Kata руководство администратора

Container technology has been widely adapted for packaging applications inside the container to make it portable on various platforms and infrastructures. Today different containerization platforms have been developed which follow Open Container Initiative(OCI) standards like Containerd and so on.

This portable characteristic of containers makes them share the host operating system’s kernel and resources. But it eventually gives rise to the overutilization of resources by one container and makes other containers wait for the resources.  

These containers share the same kernel which is also considered less secure and provide less isolation to containers. So, to solve this problem, Kata Containers, an open-source project managed by the Open Infrastructure Foundation have been introduced. 

In this hands-on lab, we will be going to deep dive more into Kata Containers by learnings and experiences that I have done by going through the documentation of Kata Containers;  which at a personal level I found to be cluttered.

Lab Setup

You can start the lab setup by clicking on the Lab Setup button on the right side of the screen. Please note that there is an app-specific URL exposed specifically for the hands-on lab purpose.

About Kata Containers

Kata Containers aims to build a secure and OCI compatible container runtime that enhances the security and isolation of container workloads by putting each one of them in a lightweight virtual machine, using the hardware virtualization. Every virtual machine runs it own kernel. 

Brief History

Initially, Intel launched a project Clear Containers with a goal to solve CoW(Copy on Write) security Concerns in containers through virtualization. Later on it was merged with  Hyper.sh RunV  project, which we now refer as Kata Containers. 

Features of Kata Containers

Following are the features of Kata Containers:

• Security: It runs in a dedicated and isolated kernel and also supports multiple hypervisors like QEMU, Cloud-Hypervisor, Firecracker and can easily be integrated with containerd.
• Compatibility: It works seamlessly with Docker, Kubernetes by providing kata-runtime as a container runtime.
• Performance: It gives a consistent performance as of any other Linux container with increased isolation. It also supports various architectures like AMD64, ARM, IBM p-series, and IBM z-series.
• Simplicity: No need for nested containers inside VMs and compromising in the speed of containers. 

How Kata Containers are different from Traditional Containers?

Traditional Containers uses runC as a container runtime that relies on kernel features such as Cgroups and namespaces to provide isolation with the shared kernel as in Figure 1.1;  whereas Kata Containers makes containers to be more isolated in their own lightweight VM with the help of hardware virtualization as in Figure 1.2

Working of Kata Containers with Kubernetes

When the Kubernetes cluster is set up along with Container Runtime Interface (CRI) such as Containerd or cri-o, a high-level runtime; a container runtime shim also gets installed which resides in between CRI (Containerd, cri-o) and a low-level container runtime runC (default runtime) for smooth communication between these two, and this low-level container runtime is responsible for running the containers in the pod.

Kata containers can also be installed on the Kubernetes cluster with kata-runtime for running containers in a lightweight VM  and for this containerd or cri-o are required. A different shim compatible with kata containers is required i.e. containerd-shim-kata-v2 which acts as a bridge between containerd and kata-runtime, a runtime class by Kata Containers to run containers in an isolated kernel and namespace. 

There are multiple ways to install Kata containers and we will be using one of the ways to configure it in a Kubernetes cluster which will be discussed in the next section.

Lab with Kata Containers

In this section, we will be going to see how to install Kata Containers in a Kubernetes cluster and how to run a pod by provisioning a kata-runtime. 

Prerequisites

• A Kubernetes Cluster bootstrapped and installed with kubeadm, kubectl and kubelet
• Container Runtime Interface (CRI) — Containerd or cri-o

Installation of Kata-Containers

There are certain ways to install Kata Containers but the most preferred way to install it in a cluster is via kata-deploy. This will run as a pod inside the kube-system namespace and will install all the binaries and artifacts needed to run Kata Containers, as well as DaemonSets which can be used to install Kata Containers in a running Kubernetes cluster.

