Kaspersky MDR

1.

1
Kaspersky
MDR

2.

Проблемы компаний
2
Атаки становятся более
изощренными и разрушительными
Рост количества угроз
Усложнение сценариев атак
Финансовый ущерб от атак
Нехватка квалифицированных
специалистов
Неспособность своевременно
обрабатывать оповещения

3.

Общий подход к эффективной IT-безопасности
Если угрозу можно автоматически
предотвратить...
Если угрозу можно автоматически
обнаружить...
Предотвращение
Обнаружение
Поиск
Системы
предотвращения
Системы
обнаружения
Проактивный
поиск угроз
На 100% известные угрозы
Вероятные угрозы
Неизвестные угрозы
Автоматическая блокировка
Автоматически +
проверка
Вручную
Профилактика
Обнаружение и реагирование
3

4.

О бзор K a s p e rs k y M a n a g e d D e te c tio n a n d R e s p o n s e
• Блокировка или
автоматическое
обнаружение угроз
Продукты, оповещения
До компрометации
КОМПРОМЕТАЦИЯ
Известные угрозы
4
Неизвестные угрозы
Сдерживание угроз
• Выявление сложных
• угроз
• Расследование
• Реагирование и пошаговые
рекомендации
Поиск киберугроз
Реагирование
на инциденты
После компрометации
В ремя

5.

Сервисная арх ит ект ура
5
О бл ако (Россия и Европа))
Защищаемы й хост
Тел емет рия
Endpoint
Security
Реагирование
Реагирование
Веб-порт ал
Инцидент ы
API
Kaspersky
Manag ed Detection
and Response
Web Portal
Kaspersky
Security Network
Incident
Response
Platform
Обработ ка
т ел емет рии
Хранил ище
т ел емет рии
SOC «Лаборат ории
Касперского»
Оповещения
Анал ит ики
Монит оринг
и от работ ка
правил
AI

6.

6

7.

О богащение т ел емет рии
7
Kaspersky
Security
Network
Тел емет рия
Цент р
гл обал ьных
иссл едований и
анал иза угроз
Kaspersky
Threat
Intelligence
Тел емет рия обогащается анал ит икой
угроз
из разных источников
GERT
Межд ународ ная
группа
реагирования
Kaspersky
MDR
IoA
Правил а
автомат ического
поиска угроз
Kaspersky
ICS CERT

8.

Авт омат ический акт ивны й поиск угроз с помощью инд икат оров ат ак
Бол ее 700 правил автомат ического
поиска угроз/индикаторы атак (IoA)
• Кажд ое правил о созд ано экспертами из нашего SOC
• Правил а основаны на нашей анал ит ике угроз и базе знаний
MITRE ATT&CK
• Правил а регул ярно обновл яются на основе инф ормации
наших анал ит ических сл ужб
8

9.

Тех нические д ет ал и

10.

Анат омия MDR
10
Технол огии обнаружения
и поиск угроз
• Защита от вредоносного ПО на
основе машинного обучения
• Повед енческий анал из
• Анал из сетевого т раф ика
• Расширенная песочница
• Инд икаторы атак (IoA)
• Сопоставл ение с данными MITRE
ATT&CK
• Автомат изированный акт ивный
поиск угроз
• Управл яемый акт ивный поиск угроз
сил ами экспертов «Лаборатории
Касперского»
• Рекомендации анал ит иков SOC
«Лаборатории Касперского»
Пол ная прозрачност ь
(ед иная консол ь)
• Управл ение дост упом на
основе рол ей
• Увед омл ения об
• инцид ентах
• Карточки инцидентов
• Карточки ресурсов
• Панел и мониторинга и
от чет ы
Рекоменд ации по
реагирование на инцид ент ы
• Изол яция хоста
• Помещение ф айл ов в
карант ин
• Удал ение ф айл ов
• Завершение процессов
• Запрос ф айл ов с хоста
• Запуск программы на хосте
• Реагирование через
рекоменд ации и пр.
Машинное обучение и
ИИ-помощник
• Обнаружение
• О ценка
• Фил ьт рация
• Приорит изация

11.

Мех анизмы искусст венного инт ел л ект а (ИИ) в Kaspersky MDR
11
С обыт ия
Механизмы ИИ автомат ически ф ил ьт рует
л ожнопол ожител ьные срабат ывания,
значител ьно повышая производ ител ьност ь
анал ит иков. В резул ьтате уменьшается
сред нее время на приорит изацию и на
обнаружение и реагирование – MTTD/MTTR
О повещения
С опоставл ение данных
ИИ-анал из
Приоритизация оповещений
Разбор оповещения
Инцид ент ы
Под тверждение стат уса
срабат ывания: истинное/л ожное

12.

