Коммерческий релиз Kaspersky Anti Targeted Attack Platform 3.6

Коммерческий релиз Kaspersky Anti Targeted Attack Platform 3.6 состоялся 24 мая 2019 года.

Что мы добавили

• Классификацию обнаружений компонентом Sandbox в соответствии с матрицей MITRE ATT&CK. Компонент Sandbox сопоставляет обнаруженные подозрительные активности с фазами атаки, техниками и методами злоумышленников в матрице MITRE ATT&CK.
• Создание пользовательской базы индикаторов атак (IOA) для классификации и анализа событий.
• Схему развертывания программы, по которой несколько серверов Central Node могут подключаться к одним и тем же серверам Sandbox.
• Поддержку чувствительности к регистру символов при поиске, изменении и удалении файлов, каталогов и других объектов в соответствие со стандартами файловой системы NTFS.
• Мониторинг новых ключей реестра. Анализ данных об изменении веток реестра из разделов HKEY_USERS/HKEY_CURRENT_USER.
• Передачу новых типов событий Windows со следующими идентификаторами:
  • EventId 4776 — компьютер пытался проверить данные учетной записи;
  • EventId 4648 — попытка входа в систему с использованием учетных данных;
  • EventId 4768 — был запрошен билет проверки подлинности Kerberos (TGT);
  • EventId 4769 — был запрошен билет службы Kerberos.
  Обновление позволяет обнаруживать следующие атаки, использующие эти события Windows:
  • Pass-the-hash (4776, 4624);
  • Keberoast (4769);
  • Mimikatz (4624, 4648, 4768).
• Поддержку API для передачи информации об обнаруженных угрозах Kaspersky Anti Targeted Attack Platform по запросу от сторонних решений. Передаваемая информация об обнаружении может также содержать дополнительные сведения, например, о сработавших технологиях, типах объектов, важности обнаружения.

Что мы реализовали

• Режим мультиарендность (multitenancy), при котором Kaspersky Anti Targeted Attack Platform устанавливается в режиме распределенного решения и может использоваться для защиты инфраструктуры нескольких организаций:
  • Можно использовать один или нескольких серверов Central Node для одной организации. 
  • Каждая организация может работать с программой независимо от других организаций. 
  • Организация-провайдер может работать с данными нескольких организаций.
• Новый метод анализа APK-файлов операционной системы Android на базе машинного обучения.

Другое

• Теперь технология Targeted Attack Analyzer использует новый автоматический анализ и классификацию обнаружений и событий на Endpoint Sensors. Она проверяет обнаружения и события на соответствие индикаторам атак (IOA) и матрице MITRE ATT&CK. База IOA-правил сформирована специалистами «Лаборатории Касперского» и постоянно пополняется. Новые события, по которым сработали IOA-правила, помечаются в интерфейсе программы. IOA-правила содержат описание признаков атак, примеры и рекомендации по противодействию, ссылки на информацию о каждом признаке атаки в базе знаний MITRE ATT&CK.
• Мы расширили возможности по подбору паролей к документам Microsoft Office и сообщениям электронной почты. Реализовали подбор паролей к вложениям в сообщениях электронной почты следующих форматов: ArchiveRAR (RAR v5) и Archive7z (7Z). Добавили возможность подбора паролей к документам формата PDF, документам Word, Excel и PowerPoint. Пароли подбираются по базе паролей или с помощью анализа данных в теле сообщения электронной почты.
• Мы оптимизировали производительность программы. На 30% снижены требования к аппаратному обеспечению серверов Central Node и Sandbox.

Подробнее о релизе смотрите в статье.