• Create and provision different RBAC roles to kata-deploy pod

kubectl apply -f https://raw.githubusercontent.com/kata-containers/kata-containers/main/tools/packaging/kata-deploy/kata-rbac/base/kata-rbac.yaml

• Then create a kata-deploy pod by deploying its stable version.

kubectl apply -f https://raw.githubusercontent.com/kata-containers/kata-containers/main/tools/packaging/kata-deploy/kata-deploy/base/kata-deploy-stable.yaml

• Check the kata-deploy pod status inside the kube-system namespace.

kubectl get pods -n kube-system

kubectl -n kube-system wait --timeout=10m --for=condition=Ready -l name=kata-deploy pod

• Check the Kata-Containers labels on the node 

kubectl get nodes --show-labels | grep kata

• After this configure a runtime class for Kata Containers by creating a Kubernetes resource of a  kind:RuntimeClass.

kubectl apply -f runtimeclass.yaml

Currently, we are creating a runtime class with a handler kata-qemu (line 6) as this is used to create kata-runtime in VM. There are other handlers that can also be used according to the platforms like kata-clh is used with cloud hypervisor, kata-fc is used with firecracker.

In runtime class pod overhead (line 7) has been defined which has memory and CPU usage limit set for container resources.

• See more information about the kata-qemu runtime class through

kubectl describe runtimeclass kata-qemu

• Test the runtime class by creating an Nginx pod through it 

Here, kata-qemu runtime class has been specified to use inside spec attribute as runtimeClassName: kata-qemu (line 7) which will use kata-runtime for running containers. 

kubectl apply -f nginx-kata.yaml

What Next?

I would highly recommend you to check out the hands-on lab from Pradipta Banerjee in which he is exploring container image building, inside a container with Kata Containers for secured builds. 

You can also check out Katacontainers Documentation for more details. 

Conclusion

In this hands-on lab, we learned about Kata Containers and what problems it solves along with the installation of it on a Kubernetes cluster and running a pod with it.

1. Установка и первоначальная настройка KATA и KEDR
2. Обнаружение атак в Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response
3. Реагирование на угрозы в Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response
4. Управление компонентами и возможности интеграции
5. Соответствие требованиям регуляторов и результаты независимых тестов
6. Техподдержка «Лаборатории Касперского» в рамках комплекса KTMD
7. Экспертные сервисы по кибербезопасности «Лаборатории Касперского»
8. Выводы

Первая часть статьи — Обзор Kaspersky Threat Management and Defense (KTMD) — комплекса программных средств и сервисов по защите от передовых угроз и целенаправленных атак.

Установка и первоначальная настройка KATA и KEDR

Ввиду того, что серверная часть решения построена на базе стандартной CentOS, после установки для инициализации компонентов (Sandbox, Central Node, Network Sensor) на каждый из них требуется зайти терминально, например, с помощью PuTTY.

Рисунок 1. Конфигурация серверных компонентов KATA/KEDR

Привычного для начального конфигурирования сетевых устройств «DOS’овского» интерфейса вполне хватает, чтобы настроить сетевые параметры и протоколы съема трафика.

После выполнения процедуры инициализации появляется возможность доступа к уже более приятному инструменту работы с решением — веб-интерфейсу. Основное окно работы — это вкладка Мониторинг. Оно является ситуационным центром для офицера информационной безопасности, здесь представлены дашборды, позволяющие оценить текущую ситуацию по обнаружению угроз. Причем область отображения данных можно гибко настраивать, удалять и перемещать графики, регулировать масштаб.

Рисунок 2. Дашборды мониторинга в KATA/KEDR

Среди прочего, крайне полезная и информативная функция — отображение графиков «Топ-10» применительно к наиболее часто встречающимся доменам, почтовым адресам или IP, а на графике «Мониторинг работоспособности модулей и компонентов» всегда можно получить данные о «здоровье» платформы в целом.

