Kaspersky Security Center — борьба за автоматизацию
Как это ни странно, я нашёл на Хабре всего одну статью по данной тематике — и ту в песочнице и сильно незаконченную фактически содержащую в себе маленький кусочек чуть переделанной справки по продукту. Да и Google по запросу klakaut молчит.
Я не собираюсь рассказывать, как администрировать иерархию Kaspersky Security Center (далее по тексту KSC) из командной строки — мне это пока не понадобилось ни разу. Просто хочу поделиться некоторыми соображениями по поводу средств автоматизации с теми, кому это может понадобиться, и разберу один кейс, с которым мне пришлось столкнуться. Если тебе, %habrauser%, эта тема будет интересной — добро пожаловать под кат.
Исторически сложилось так, что в качестве средства антивирусной защиты на работе я предпочитаю продукты Лаборатории Касперского (далее ЛК). Причины и прочие священные войны личных мнений, пожалуй, оставим за кадром.
Естественно, хотелось бы централизованно развернуть, защитить, оградить и не пущать рисовать красивые графики, интегрироваться в существующие системы мониторинга и заниматься прочим перекладыванием работы с больной головы на здоровый сервер. И если с развёртыванием и защитой тут всё более или менее в порядке (у ЛК даже есть какие-то онлайн-курсы по продуктам), то с интеграцией уже сильно грустнее: в последней на текущий момент версии KSC 10.2.434 появилась интеграция аж с двумя SIEM: Arcsight и Qradar. На этом всё.
Для интеграции в что-то своё KSC предоставляет аж 2 интерфейса:
Минусы klakdb очевидны: чтобы напрямую обратиться к БД, нужно иметь к этой БД доступ, что приводит к необходимости лишних телодвижений по созданию правил доступа в межсетевых экранах, настройке прав доступа на серверах СУБД и прочему крайне неувлекательному времяпрепровождению. Ну и плюс мониторинг актуальности всех этих правил, естественно. Особенно интересно становится, когда имеется 20+ серверов — и все в разных филиалах, в каждом из которых свои администраторы.
Ну и вишенки на этом торте: доступ исключительно Read Only и, мягко говоря, неполная информация о среде. Плюсы не столь очевидны, но тоже есть: можно очень быстро выгрузить по одному серверу статистическую информацию по количеству хостов, используемым версиям антивирусов и антивирусных баз, а главное — можно весьма удобно (удобство зависит от знания SQL) работать с зарегистрированными на KSC событиями антивирусной инфраструктуры.
klakaut в этом плане значительно более интересен: подключившись к корневому серверу иерархии, можно средствами самого KSC пройтись по оной иерархии и получить доступ ко всем нужным данным. Например, построить дерево серверов KSC с пометкой, кто из них живой, а кто нет, позапускать задачи, поперемещать компьютеры и вообще дать волю фантазии.
Минусы тоже есть, естественно: долго и сложно. Если нужно собрать какую-то статистику — нужно будет сначала долго писать скрипт, а потом долго ловить баги ждать, когда он отработает.
Естественно, никто не запрещает (по крайней мере, мне про это неизвестно) использовать оба механизма вместе: например, пройтись по иерархии серверов с помощью klakaut, получить полный список серверов KSC с информацией об используемых БД, а потом уже передать эту информацию в более другие средства автоматизации, которые удалят устаревшие правила из сетевых экранов, создадут новые, дадут разрешения на доступ и принесут кофе в постель отредактируют список источников данных в вашей системе мониторинга, которая, в свою очередь, опросит список и, обнаружив какие-нибудь девиации, с помощью klakaut сделает что-нибудь хорошее. Ну, или просто зарегистрирует инцидент в трекере. Тогда что-нибудь хорошее сделают администраторы в ручном режиме.
Воодушевлённый всеми этими соображениями, я написал свой первый скрипт:
И запустил его на сервере:
Открыв консоль KSC, я убедился, что с правами у меня всё в порядке.
К сожалению, KSC не логирует неудачные попытки входа. Переписка с вендором показала, что логирование неудачных попыток входа можно включить (это была отдельная увлекательная история, которая, кстати, ещё не закончилась), однако данная конкретная попытка в логи всё равно попадать отказалась.