Уровни защит ы Kaspersky MDR
12
Optimum
Expert
• Кругл осут очный монит оринг
• Кругл осут очный монит оринг
• Авт оматизированный активный поиск угроз
и рассл едование инцид ентов
• Рекомендации по реагированию и
удал ённое реагирование на инцидент ы
• Проверка работоспособност и всех
защитных механизмов и обзор
защищаемых ресурсов
• Ед иная консол ь с панел ями мониторинга и
анал ит ическими отчетами
• Хранение ист ории инцидент ов
безопасности в течение 1 года
• Хранение необработанных данных в
течение 1 месяца
• Авт омат изированный активный поиск угроз и
рассл ед ование инцид ент ов
Kaspersky
Managed Detection
and Response
• Рекоменд ации по реагированию и уд ал ённое
реагирование на инцид ент ы
• Проверка работ оспособност и всех защит ных
механизмов и обзор защищаемых ресурсов
Допол нит ел ьно:
хранения
данных дл я соот ветствия нормат ивным
т ребованиям и поддержки циф ровой
криминал ист ики
Ед иная консол ь с панел ями монит оринга и
анал ит ическими отчет ами
• Хранение ист ории инцид ент ов безопасност и в
течение 1 года
ТОЛЬКО В EXPERT
• Хранение необработ анных данных в течение 3
месяцев
на инцидент ы разной степени сл ожност и
и проверка эф ф ект ивност и текущей защит ы
дл я ИБ-экспертов по реагированию на инцид ент ы
• Проактивный поиск угроз (threat hunting) сил ами
эксперт ов «Лаборатории Касперского»
• Консул ьтации анал итиков SOC «Лаборатории
Касперского»
• Доступ к порт ал у Kaspersky Threat Lookup
• API дл я загрузки данных

13.

Принцип работ ы Kaspersky MDR Expert
13
О БЛА КО
• Бол ьшие данные
• Анал ит ик ИИ
Корпорат ивная
сет ь кл иента
• Анал из угроз
С бор
тел емет рии
Обработка
тел емет рии
Хранение
тел емет рии
Под защитой
«Лаборатории
Касперского»
Телемет рия
SOC «Лаборатории Касперского»
(гол овной оф ис )
Монит оринг и
автомат ический
поиск угроз
Проактивный
поиск угроз
сил ами
анал ит ика SOC
Приорит изация
увед омл ений с
помощью ИИ
Пл ат ф орма
реагирования на
инцид ент ы
Рассл ед ование
сил ами
анал ит ика SOC
О сущест вл ение
ответ ных мер
Реагирование на
инцид ент ы и
рекоменд ации
Дост уп
Ед иная
консол ь
А гент ы на
конечных
т очках

14.

Инт ерф ейс
Kaspersky MDR

15.

Инт ерф ейс Kaspersky Manag ed Detection and R esponse
15

16.

Инт ерф ейс Kaspersky Manag ed Detection and R esponse
16

17.

Инт ерф ейс Kaspersky Manag ed Detection and R esponse
17

18.

Под д ерживаемы е
прод укт ы , прил ожения и
уровни обсл уживания SLA

19.

Под д ерживаемы е прод укт ы и прил ожения
Пл ат ф ормы
Настол ьные компьют еры Windows
19
Kaspersky
Endpoint Security
д л я бизнеса
Kaspersky
Manag ed Detection
and Response
Kaspersky Endpoint Security дл я Windows
Да
Kaspersky Security дл я Windows Server
Да
Kaspersky Endpoint Security дл я Windows
Да
Компьютеры macOS
Kaspersky Endpoint Security дл я Mac
Да
Компьютеры Linux
Kaspersky Endpoint Security дл я Linux
Да
Kaspersky Security дл я вирт уал ьных сред Легкий агент
Да
С ерверы Windows
Вирт уал ьные сред ы
Kaspersky EDR дл я бизнеса О пт имал ьный, Kaspersky EDR и Kaspersky Anti Targeted Attack под д ерживают ся тол ько при нал ичии
Kaspersky Endpoint Security дл я бизнеса

20.

Согл ашения об уровне обсл уживания (SLA)
20
Уровень приорит ет а
Время от вет а
Цел евое значение
Высокий (пример: цел евые атаки)
1 час
90%
С ред ний (пример: неизвестное вред оносное ПО )
4 часа
90%
Низкий (пример: распространенное ВПО )
24 часа
90%
• Время от вет а – это время от обнаружения
инцидент а (время создания) до публ икации
данных о нем в Kaspersky MDR (время
обновл ения)
Под робная инф ормация, в том числ е о критериях инцид ент ов, изл ожена в Пол ожениях и усл овиях
• Цел евое значение – это количест во инцидентов,
дл я которых время от вета и время реагирования
соот ветст вуют зад анным парамет рам, в
процент ном выражении

21.

Преимущест ва Kaspersky Manag ed Detection and R esponse
Укрепл ение
корпорат ивной защит ы
от киберугроз
Независимое мнение
высококвал иф ицированно
го партнера
Максимал ьная отд ача от
решений «Лаборатории
Касперского»
21
Конт рол ь состояния
вашей защит ы в режиме
реал ьного времени
Преимущест ва
Перед ача внут ренним
ресурсам по-настоящему
важных задач
О пт имизация ваших
инвест иций в ITбезопасност ь

22.

Мировое признание
Доказанная
эф ф ективност ь
сочетания наших
технол огий
и эксперт ных
знаний
22
Сервис Kaspersky MDR
разработан на основе
аналитических данных об APTатаках, полученных глобальным
центром исследования и анализа
угроз «Лаборатории Касперского»
Качество обнаружения угроз в
Kaspersky MDR подтверждено
оценкой MITR E ATT&CK в 2020
году (детекты MS S P)
Исследовательская компания
R adicati Group назвала
«Лабораторию Касперского»
ведущим игроком (Top Player) в
отчете Advanced Persistent Threat
(APT) Protection в 2021 г.
«Лаборатория Касперского»
признана лидером по результатам
исследования внешних сервисов
анализа угроз (Forrester Wave:
E xternal Threat Intelligence
S ervices 2021)

23.

Спасибо!