Рисунок 3. Статус компонентов

Добавление, изменение и управление пользователями производится в соответствующем меню. Примечательно, что по умолчанию доступны сразу три предустановленные учетные записи: Администратор, Старший сотрудник службы информационной безопасности и Сотрудник службы информационной безопасности. При этом различие между последними двумя не только в том, что под учетной записью с ролью Старший сотрудник (как и из-под Администратора) возможно добавлять, включать и отключать учетные записи пользователей, но также и изменять набор доступных им функций при работе с политиками и задачами. Наличие такого расширенного спектра функций обусловлено опытом практических внедрений, в ходе которых, например, требовалось разрешить мониторинг подозрительной активности в отношении VIP-пользователей компании только для CISO, но не для его подчиненных.

Рисунок 4. Работа с пользователями в KATA/KEDR

Обнаружение атак в Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response

Как мы уже отмечали ранее, платформа собирает данные с различных сенсоров и из подключенных источников и отображает обнаруженные в них признаки целевых атак и вторжений в виде интерактивной таблицы обнаружений. Причем если сразу несколько аналитических движков детектировали одну и ту же угрозу, она попадает с повышенным приоритетом во вкладку «Комплексные обнаружения».

Рисунок 5. Возможности по обнаружению атак в KATA/KEDR

Для удобства поиска детектов предусмотрена гибкая система фильтров, используя которую можно отсортировать обнаружения для отображения в таблице по одной или нескольким графам или выполнить поиск по указанным показателям. Можно создавать персонализированные фильтры, сохранять и удалять (хранятся локально), а также запускать поиск обнаружений по условиям, заданным в них ранее. В каждое обнаружение можно «провалиться» и посмотреть детальную информацию о нем.

Рисунок 6. Информация об обнаружении в KATA/KEDR

В зависимости от конкретной технологии решения, которая обнаружила угрозу, доступны подробные результаты соответствующей проверки. Так, во время проведения тестирования мы обнаружили пришедший по электронной почте вредоносный файл agreement.doc, проверка которого в песочнице показала наличие на борту известного эксплойта. Кстати, к одной платформе, развернутой на предприятии, можно подключать сколько угодно много песочниц, при этом конфигурирование каждой из них осуществляется независимо друг от друга посредством собственного интерфейса через прямой консольный доступ.

Рисунок 7. Результаты проверки файла в песочнице

Одна из самых интересных и интерактивных функций решения — это «Поиск угроз».

Рисунок 8. Работа со списком угроз в KATA/KEDR

Для формирования поисковых запросов можно использовать три режима: режим конструктора, режим исходного кода и режим контекстного поиска. В режиме конструктора создание и изменение поисковых запросов осуществляется помощью раскрывающихся списков с вариантами типа значения поля и операторов. Для каждого типа значения поля доступен свой релевантный набор операторов сравнения. Например, при выборе типа значения поля EventType будут доступны операторы = и !=. Многие выражения и поля интуитивно понятны, а после изучения соответствующего раздела документации работа с такой «умной поисковой строкой» становится не такой уж сложной задачей. В режиме исходного кода поисковые запросы задаются с помощью специальных текстовых команд, синтаксис которых приближен к языкам программирования. Пример такой команды:

EventType = «filechange»

AND (

FileName CONTAINS «worm»

OR UserName = «director»

)

Самый интеллектуальный режим — контекстного поиска, используя его можно прямо из каждого детекта «провалиться» в поиск «похожих» событий на конечных точках.

Рисунок 9. Пример поиска угроз в KATA/KEDR

Обнаружив и выделив интересующую угрозу, далее возможно изучить все детали по ней. Причем данные о событии на примере обнаружения вредоносного файла представляют собой не просто сухую текстовую информацию, но и включают в себя интерактивную карту зависимостей, а также связанных между собой конкретных действий (создание, изменение файла, установка удаленного соединения, загрузка модулей, запуск процесса и т. п.).

