راهکار Kaspersky Anti Targeted Attack - KATA چگونه به مدیران امنیت شبکه کمک می کند؟

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

راهکار Kaspersky Anti Targeted Attack - KATA چگونه به مدیران امنیت شبکه کمک می کند؟

جمع آوری eventها و objectها از سرتاسر شبکه و همچنین استفاده از تکنولوژی های یادگیری ماشین، Sandbox به مدیران امنیت امکان یافتن رخدادهای امنیتی را می دهد.

Kaspersky Anti Targeted Attack (KATA) یک راهکار پیچیده است که با استفاده از لایه های امنیتی مختلف، امکان حفاظت از سازمان شما را در مقابل تهدیدات پیشرفته فراهم می آورد. با استفاده از مانیتورینگ RealTime شبکه و به همراه ارسال Objectها به Sandbox موجود در راهکار KATA و همچنین رفتارشناسی Processها بر روی ایستگاه های کاری، به شما امکان مشاهده جزییات اتفاقاتی که در زیرساخت IT تان اتفاق می افتد، را می دهد. با استفاده از جمع بندی Eventهای در لایه های شبکه، ایستگاه کاری و Sandbox و همچنین استفاده از داده های موجود در شبکه ابری کسپرسکی (Kaspersky Security Network)، راهکار KATA به مدیران امنیت کمک می کند تا شناسایی تهدیدات را، تقریبا به صورت RealTime‌ یا بلادرنگ انجام داده و تحقیقات را بر روی تهدید شناسایی شده، انجام دهند.

در سالیان گذشته، بدافزارهای پیشرفته، به صورت چشم گیری از دید راهکارهای امنیتی، خود را مخفی نگه داشته اند. این تهدیدات پیشرفته پایدار (Advanced Persistent Threats - APT)، که معمولا با برنامه ریزی دقیق شروع به حمله به هدف های مشخص می کنند، به صورت طولانی مدت بر روی سیستم ها مخفی مانده و سیستم های هدف خود را تحت الشعاع کارهای مخربانه خود قرار می دهند. جلوگیری از چنین تهدیداتی با استفاده از یک لایه محفاظتی کار بسیار مشکلی است. به همین دلیل است که نیاز به لایه های مختلف امنیتی برای رهگیری این تهدادت لازم است.

وجود راهکاری مانند KATA به این دلیل است که هزینه حملات هدفمند و APT ها را برای حمله کنندگان بسیار بالا برده تا این حملات برایشان مقرون به صرفه نباشد. یک راهکار جامع برای جلوگیری از APTها باید طوری باشد که مانند یک کیک لایه های مختلفی را شامل شود.

q796

KATA از تکنولوژی (لایه) های زیر برای سیستم شناسایی خود استفاده می کند:

Targeted Attack Analyzer (TTA): تکنولوژی جدیدی که فقط برای راهکار KATA ساخته شده است. این تکنولوژی رخدادها را از ایستگاه های کاری و سایر سیستم های تشخیص دریافت کرده و تصمیم گیری لازم را با استفاده از تکنولوژی های یادگیری ماشین (Machine Learning) انجام می دهد.
Sandbox: بر اساس تکنولوژی Sandbox کسپرسکی، که جایزه های متعددی را بر اساس تست های غیروابسته برنده شده است، بر روی یک سرور در داخل سازمان شما پیاده سازی می شود. این تکنولوژی با استفاده از قابلیت های خود به شما امکان این را می دهد که رفتارهای مخربانه یک فایل را با شبیه سازی در یک محیط ایزوله شناسایی کنید. در واقع علاوه بر اینکه شما قادر به شناسایی ابزارهای مورد استفاده توسط توسط حمله کنندگان می شوید،‌ امکان دریافت اطلاعات بیشتر در خصوص یک بدافزار را نیز می دهد.
اسکن ترافیک به صورت RealTime توسط IDS: یک لایه امنیتی دیگر که برای ترافیک رد و بدل شده در شبکه را به صورت بلادرنگ آنالیز کرده و در بررسی رفتارهای مخربانه در کانال های ارتباطی بسیار موثر است.
آنتی ویروس: بررسی فایل های ها و Objectها، شناسایی کامل، یا شناسایی نیمه (Semi-Detection) برای ارسال به لایه Targeted Attack Analyzer (TTA)
Kaspersky Security Network (KSN): سرویس امنیتی ابری کسپرسکی که اطلاعات مربوط به Objectها را در خود گنجانده است و مشخص می کند که فایل، URL، ایمیل و آدرس IP و... در یک حمله یا بدافزار استفاده شده است یا خیر. لازم به ذکر است که این قابلیت به صورت کامل می تواند در سازمان و شبکه شما به صورت خصوص قرار بگیرد که با نام Kaspersky Private Security Network (KPSN) شناخته می شود.
YARA Engine: امکان اضافه کردن Ruleهای مربوط به Engine متن باز یارا توسط مدیر سیستم اضافه شود.

KATA اطلاعات خود را از منابع مختلفی دریافت می کند:

Network Sensor با استفاده از یک کپی از ترافیک شبکه، Objectها و Meta Data مربوط به شبکه را برای آنالیز در آینده استفاده می کند.
با یکپارچه سازی Kaspersky Security Mail Gateway (KSMG) به شما این امکان را می دهد تا اطلاعات مربوط به ایمیل ها نیز توسط KATA بررسی شود. همچنین امکان پیاده سازی سرور مستقل برای این سنسور نیز وجود دارد.
Kaspersky Endpoint Security نیز می تواند به عنوان یک سنسور بر روی ایستگاه های کاری در نظر گرفته شود، اگر شبکه شما از این نرم افزار برای Endpoint Security‌ استفاده می کند. در غیر این صورت می توان یک نرم افزار سبک با نام Endpoint Sensor را بر روی سیستم ها نصب کرد که با همه نرم افزارهای امنیتی دیگر نیز سازگار است.

مهمترین هدف KATA، شناسایی تهدیدات در همه مراحل همه است. هرکدام از این لایه های امنیتی مسئول شناسایی مراحل مختلفی از حمله هستند. Sandbox، آنتی ویروس و YARA Engine برای مانیتور کردن نفوذ اولیه و IDS برای بررسی کانالهای ارتباطی و ارسال اطلاعات توسط بدافزار نفوذ کرده به سیستم استفاده می شوند. همچنین TTA همه مراحل حمله را مانیتور کرده و KSN همه این تکنولوژی ها را با استفاده از داده های موجود در خود کمک می کند.

در نتیجه مدیر امنیت سایبری سازمان (Information Security Officer) همه رفتارهای مخربانه را خواهد دید و در خصوص آن ها تصمیم های لازم را می گیرد.