На рынке уже несколько лет существуют специализированные средства борьбы с APT наряду с комплексными решениями, которые строятся из классических ИБ-средств, и которые венчают системы SIEM и центры SOC. А в этом году специализированный инструмент противодействия APT планирует выпустить и "Лаборатория Касперского". Бета-версия продукта, получившего название Kaspersky AntiAPT (пока, до выхода продукта, использую аббревиатуру KaAPT), обещается в третьем квартале этого года, а доработанная по результатам пилотного бета-тестирования первая промышленная версия - в начале следующего.
Функционально KaAPT объединяет: анализатор зеркалированного сетевого трафика, выделяющий в нем подозрительные элементы; комплекс подсистем (главной из которых является "песочница"), сосредоточенных на поведенческом и репутационном анализе всех поступающих в KaAPT объектов (файлов, сетевых адресов, приложений, параметров настроек оборудования и ПО и т.п.); устанавливаемые на конечные точки сети легкие агенты, занимающиеся мониторингом активностей в их оперативной памяти (в дальнейшем эти задачи будут также выполнять и корпоративные ИБ-продукты Лаборатории, что избавит тех заказчиков, которые используют эти продукты, от необходимости дополнительно устанавливать агенты).
Как пояснил директор департамента корпоративных продаж и развития бизнеса "Лаборатории Касперского" Вениамин Левцов, KaAPT позволит выделять в корпоративной ИКТ-среде объекты, вероятно, являющиеся вредоносными, но не блокировать их мгновенно по факту подозрения, а подвергать дополнительному анализу на предмет подтверждения вредоносности. При этом он подчеркнул, что значительная часть реально вредоносных объектов проявляет свои качества далеко не сразу после попадания в атакуемую среду, а некоторые из них, будучи перемещены в "песочницу", в состоянии обнаруживать это и затаиваться. Поэтому, по его словам, новый продукт не панацея от APT, но еще один рубеж защиты, значительно усложняющий проведение APT-атак.
Вениамин Левцов: "У нас готовится учебный курс для администраторов Kaspersky AntiAPT"
В сочетании с новым решением Private Kaspersky Security Network (Private KSN, которое тоже пока только анонсируется Лабораторией) инструмент KaAPT сможет использовать все экспертные данные, накапливаемые в KSN, не обращаясь к облаку "Лаборатории Касперского", а используя возможности развернутого в среде заказчика решения Private KSN переноса реплики больших данных из облаков провайдера в инфраструктуру заказчика. В результате технология "песочницы" KSN и накапливаемые в KSN репутационные данные становятся доступными заказчику без обращения к облаку KSN. По словам Вениамина Левцова, в настоящее время это не умеет делать ни одно из конкурирующих решений. По его мнению,18-летний опыт дает основание "Лаборатории Касперского" предполагать, что ее эвристические алгоритмы позволят новому продукту искать APT глубже и тоньше. В настоящее время над продуктом трудятся около сотни специалистов компании.
Первые версии Kaspersky AntiAPT будут ориентированы на крупных заказчиков, в сетях которых насчитывается более тысячи конечных точек и узлов.