Рисунок 10. Детализация событий в KATA/KEDR

Реагирование на угрозы в Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response

На этапе расследования из централизованного интерфейса поддерживается возможность по любому параметру (MD5, URL, путь файла и пр.) запустить задачу на автоматическое исполнение команды, результатом которой будет, например, удаление файла, завершение процесса, помещение файла в карантин, запуск скрипта или сторонней программы.

Рисунок 11. Реагирование на события в KATA/KEDR

Весь пул обнаруженных угроз, в ответ на которые принято решение принимать неотложные меры, попадает в раздел «Задачи». Например, в ходе тестирования нам попался вредоносный объект вида Trojan-PSW, запакованный внутри архива .zip. При этом интерфейс этого раздела, помимо отображения списка задач и предпринятых действий, позволяет здесь же предоставить уточняющую информацию по каждой угрозе с учетом проверок всеми встроенными движками платформы. Когда каждый из них выносит негативный вердикт, сомнений в опасности данного обнаружения уже не остается, применяется реакция «удалить» или «отправить в карантин». Мы, обладая профессиональной паранойей, удалили вредонос, позже проверили и подтвердили результат, зайдя локально на рабочую станцию.

Рисунок 12. Работа с задачами в KATA/KEDR

Для предотвращения повторных заражений по уже известным параметрам обнаруженных ранее вредоносных активностей, решение позволяет создавать автоматические политики. Например, можно управлять запретами запуска небезопасных файлов на выбранных хостах. Файлы идентифицируются по хешу с помощью алгоритмов хеширования MD5 и SHA256. Можете создавать, удалять и изменять запреты. Все изменения в политиках «прилетают» на рабочие станции после установки авторизованного соединения между локальными сенсорами и сервером управления. Если соединение с хостами по каким-то причинам временно отсутствует, продолжают действовать старые политики, кроме того, изменения в политиках на лету не влияют на уже запущенные процессы.

Рисунок 13. Процесс добавления политик в KATA/KEDR

Идея с максимально полной автоматизацией реагирования выглядит крайне актуальной. В ходе тестирования сотрудники «Лаборатории Касперского» рассказали нам о больших планах по развитию этой функциональности, пообещав добавить ее в следующих релизах.

Управление компонентами и возможности интеграции

Как мы уже отмечали, компонент Endpoint Sensors устанавливается на компьютеры и серверы под управлением Windows. В соответствующем разделе интерфейса управления можно оценить регулярность получения данных с конечных точек, на которых установлен указанный компонент, а также регулировать обновление сведений о нем. Например, сотрудники службы информационной безопасности определяют, какой период бездействия конечных станций считать нормальной активностью, чтобы своевременно принимать меры при подозрениях на несанкционированное отключение агентов. Кроме очевидной возможности поиска среди самих хостов с установленными сенсорами, по каждому из них отображается детальная информация, такая как история запрета запусков файлов, перечень хэшей, список задач, проверка по базе обнаружений.

Рисунок 14. Управление компонентами Endpoint Sensors в KATA/KEDR

Платформа является открытой к получению данных об угрозах и их описанию из разного рода источников, в том числе благодаря поддержке импорта индикаторов компрометации — IoC (набор данных о вредоносном объекте или действии в определенном виде), формат которых для корректности интеграции должен базироваться на общедоступном стандарте OpenIoC. При их загрузке и учете в проверках вероятность обнаружения может повыситься, если в результате найдутся точные совпадения данных об объекте с уже известными в IoC-файлах.

Рисунок 15. IoC-проверка в KATA/KEDR

Управление лицензиями организовано аналогично другим решениям «Лаборатории Касперского»: чтобы начать пользоваться программой, необходимо загрузить полученный от производителя файл ключа с расширением *.key. При этом нет необходимости подключения к интернету в процессе активации, что может быть важным аспектом для некоторых организаций, в которых планируется использование платформы для защиты от сложных угроз в полностью изолированном режиме, без связи с внешними сетями (согласно внутрикорпоративным политикам безопасности). К таким компаниям, например, можно отнести некоторые субъекты критической информационной инфраструктуры и ряд ведомств.

