В Kaspersky Anti Targeted Attack Platform 8.0 появились следующие изменения:
Поддержана аутентификация пользователей в веб-интерфейсе Kaspersky Anti Targeted Attack Platform с помощью учетных записей Open Single Management Platform.
Добавлена возможность удалять учетные записи пользователей Kaspersky Anti Targeted Attack Platform.
Реализована функция поиска аномалий в сетевом трафике, позволяющая выявлять сложные атаки и признаки компрометации, которые не обнаруживаются сигнатурными средствами защиты. Анализируя сетевые сессии, объемы и контекст передачи данных, Kaspersky Anti Targeted Attack Platform выявляет аномально большие объемы трафика по DNS, ICMP, TCP, UDP, RDP и SSH, в том числе в ночное время и выходные дни. Такие отклонения характерны для скрытой эксфильтрации данных, DNS- и ICMP-туннелирования, обхода сетевых политик и несанкционированного удаленного доступа.
Дополнительно выявляются подозрительные соединения и нарушения сетевой сегментации: использование нестандартных портов и протоколов, RDP и SSH-подключения к внешним адресам, ошибки конфигурации межсетевого экранирования и попытки обхода ограничений доступа. Отдельный фокус сделан на атаках на доменную инфраструктуру и учетные записи – DCSync, DCShadow, Kerberos-атаки, брутфорс, а также на разведывательной активности внутри сети, включая перечисление AD, LDAP и Kerberos, сканирование портов и передачу зон DNS (англ "DNS zone transfer").
Функция также позволяет обнаруживать подключение к подозрительным внешним ресурсам и управляющим серверам злоумышленника (DGA-домены, DNS TXT-туннелирование, сервисы туннелирования и файлообмена), что помогает выявлять зараженные узлы и действия внутреннего нарушителя на ранних этапах атаки. Все аномалии отображаются в контексте сетевых сессий и сопровождаются атрибутами для быстрого анализа и расследования.
Гибкая настройка порогов, списков объектов и атрибутов позволяет адаптировать детектирование под конкретную инфраструктуру без привлечения вендорской поддержки, повышая эффективность центра мониторинга информационной безопасности и снижая время обнаружения сложных атак.
Расширен функционал анализа копии трафика: теперь можно просматривать список проверенных URL-адресов и файлов, фильтровать и искать объекты в этом списке. Все наблюдаемые объекты автоматически извлекаются из копии сетевого трафика для максимальной прозрачности и контроля.
Поддержана возможность автоматического приема и динамического анализа в Sandbox файлов, получаемых от приложений Kaspersky Endpoint Security для Windows и Kaspersky Endpoint Security для Linux.
Функциональный блок KEDR более не доступен в составе Kaspersky Anti Targeted Attack Platform и теперь является отдельным решением Kaspersky EDR Expert.
Количество компонентов Endpoint Agent, которое можно подключить к одному компоненту Central Node, увеличено до 15 000.
Поддержана проверка в Sandbox содержимого зашифрованных архивов, получаемых от приложения Kaspersky Secure Mail Gateway.
Поддержана возможность обнаружения небезопасной передачи учетных данных (имени пользователя и пароля) в незашифрованном трафике. При выявлении такой передачи Kaspersky Anti Targeted Attack Platform создает событие по технологии IDS и соответствующий алерт.
Поддержана функция автоматического обнаружения личных и неуправляемых устройств в сети без использования сторонних систем и ручного анализа. Функция позволяет быстро обнаружить BYOD-угрозы, которые обходят корпоративные политики, и помогает своевременно предотвратить утечки данных, заражения и нарушения комплаенса. При обнаружении BYOD-устройств Kaspersky Anti Targeted Attack Platform создает событие по технологии EXT и риск с именем Unauthorized access (violation of the BYOD usage policy).
Изменения в Kaspersky Endpoint Security 12.11 для Windows