针对定向攻击的高级防御：KATA 平台

企业如何防范 APT？

所谓的高级持续性威胁 (APT) 是一种复杂、定向、长期且通常准备得非常充分的攻击活动，经过专业设计，目的是绕过单层保护。

反 APT/反定向攻击解决方案的主要目的是将发起攻击的成本提高到这种做法不再可行，或在经济上不划算的地步。这些解决方案依靠应用多种技术：实现的不同检测层越多，可以监督的潜在攻击入口点就越多，攻击被发现的概率就越高，无论攻击者准备投入多少时间和金钱。

结合了 Kaspersky Anti Targeted Attack 和 Kaspersky EDR 的 KATA 平台就是此类企业解决方案的一个示例。它的高级技术层包括：

网络流量分析。该模块具有行为检测功能，并使用 IDS 技术和 URL 声誉分析流量和对象：

• 入侵检测技术结合了传统威胁检测和高级威胁检测，并通过一组独特的 IDS 规则进行流量分析，以检测定向攻击。IDS 规则集会自动及时更新。
• URL 声誉分析。根据基于云的全球 Kaspersky Security Network (KSN) 提供的声誉数据来检测可疑或恶意 URL，该数据还包括与定向攻击关联的 URL 和域的相关信息。

沙盒 。沙盒在自己的虚拟机上运行可疑对象，以检测恶意活动。沙盒接收样本执行任务，这些任务包括基于被评估对象的来源和评估目的的虚拟化参数（例如操作系统的类型、操作系统配置、环境、样本起始参数、执行持续时间）。

在样本执行期间，沙盒将收集：

• 样本行为的日志（包括系统函数调用列表、与其他进程和文件的迭代、网络活动、URL 等）
• 转储
• 丢弃的对象
• 样本产生的流量

执行完成后，将存储获取的工件，然后由专用扫描程序进行处理。如果发现样本是恶意的，则将作出裁定，并将结果映射到 MITRE ATT&CK 知识库。所有收集的数据都存储在内部，以便进一步分析对手的战术和技术，无需其他沙盒请求，从而节省了服务器资源。

一套全面的功能（包括操作系统环境随机化、虚拟机中的时间加速、反规避技术、用户活动模拟等）有助于实现基于行为的高效检测。沙盒使用了许多专利技术，可以通过自动和手动模式进行操作。

Kaspersky Security Network (KSN) 是一个全球云基础架构，用于保存声誉裁定和有关 KATA 平台处理的对象的其他信息（文件、域、URL、IP 地址等）。KSN 还使用云 ML 模型（例如 Cloud ML for Android）提供检测：本地 APK 文件元数据由平台收集并发送到 KSN，后者会回复基于 ML 的模型创建的裁定。基于私有云的解决方案 Kaspersky Private Security Network (KPSN) 适用于无法将数据发送到全球 KSN 云、但仍希望通过 Kaspersky 的全球声誉数据库受益的组织。除了私密访问我们的全球威胁情报数据库外，来自 KATA 平台的裁定还存储在本地 KPSN 数据库中，并与部署在组织基础架构中的其他 Kaspersky 产品自动共享，以实现自动响应。部署了 KPSN 的组织可以通过 API 从外部第三方系统提供的声誉受益，而无需执行任何中间步骤。

定向攻击分析器 (TAA) 可以基于增强型异常启发法发现可疑操作，并调配实时自动威胁搜寻功能。它支持事件自动分析，以及与 Kaspersky 威胁搜寻器生成的一组独特的攻击指标 (IoA) 进行关联。每次 TAA 检测到重大异常时，IT 安全专家都会收到书面描述、建议（例如，如何降低发现的事件再次发生的风险）以及对事件裁定和严重性的信心的指示（有助于进行排名）。所有 IoA 都映射到 MITRE ATT&CK，以提供详细信息，包括使用的 ATT&CK 定义的技术、描述和缓解策略。这意味着，您可以自动从顶级威胁研究受益，而不会使高水平的内部专家面对过大的负担 - 可腾出他们的时间来进行其他复杂任务，例如深度事件调查和威胁搜寻。您还可以创建自己的自定义 IoA 数据库，以适合您的特定基础架构或行业。

增强型反恶意软件引擎。该引擎在中央节点上运行，其设置比在端点配置上启用的设置更具侵略性，该引擎会扫描对象是否包含恶意或潜在危险代码，并将具有潜在恶意内容的对象发送到沙盒。这将实现高度准确的检测，这在事件调查阶段可能具有重要价值。