Рисунок 16. Управление лицензиями в KATA/KEDR

Возможность обогащения информацией об угрозах из различных внешних источников с целью принятия более релевантных решений, а также способность осуществлять реагирование по различным сценариям являются ключевыми особенностями платформы. Так, она способна публиковать обнаружения в SIEM-систему, которая уже используется в организации, по протоколу CEF или Syslog, при этом присутствует возможность настроить TLS-шифрование, загрузив соответствующий ключ.

Рисунок 17. Интеграция с SIEM-системой в KATA/KEDR

Соответствие требованиям регуляторов и результаты независимых тестов

«Лаборатория Касперского» является отечественным разработчиком средств информационной безопасности, и ее решения включены в реестр отечественного программного обеспечения. KATA здесь также не является исключением, что, согласитесь, немаловажный факт для многих российских заказчиков.

Решение KATA имеет сертификат ФСТЭК России на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий.

Очень важным в свете развития законодательства о безопасности критической информационной инфраструктуры стало получение KATA недавно (в феврале 2018 года) сертификата ФСБ России на соответствие требованиям к средствам обнаружения компьютерных атак класса В.

В ходе независимых тестов Advanced Threat Defense за 2017-2018, проводимых международной компанией ICSA Labs (исследовательское подразделение компании Verizon), платформа KATA показала стопроцентный результат обнаружения угроз, не допустив во время тестов ни одного ложного срабатывания.

Таким образом, KATA не только полностью готова технологически к применению на крупных и критически важных для страны предприятиях, но и позволяет реализовывать проекты по защите от сложных угроз и целенаправленных атак в полном соответствии с федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», а также согласно нормативному регулированию по вопросам подключения к ГосСОПКА.

Техподдержка «Лаборатории Касперского» в рамках комплекса KTMD

Для осуществления технической поддержки пользователей Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response, равно как и для заказчиков других своих решений, «Лаборатория Касперского» предлагает рассмотреть различные варианты соглашения о сервисном обслуживании (Maintenance Service Agreement — MSA). Стандартный уровень сопровождения клиентов уже включен в лицензию и предполагает обработку запросов в рабочие часы в порядке очереди.

Рисунок 18. Уровни расширенной поддержки «Лаборатории Касперского»

Расширенный уровень обслуживания в зависимости от потребностей компании поможет обеспечить оперативную поддержку ее систем безопасности, в том числе KATA и KEDR. «Лаборатория Касперского» — глобальный производитель, поэтому имеет региональные команды опытных сертифицированных инженеров по всему миру, которые оперативно готовы ответить на запросы и помочь в устранении инцидентов, обнаруженных как описываемой платформой, так и другими решениями, а также спланировать стратегию безопасности таким образом, чтобы минимизировать их повторение в будущем.

Экспертные сервисы по кибербезопасности «Лаборатории Касперского»

Для повышения эффективности эксплуатации Kaspersky Anti Targeted Attack Platform, Kaspersky Endpoint Detection and Response и иных своих решений вендор предлагает экспертные сервисы информационной безопасности Kaspersky Cybersecurity Services, которые входят в единый комплекс Kaspersky Threat Management and Defense.

Одним из таких сервисов является круглосуточная служба мониторинга событий безопасности Kaspersky Managed Protection (KMP), которая включает в себя:

• Высокий уровень защищенности от целевых атак и вредоносных программ при поддержке аналитиков «Лаборатории Касперского».
• Обнаружение атак, выполняемых без применения вредоносных программ (non-malware attacks) или с применением неизвестных ранее инструментов, а также эксплуатирующих уязвимости нулевого дня.
• Мгновенная защита от только что обнаруженных угроз путем автоматического обновления антивирусных баз в режиме реального времени.
• Ретроспективный анализ инцидентов, включающий данные о методах и технологиях, использованных против вас злоумышленниками.

