В Kaspersky Anti Targeted Attack Platform 3.6.1 появились следующие изменения:
Исправлены критические уязвимости программы.
Операционная система в составе компонента Sandbox обновлена до CentOS 7.
Добавлена поддержка интеграции с Kaspersky Private Security Network для Astra Linux.
Kaspersky Anti Targeted Attack Platform соответствует рекомендациям ФСТЭК.
Исправлены ошибки в работе программы:
Улучшены механизмы обеспечения отказоустойчивости серверов Central Node.
Исправлены ошибки в работе функционала мониторинга работы программы.
Добавлена возможность установки пакетов обновления программы через веб-интерфейс.
Улучшен функционал сохранения информации об обнаружениях компонента Sandbox в локальную репутационную базу KPSN с целью снижения количества ложных срабатываний.
В Kaspersky Anti Targeted Attack Platform 3.6 появились следующие изменения:
Реализован режим multitenancy (мультиарендность), при котором Kaspersky Anti Targeted Attack Platform устанавливается в режиме распределенного решения и может использоваться для защиты инфраструктуры нескольких организаций. Поддерживается возможность использования одного или нескольких серверов Central Node для одной организации. Каждая организация может работать с программой независимо от других организаций. Организация-провайдер может работать с данными нескольких организаций.
Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления –Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
Усовершенствована технология Targeted Attack Analyzer: добавлена классификация и автоматический анализ соответствия событий и обнаружений индикаторам атак (далее также "IOA") и матрице MITRE ATT&CK. База IOA-правил сформирована специалистами "Лаборатории Касперского" и постоянно пополняется. Новые события, по которым сработали IOA-правила, помечаются в интерфейсе программы. IOA-правила содержат описание признаков атак, примеры и рекомендации по противодействию, ссылки на информацию о каждом признаке атаки в базе знаний MITRE ATT&CK.
Добавлена классификация обнаружений компонентом Sandbox в соответствии с матрицей MITRE ATT&CK. Компонент Sandbox сопоставляет обнаруженные подозрительные активности с фазами атаки, техниками и методами злоумышленников в матрице MITRE ATT&CK.
Добавлена возможность создания пользовательской базы индикаторов атак (IOA) для классификации и анализа событий.
Добавлена схема развертывания программы, по которой несколько серверов Central Node могут подключаться к одним и тем же серверам Sandbox.
Добавлена поддержка чувствительности к регистру символов при поиске, изменении и удалении файлов, каталогов и других объектов в соответствие со стандартами файловой системы NTFS.
Реализован новый метод анализа APK-файлов операционной системы Android™ современной облачной технологией на базе машинного обучения.
Добавлен мониторинг новых ключей реестра: анализ данных об изменении веток реестра из разделов HKEY_USERS/HKEY_CURRENT_USER.
Расширены возможности по подбору паролей к документам Microsoft Office и сообщениям электронной почты. Реализована возможность подбора паролей к вложениям в сообщения электронной почты следующих форматов: ArchiveRAR (RAR v5) и Archive7z (7z). Также добавлена возможность подбора паролей к документам формата PDF, документам Word, Excel® и PowerPoint®. Подбор паролей осуществляется из существующей базы паролей или путем анализа данных в теле сообщения электронной почты.
Добавлена передача новых типов событий Windows (Windows events logging) со следующими идентификаторами:
EventId 4776 – компьютер пытался проверить данные учетной записи.
EventId 4648 – попытка входа в систему с использованием учетных данных.
EventId 4768 – был запрошен билет проверки подлинности Kerberos (TGT).
EventId 4769 – был запрошен билет службы Kerberos.
Обновление позволяет обнаруживать следующие атаки, использующие эти события Windows:
Pass-the-hash (4776, 4624).
Keberoast (4769).
Mimikatz (4624, 4648, 4768).
Добавлена поддержка API для передачи информации об обнаружениях Kaspersky Anti Targeted Attack Platform в сторонние решения по запросу от сторонних решений. Передаваемая информация об обнаружении может также содержать дополнительные сведения, например, о сработавших технологиях, типах объектов, важности обнаружения.
Оптимизирована производительность программы. На 30% снижены требования к аппаратному обеспечению серверов Central Node и Sandbox.