Архитектура приложения

В состав приложения входят следующие основные компоненты:

• Sensor. Выполняет прием и проверку данных, а также может использоваться в качестве прокси-сервера при обмене данными между Endpoint Agent и Central Node.
• Central Node. Выполняет прием и проверку данных, исследование поведения объектов, а также публикацию результатов исследования в веб-интерфейс приложения.
• Sandbox. Запускает виртуальные образы операционных систем. Запускает файлы в этих операционных системах и отслеживает поведение файлов в каждой операционной системе для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации.
• Endpoint Agent. Устанавливается на рабочие станции и серверы, входящие в IT-инфраструктуру организации. Осуществляет постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами.

Компонент Sensor

На каждом сервере с компонентом Sensor работают следующие модули Kaspersky Anti Targeted Attack Platform:

• Sensor. Выполняет прием данных из сетевого и почтового трафика и передает их на обработку на сервер с компонентом Central Node.
• Intrusion Detection System (далее также IDS). Выполняет проверку интернет-трафика на наличие признаков вторжения в IT-инфраструктуру организации.
• KSN. Выполняет для Kaspersky Anti Targeted Attack Platform проверку репутации файлов и URL-адресов в базе знаний Kaspersky Security Network и предоставляет сведения о категориях веб-сайтов (например, вредоносный веб-сайт, фишинговый веб-сайт).

  Kaspersky Security Network (далее также KSN) – инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.

  Если вы не хотите участвовать в KSN, вы можете использовать Kaspersky Private Security Network (далее также KPSN) – решение, позволяющее пользователям получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в Kaspersky Security Network со своих компьютеров.

• URL Reputation. Обнаруживает вредоносные, фишинговые URL-адреса и URL-адреса, которые ранее использовались злоумышленниками для целевых атак и вторжений в IT-инфраструктуру организаций.

В качестве компонента Sensor также может использоваться почтовый сенсор – сервер или виртуальная машина, на которой установлено приложение "Лаборатории Касперского" Kaspersky Secure Mail Gateway (далее также "KSMG") или Kaspersky Security для Linux Mail Server (далее также "KLMS"). Эти приложения отправляют сообщения электронной почты на обработку в Kaspersky Anti Targeted Attack Platform. По результатам обработки сообщений электронной почты в Kaspersky Anti Targeted Attack Platform KSMG и KLMS могут блокировать пересылку сообщений.

Компонент Sensor также может использоваться в качестве прокси-сервера для соединений, исходящих от компонента Endpoint Agent.

Если в качестве компонента Sensor используется приложение KSMG или KLMS, то правила исключений из проверки, настроенные по получателям сообщений и MD5-суммам файлов, не передаются в KSMG и KLMS и не применяются при обработке сообщений приложениями KSMG и KLMS.

Компонент Central Node

Компонент может быть развернут на одном сервере или в виде отказоустойчивого кластера, который состоит из серверов 2 ролей – серверов хранения и обрабатывающих серверов.

Отказоустойчивость достигается за счет дублирования данных между серверами хранения и избыточности вычислительных ресурсов: при выходе из строя одного сервера его функции выполняет другой сервер с аналогичной ролью. Kaspersky Anti Targeted Attack Platform при этом продолжает работать.

Допускается выход из строя только одного сервера кластера. При отказе нескольких серверов кластер становится неработоспособным.

На каждом сервере или кластере с компонентом Central Node работают следующие модули, ядра и технологии приложения:

• Anti-Malware Engine (далее также AM и AM Engine). Выполняет проверку файлов и объектов на вирусы и другие программы, представляющие угрозу IT-инфраструктуре организации, с помощью антивирусных баз.
• Mobile Attack Analyzer (далее также MAA). Выполняет проверку исполняемых файлов формата APK в облачной инфраструктуре на основе технологии машинного обучения. В результате проверки Kaspersky Anti Targeted Attack Platform получает информацию об обнаруженных угрозах или их отсутствии.
• YARA. Выполняет проверку файлов и объектов на наличие признаков целевых атак на IT-инфраструктуру организации с помощью баз YARA-правил, создаваемых пользователями Kaspersky Anti Targeted Attack Platform.
• Targeted Attack Analyzer (далее также TAA, TA Analyzer). Выполняет анализ и проверку сетевой активности программного обеспечения, установленного на компьютеры локальной сети организации, на основе правил TAA (IOA). Выполняет поиск признаков сетевой активности, на которую пользователю Kaspersky Anti Targeted Attack Platform рекомендуется обратить внимание, а также признаков целевых атак на IT-инфраструктуру организации.
• KSN. Выполняет для Kaspersky Anti Targeted Attack Platform проверку репутации файлов и URL-адресов в базе знаний Kaspersky Security Network и предоставляет сведения о категориях веб-сайтов (например, вредоносный веб-сайт, фишинговый веб-сайт).

Компонент Sandbox

На серверах с компонентом Sandbox запускаются виртуальные машины с образами операционных систем.

Компонент Sandbox запускает объекты в этих операционных системах и анализирует поведение объектов для выявления вредоносной активности, признаков целевых атак на IT-инфраструктуру организации.

По умолчанию максимальный размер проверяемого файла составляет 100 МБ. Вы можете настроить параметры проверки в меню администратора консоли управления приложением.

Максимальный уровень вложенности проверяемых архивов составляет 32.

Максимальное количество объектов, которое может находиться в очереди на проверку компонентом Sandbox за одни сутки, составляет 20 тысяч объектов. По достижении этого ограничения приложение удаляет 10% объектов, поступивших на проверку раньше остальных, и заменяет их новыми объектами, поступившими на проверку. Удаленные объекты сохраняются в приложении со статусом NOT_SCANNED (непроверенные).

Компонент Endpoint Agent

Программный компонент. Может быть представлен следующими приложениями:

• Kaspersky Endpoint Agent для Windows.
• Kaspersky Endpoint Security для Windows.
• Kaspersky Endpoint Security для Linux.
• Kaspersky Endpoint Security для Mac.

Приложения устанавливаются на рабочие станции и серверы в IT-инфраструктуре организации (далее также "компьютеры"). На этих компьютерах приложения постоянно наблюдают за процессами, открытыми сетевыми соединениями и изменяемыми файлами и отправляют данные наблюдения на сервер с компонентом Central Node.

Компьютеры, предназначенные для установки приложений, должны удовлетворять аппаратным и программным требованиям.