Вендор реализует комплексный подход: у «Лаборатории Касперского» есть технологические и сервисные продукты для организации полного цикла защиты от целевых атак: подготовка —обнаружение и расследование — анализ данных — автоматизированная защита. В рамках сервиса реагирования на обнаруженный у заказчика инцидент (Incident Response) «Лаборатория Касперского» проводит глубокое исследование инцидента, в результате которого формируются более эффективные действия по устранению атаки, а также мероприятия по недопущению подобных атак в будущем.

Сервисы реагирования на инциденты (Kaspersky Incident Response) и Kaspersky Managed Protection гармонично дополняют друг друга, поскольку результативная реакция может быть определена в рамках расследования инцидентов; вместе с тем, для расследования нужны факты, которые могут быть установлены с помощью анализа событий в рамках Kaspersky Managed Protection.

Несмотря на тесную связь и преимущества интеграции, Kaspersky Managed Protection и Kaspersky Incident Response представлены в виде разных сервисов в сервисном портфеле «Лаборатории Касперского», что позволяет заказчику более гибко определить подходящее для него предложение.

В рамках KTMD может быть поставлен сервис обнаружения целевых атак (Targeted Attack Discovery), предназначенный прежде всего для компаний с низким уровнем организации операционной безопасности (или вовсе без таковой). Эксперты «Лаборатории Касперского» выявят, идентифицируют и проанализируют как активные атаки, так и произошедшие в прошлом, установят список систем, которые были скомпрометированы в ходе этих атак, помогут обнаружить вредоносную активность, найти возможные источники инцидентов и спланировать наиболее эффективные действия по устранению последствий.

Для этого выполняются следующие работы:

• Анализ ландшафта угроз, специфичных для организации;
• Глубокая проверка IT-инфраструктуры и данных (например, файлов журналов) на наличие признаков компрометации;
• Анализ исходящих сетевых соединений на предмет подозрительной активности;
• Выявление возможных источников атаки и определение, какие еще системы могли подвергнуться компрометации. Результатом проведенных в рамках сервиса работ является финальный отчет. Он содержит результаты анализа данных из внешних источников, а также описания обнаруженных атак на базе анализа собранных данных в инфраструктуре заказчика. Отчет содержит рекомендации по устранению последствий обнаруженных атак.

Кроме того, вендор предлагает услугу информирования об угрозах, в рамках которой клиентам поставляются:

• Потоки данных об угрозах (Threat Data Feeds).
• Аналитические отчеты об APT и угрозах для финансового сектора.
• Кастомизированные отчеты об угрозах, актуальных для конкретной организации или региона.
• Threat Intelligence Portal (онлайн-платформа, предоставляющая доступ к непрерывно пополняемой базе знаний об индикаторах угроз и их взаимосвязях).
• Облачная песочница.

Команда экспертов «Лаборатории Касперского», обладая большим опыт и накопленными компетенциям по борьбе с разноплановыми киберугрозами, готова провести анализ защищенности как всей корпоративной инфраструктуры компании, так и отдельных сервисов или устройств. Приведем далеко не полный список подобных услуг:

• Тестирование на проникновение;
• Анализ защищенности приложений;
• Анализ защищенности банкоматов и POS-терминалов;
• Анализ защищенности транспортной инфраструктуры;
• Анализ защищенности критичных промышленных инфраструктур;
• Анализ защищенности Internet of Things и умных технологий.

Помимо описанных сервисов, у «Лаборатории Касперского» один из самых зрелых и широких в России набор тренингов для специалистов и программ повышения осведомленности для рядовых сотрудников по вопросам информационной безопасности. Например, эксперты вендора готовы провести курс для сотрудников службы ИБ предприятия «Расследование и реагирование на инциденты с помощью платформы KTMD».