IoC 扫描。KATA 平台允许从威胁数据源进行集中式 IoC 加载，并支持自动计划的 IoC 扫描，从而简化了分析人员的工作。回顾性数据库扫描可用于充实与先前标记的安全事件有关的信息的质量。

证书验证。Certcheck 模块可检查签名证书的有效性和可疑证书是否存在。

面向 IT 安全专家的 KATA 平台服务还包括：

使用 YARA 规则进行检测。YARA 是用于寻找恶意软件新变体的最常用工具之一。它支持复杂的匹配规则，可搜索具有特定特征和元数据的文件 - 例如，代表特定编码器样式的字符串。您可以创建和上传自定义 YARA 规则，以分析对象中特定于您的具体组织的威胁。

回顾性分析。借助自动化数据、对象和裁定收集以及集中化存储，可以在调查多阶段攻击的同时进行回顾性分析，即使在无法访问受感染的端点或网络犯罪分子已加密数据的情况下，也是如此。此外，可以使用最新的更新检测规则，定期自动重新扫描来自邮件和 Web 流量的已保存文件。

强大灵活的查询构建器，实现主动威胁搜寻。分析人员可以构建复杂的查询，以搜索特定于基础架构的非典型行为、可疑事件和威胁，从而改善对网络犯罪活动的早期检测。

访问 Kaspersky 威胁情报门户。我们的威胁情报知识库中的手动威胁查询为 IT 安全分析人员提供了额外的上下文来进行威胁搜寻和有效调查。

KATA 平台从不同来源汇总数据以进行分析：

网络传感器接收所有流量数据的副本，从中检索对象和网络元数据，以进行进一步分析。网络传感器可以检测 IT 环境中的多个区域的活动，从而可以“近乎实时”地检测代理、Web 和电子邮件环境中的复杂威胁：

• 网络传感器能够提取有关来源、目的地、数据量和网络流量周期性的信息（即使文件已加密）。通常，此信息足以决定要应用的可疑程度并检测潜在的攻击。支持 SMTP、POP3、POP3S、HTTP、HTTPS、ICAP、FTP 和 DNS 协议。
• 网络传感器可以通过 ICAP 协议与代理服务器集成，从而拦截 Web 流量并处理 HTTPS 传输的对象。
• 电子邮件传感器支持通过指定邮箱的 POP3 和 SMTP 连接与邮件服务器集成。可以将传感器配置为监视任何一组邮箱。

除了完整的网络流量分析之外，该平台还可以使用 Kaspersky Secure Mail Gateway 和 Kaspersky Web Traffic Security 充当为 KATA 平台提供服务的全功能网络传感器，对复杂威胁提供自动化网关级响应。

端点传感器 (Kaspersky EDR )从整个基础架构的端点收集所有必要数据。部署在端点上的代理不断监控进程、交互、打开的网络连接、操作系统状态、文件更改等。然后，它们将收集到的与可疑事件检测有关的数据和信息发送给 KATA 平台，以进行进一步的研究和分析，并与其他信息流中检测到的事件进行比较。

使用中的 KATA 平台

通过在统一服务器架构下实施上述技术并提供集中管理，KATA 平台可在网络和端点级别（包括 Web 和邮件服务器、PC、笔记本电脑、服务器和虚拟机）保护潜在的威胁入口点，并详细分析整个组织的 IT 基础架构正在发生的活动。KATA 为您的 IT 安全专家提供综合全面的工具包，以实现多维威胁发现、深入调查、主动威胁捕获以及对复杂事件的集中响应。

KATA 平台与 Kaspersky Endpoint Security for Business 集成在一起，以提供端点保护，包括自动阻止威胁和响应复杂事件。它还与 Kaspersky Security Mail Gateway 和 Kaspersky Web Traffic Security 紧密集成，以阻止基于电子邮件和 Web 的威胁，并对更复杂的威胁提供自动响应。这种一体化解决方案极大地减少了 IT 安全团队在高级威胁防护上花费的时间和精力，这得益于可以在网络和端点级别以最佳方式自动执行防御操作，并通过威胁情报丰富数据和通过单个 Web 控制台进行管理。

KATA 平台可保护企业基础架构免受复杂的威胁和定向攻击，同时无需耗费额外的资源。该平台已嵌入到您当前的策略中，可为您的 IT 安全团队或 SOC 可靠有效地应对复杂的威胁和定向攻击，对现有的第三方保护技术进行补充，并支持与 SIEM 进行交互。