интернет-ресурсов и ПО
- Встроенное сопоставление данных, получаемых в режиме реального времени, с ретроспективными данными и вердиктами от механизмов детектирования и песочницы
- Автоматическая консолидация всех полученных данных в единый инцидент ИБ для эффективного расследования и оперативного реагирования
Kaspersky Anti Targeted Attack Platform – решение , предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как, например, атаки «нулевого дня», целевые атаки и сложные целевые атаки advanced persistent threats (далее также «APT»).
KATA разработана для корпоративных пользователей и может интегрироваться в IT-инфраструктуру организации следующими способами:
- Интегрироваться в локальную сеть, получать и обрабатывать зеркалированный трафик и извлекать объекты и метаинформацию HTTP-, FTP-, SMTP- и DNS-протоколов, а также SMTP-протокола.
- Подключаться к прокси-серверу, получать и обрабатывать ICAP-данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
- Подключаться к почтовому серверу и обрабатывать копии сообщений электронной почты, поступающие по протоколам POP3(S) и SMTP.
- Устанавливаться на отдельные компьютеры, входящие в IT-инфраструктуру организации и работающие под управлением операционной системы Microsoft® Windows®, осуществлять
постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами. Вы можете настроить правила запрета запуска файлов в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. - Интегрироваться с программой «Лаборатории Касперского» Kaspersky Secure Mail Gateway и обрабатывать копии сообщений электронной почты.
- Интегрироваться с программой «Лаборатории Касперского» Kaspersky Private Security Network (далее также «KPSN»), чтобы получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в Kaspersky Security Network со своих компьютеров.
- Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ «Лаборатории Касперского» на угрозы, повышает эффективность работы
некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. - Интегрироваться с программой «Лаборатории Касперского» Kaspersky Endpoint Security и наблюдать за процессами, открытыми сетевыми соединениями и изменяемыми файлами пользователей Kaspersky Endpoint Security в сети вашей организации.
- Интегрироваться с программой «Лаборатории Касперского» Kaspersky Security Center версии 10 SP3. После интеграции доступны: удаленная установка, удаление, включение, отключение, а также мониторинг состояния работы компонента Endpoint Sensors на рабочих станциях сети.
- Добавлена возможность получения сведений о работе Endpoint Sensors как в интерфейсе KSC, так и в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
- Интегрироваться с информационной системой «Лаборатории Касперского» Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
Программа обнаруживает следующие события, происходящие внутри IT-инфраструктуры организации:
- На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла.
- На адрес электронной почты пользователя локальной сети организации был отправлен файл.
- На компьютере локальной сети организации была открыта ссылка на веб-сайт.
- IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности.
- На компьютере локальной сети организации были запущены процессы.
Важно! Kaspersky Anti Targeted Attack Platform оценивает события и рекомендует пользователю обратить внимание на каждое обнаруженное событие (обнаружение) в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту «Лаборатории Касперского». Пользователь Kaspersky Anti Targeted Attack Platform самостоятельно принимает решение о
дальнейших действиях над обнаружениями.