Выводы

В этом обзоре (в рамках цикла статей про подходы «Лаборатории Касперского» к построению на предприятиях эффективной стратегии по обнаружению и реагированию на сложные угрозы и целенаправленные атаки) мы на практике познакомились с работой важнейшей технологической составляющей в реализации этой стратегии — решениями KATA/KEDR.

Тестирование платформы, несмотря на множество используемых передовых технологий в ней и ориентацию на сложные угрозы, не вызвал особых трудностей. Современный интуитивно понятный интерфейс, широкие возможности интеграции и подробные руководства от производителя позволят внедрить платформу в организациях любого масштаба, а наличие сертификатов ФСТЭК России и ФСБ гарантирует соответствие таких внедрений требованиям действующего законодательства, в том числе касающегося вопросов защиты КИИ и подключения к ГосСОПКА.

C учетом высокой скорости проникновения угроз и возможности нанесения потенциального ущерба, реакция на вредоносные действия должна быть максимально оперативной. Именно поэтому крайне важно применять такие продвинутые специализированные решения, как Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response в совокупности с сервисами в рамках единого комплекса Kaspersky Threat Management and Defense. Такие решения в значительной степени автоматизируют процесс поиска вредоносных программ и вторжений в корпоративную сеть и сводят время ответных действий к минимуму, тем самым «замыкая круг» процедур обеспечения информационной безопасности, включающих не только обнаружение, расследование, но и оперативное реагирование.

Вместе с тем, набор решений и сопутствующих сервисов «Лаборатории Касперского» по защите от сложных угроз и целенаправленных атак не одинок на рынке, подобные инструменты представлены известными в индустрии информационной безопасности иностранными производителями уже несколько лет.

Отметим серьезный прогресс «Лаборатории Касперского», который за сравнительно небольшой срок развития Kaspersky Anti Targeted Attack Platform (первый анонс датирован 2016 годом) помог сделать его первым отечественным решением в своем классе, заметным на мировом рынке. За неполных 2 года разработки по сравнению с первыми релизами решение KATA представило удобный интерфейс, современные технологии обнаружения, возможность корреляции и ретроспективного анализа, в основе чего лежит динамическое машинное обучение, а также способность подключать множество источников. Но самым главным и ожидаемым, на наш взгляд, стал выход в 2018 году решения Kaspersky Endpoint Detection and Response, благодаря которому комплексная стратегия «Лаборатории Касперского» по защите организаций от сложных угроз получила важнейший недостающий фрагмент пазла — полноценный охват возможных точек проникновения и оперативное реагирование на угрозы.

Достоинства

• Наличие сертификата ФСБ России, сертификата ФСТЭК России, присутствие в реестре отечественного ПО.
• Широкие возможности по интеграции различных источников данных об угрозах (особенно — со своими решениями).
• Обширные возможности по реагированию на конечных точках, тесно интегрированные с одним из лучших в своем классе решений EPP/AV — Kaspersky Endpoint Security.
• Возможность автоматической обработки данных для выявления сложных многовекторных угроз.
• Поиск поведенческих аномалий.
• Возможность развернуть локальный частный репутационный сервис, без потери качества детектирования при соблюдении обязательного требования отключения внешних сетей в компании.
• Локальная команда инженеров и экспертов в России.
• Активация лицензии без обязательного доступа в интернет.

Недостатки

• Для модуля IDS нельзя загружать свои правила.
• Отсутствие в настоящее время блокировок в веб-трафике (отметим, что в дорожной карте у «Лаборатории Касперского» на 2019 год запланирован выпуск веб-шлюза для защиты доступа к интернет-ресурсам Kaspersky Security Web Gateway (KSWG)).
• Интеграция возможна не со всеми сторонними решениями по защите рабочих станций и с рядом ограничений.
• Удобство интерфейса управления уступает некоторым конкурентам.