Коммерческий релиз Kaspersky Anti Targeted Attack Platform 3.6
Статья обновлена: 28 мая 2019
ID: 15143
Релиз Kaspersky Anti Targeted Attack Platform 3.6 состоялся 24 мая 2019 года.
Kaspersky Anti Targeted Attack Platform — решение для защиты IT‑инфраструктуры организации и обнаружения угроз.
Программа включает в себя два функциональных блока:
- Kaspersky Anti Targeted Attack (KATA), который обеспечивает защиту IT-инфраструктуры предприятия.
- Kaspersky Endpoint Detection and Response (KEDR), который обеспечивает защиту компьютеров локальной сети предприятия. Вы можете приобрести KEDR вместе с KATA или отдельно. Для активации используйте специальный ключ для KEDR.
Подробнее о программе смотрите в Руководстве администратора.
Что нового
Что мы добавили
- Классификацию обнаружений компонентом Sandbox в соответствии с матрицей MITRE ATT&CK. Компонент Sandbox сопоставляет обнаруженные подозрительные активности с фазами атаки, техниками и методами злоумышленников в матрице MITRE ATT&CK.
- Создание пользовательской базы индикаторов атак (IOA) для классификации и анализа событий.
- Схему развертывания программы, по которой несколько серверов Central Node могут подключаться к одним и тем же серверам Sandbox.
- Поддержку чувствительности к регистру символов при поиске, изменении и удалении файлов, каталогов и других объектов в соответствие со стандартами файловой системы NTFS.
- Мониторинг новых ключей реестра. Анализ данных об изменении веток реестра из разделов HKEY_USERS/HKEY_CURRENT_USER.
- Передачу новых типов событий Windows со следующими идентификаторами:
- EventId 4776 — компьютер пытался проверить данные учетной записи;
- EventId 4648 — попытка входа в систему с использованием учетных данных;
- EventId 4768 — был запрошен билет проверки подлинности Kerberos (TGT);
- EventId 4769 — был запрошен билет службы Kerberos.
- Pass-the-hash (4776, 4624);
- Keberoast (4769);
- Mimikatz (4624, 4648, 4768).
- Поддержку API для передачи информации об обнаруженных угрозах Kaspersky Anti Targeted Attack Platform по запросу от сторонних решений. Передаваемая информация об обнаружении может также содержать дополнительные сведения, например, о сработавших технологиях, типах объектов, важности обнаружения.
Что мы реализовали
- Режим мультиарендность (multitenancy), при котором Kaspersky Anti Targeted Attack Platform устанавливается в режиме распределенного решения и может использоваться для защиты инфраструктуры нескольких организаций:
- Можно использовать один или нескольких серверов Central Node для одной организации.
- Каждая организация может работать с программой независимо от других организаций.
- Организация-провайдер может работать с данными нескольких организаций.
- Новый метод анализа APK-файлов операционной системы Android на базе машинного обучения.
Другое
- Теперь технология Targeted Attack Analyzer использует новый автоматический анализ и классификацию обнаружений и событий на Endpoint Sensors. Она проверяет обнаружения и события на соответствие индикаторам атак (IOA) и матрице MITRE ATT&CK. База IOA-правил сформирована специалистами «Лаборатории Касперского» и постоянно пополняется. Новые события, по которым сработали IOA-правила, помечаются в интерфейсе программы. IOA-правила содержат описание признаков атак, примеры и рекомендации по противодействию, ссылки на информацию о каждом признаке атаки в базе знаний MITRE ATT&CK.
- Мы расширили возможности по подбору паролей к документам Microsoft Office и сообщениям электронной почты. Реализовали подбор паролей к вложениям в сообщениях электронной почты следующих форматов: ArchiveRAR (RAR v5) и Archive7z (7Z). Добавили возможность подбора паролей к документам формата PDF, документам Word, Excel и PowerPoint. Пароли подбираются по базе паролей или с помощью анализа данных в теле сообщения электронной почты.
- Мы оптимизировали производительность программы. На 30% снижены требования к аппаратному обеспечению серверов Central Node и Sandbox.
Ограничения
- В режиме распределенного решения Kaspersky Anti Targeted Attack Platform не поддерживает интеграцию с Kaspersky Security Center.
- Компонент программы Endpoint Sensors, установленный на отдельные компьютеры, несовместим с Kaspersky Security для Windows Server.