مقدمه
شرکت Kaspersky با ارائهی آپدیتهای دورهای و قدرتمند سعی در ارتقای امکانات نرم افزارهای امنیتی شرکت داشته و افزودن این ویژگیها به بالا بردن سطوح امنیتی کمک میکند. در این مقاله به معرفی نسخه جدید Kaspersky Anti Targeted Attack (KATA) 5.0 پرداخته و با امکانات تازه آشنا میشویم.
معرفی نسخه جدید Kaspersky Anti Targeted Attack (KATA) 5.0
پلتفرم ضد حمله هدفمند کسپرسکی (Kaspersky Anti Targeted Attack – KATA) در نسخهی جدید (5.0) شامل ویژگیها و اصلاحات جدید زیر است:
- : Central Node این مولفه را میتوان به عنوان یک کلاستر خطاپذیر مستقر کرد که در آن دو سرور با دو نوع عملکرد وجود دارد. سرورهای ذخیرهسازی و سرورهای پردازش.
خطاپذیری از طریق duplicate دادهها بین سرورهای ذخیره سازی و افزونگی منابع محاسباتی به دست میآید. اگر یک سرور از کار بیفتد، عملکرد آن توسط سرور دیگری با همان نقش انجام میشود. در همین حال، برنامه قادر است به کار خود ادامه میدهد.
- اضافه شدن قابلیت پیکربندی تنظیمات برنامه: میتوان حجم برنامهریزیشده ترافیک SPAN، ترافیک ایمیل، تعداد میزبانها و همچنین اندازه برنامهریزی شده ذخیرهسازی و پایگاه داده رویداد را با Kaspersky Endpoint Agent مشخص کرد. این برنامه سرورها را با مولفه Central Node با توجه به پارامترهای مشخص شده پیکربندی میکند.
یک interface وب جداگانه در KATA برای پیکربندی تنظیمات استفاده میشود که به آن The web interface for sizing management میگویند. اگر مولفه Central Node به عنوان یک کلاستر مستقر شود، میتوان لیست سرورها را نیز مشاهده کرد و با استفاده از رابط وب برای مدیریت sizing، کلاستر را غیر فعال کرد.
- برای Sandbox، امکان نصب سیستم عامل Astra Linux 1.7 موجود است و اجزای در حال اجرا در این سیستم عامل پشتیبانی میشوند.
استفاده از سیستم عامل به صورت اختیاری: میتوان مجموعهای از سیستمهای عامل را انتخاب کرد که برای ایجاد task اسکن آیتمها برای مولفه Sandbox استفاده میشوند: Windows XP، Windows 7، Windows 10. Windows XP، Windows 7، Windows 10، CentOS 7.8 یا Windows XP، Windows 7، Windows 10، Astra Linux 1.7.
برنامه میتواند موارد زیر را در Astra Linux 1.7 اجرا کند:
- فایلها از میزبانهای Kaspersky Endpoint Agent ارسال میشوند تا توسط Sandbox مطابق با قوانین Kaspersky TAA (IOA) اسکن شوند.
- فایلهایی که بهصورت دستی یا توسط task دریافت فایل (در صورتی که آن فایل برای اسکن ارسال شده باشد) به داخل Storage آپلود میشوند.
- فایلهای دریافتی از ایمیل یا ترافیک شبکه.
- عملکرد جدید وظیفه برای host با مؤلفه Kaspersky Endpoint Agent for Windows
- اضافه شدن task دریافت Disk Image
این task به شما امکان میدهد یک Disk Image از host انتخاب شده دریافت کنید.
- اضافه شدن Taskجدید با عنوان Get memory dump
این task به شما امکان میدهد تا یک حافظه RAM دامپ شده از میزبان انتخاب شده دریافت کنید.
فایلهای دریافت شده توسط Task ها در یک source شبکه مشترک ذخیره میشوند.
افزودن انواع جدید task به برنامه، منجر به تغییرات زیر شده است:
- Task های جمع آوری دادهها اکنون در منوی جانبی دریافت داده گروه بندی میشوند.
- نام برخی از Task ها طیق لیست زیر تغییر یافته است:
- Get file → File
- Collect data → Forensics
- Get registry key → Registry key
- NTFS metafiles → NTFS metafiles
- Get process memory dump → Process memory dump
- اضافه شدن Event جدید: Session Terminated
- Interface وب برنامه به شکل زیر تغییر کرده است:
- در پنجره تنظیمات interface شبکه، گزینه انتخاب نحوه پیکربندی Interface اضافه شده است و به صورت دستی یا وارد کردن تنظیمات از یک سرور DHCP انجام میپذیرد.
- گزینه غیرفعال کردن Synchronization با یک سرور NTP از بخش تنظیمات، و بخش فرعی تاریخ و زمان حذف شده است.
- گزینه وارد کردن حداکثر مجاز فضای هارد دیسک برای سرورهای node مرکزی و سنسور حذف شده است.
Kaspersky Endpoint Agent برای Windows 3.14 اکنون شامل عملکردها و اصلاحات جدید زیر است:
- اکنون میتوان با کلاسترهای خطاپذیر سرورهای پلتفرم Kata تعامل کرد.
- اکنون میتوان یک حافظه کامل و یک دیسک کامل از یک دستگاه محافظت شده از طریق رابط خط فرمان برای استفاده بیشتر از پلتفرم ضد حمله هدفمند کسپرسکی ایجاد کنید.
- حالت عملیاتی Kaspersky Endpoint Agent در برنامه معرفی شده که با Azure WVD سازگار است.
- خطای مربوط به مسدود شدن احتمالی فایلهای پردازش شده توسط Kaspersky Endpoint Agent برطرف شده است.
Kaspersky Endpoint Agent 3.12 برای لینوکس دارای تغییرات زیر است:
مدیریت MDR Kaspersky دیگر پشتیبانی نمیشود. استفاده از Kaspersky Endpoint Agent برای لینوکس برای کار با این راهکار توصیه نمیشود. برای کار با Kaspersky Managed Detection and Response، از Kaspersky Endpoint Security برای لینوکس استفاده کنید.