Казалось бы, можно сделать вот так:
В этом случае никаких ошибок не будет, но указывать логин с паролем открытым текстом в скрипте мне не показалось замечательной идеей. Новая переписка с техподдержкой ЛК подарила мне следующую рекомендацию:
Необходимо выставить в настройках COM, на вкладке Default Properties:
Default Authentication Level: Packet
Default Impersonation Level: Delegate
Эта инструкция заставила работать исходный скрипт, но показалась мне сомнительной в плане безопасности, поэтому я решил покопать чуть глубже. После некоторого времени поисков нашёлся добрый человек, который подсказал мне, как задать указанные уровни проверки подлинности и олицетворения для конкретного объекта, а не разрешать всем и всё сразу:
Вот так скрипт никаких ошибок выдавать не стал. Первый квест пройден.
Следующая задача: получить от KSC данные об используемой БД.
А вот тут всё сложно: документация о том, как это сделать, молчит. Исследование класса KlAkProxy ничего интересного не выявило, кроме параметра KLADMSRV_SERVER_HOSTNAME, который оказался идентификатором компьютера, на котором установлен KSC.
Перейдём тогда к компьютеру, для этого есть специальный класс KlAkHosts2. Для сокращения количества кода приведу только содержимое блока try:
Данный код вернул значение «KSC», а значит, я на верном пути.
Метод GetHostInfo класса KlAkHosts2 достаточно хорошо задокументирован, но — не содержит нужной мне информации. Увы и ах. Зато есть метод GetHostSettings. Всё описание для которого сводится к следующему:
Returns host’s settings as setting storage.
Давайте, заглянем внутрь:
В klakaut.chm есть раздел «List of KLHST_WKS_PRODUCT_NAME and KLHST_WKS_PRODUCT_VERSION values for products», где можно подсмотреть, что поле PRODUCT для KSC должно быть 1093, соответственно, всё остальное можно смело проигнорировать. Пока что, по крайней мере.
Пробежавшись глазами по названиям секций, я решил просмотреть 85 и 87, поскольку остальные на нужное мне были не очень похожи.
Секция 85, судя по всему, отвечает за события и ныне нам неинтересна. А вот в 87 есть что-то, на что стоит обратить внимание:
Тут я воспользовался одним из предыдущих кейсов, где упоминалось, что нужные данные следует брать именно из KLSRV_CONNECTION_DATA (тогда я ещё не знал, что это вообще такое, просто отложилось).
Ну, вот, в общем-то, и всё. Данные об используемой БД получены. Квест пройден.
Наверное, ещё неплохо бы набросать скрипт для прохождения по иерархии серверов. Здесь ничего загадочного не оказалось, всё было вполне по документации. Я написал скрипт, который выбирает UID родителя, UID самого сервера, экземпляр СУБД и имя БД и выводит их в stdout через разделитель.
Стенд маленький, поэтому результат оказался не очень впечатляющим:
Естественно, чтобы превратить точку в актуальное имя сервера, придётся поколдовать с KlAkHosts2.GetHostInfo(), но это уже не столь страшно, просто ещё сколько-то кода.
Техподдержка ЛК, естественно, пугала меня тем, что структура SS_SETTINGS в следующих релизах KSC может поменяться, поэтому так лучше не делать. К сожалению, даже мой внутренний перфекционист считает, что скрипт нельзя просто написать и забыть: при смене версии используемого ПО его по-любому придётся тестировать и отлаживать. Так что пока пользуемся тем, что есть, а проблемы будем решать по мере поступления, благо, техника уже отработана.
Ksnproxy пользователь что это
Чтобы повысить эффективность защиты компьютера пользователя, Kaspersky Endpoint Security использует данные, полученные от пользователей во всем мире. Для получения этих данных предназначена сеть Kaspersky Security Network.
Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний «Лаборатории Касперского» о репутации файлов, интернет-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции Kaspersky Endpoint Security на неизвестные угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Если вы участвуете в Kaspersky Security Network, программа Kaspersky Endpoint Security получает от служб KSN сведения о категории и репутации проверяемых файлов, а также сведения о репутации проверяемых веб-адресов.
Использование Kaspersky Security Network является добровольным. Программа предлагает использовать KSN во время первоначальной настройки программы. Начать или прекратить использование KSN можно в любой момент.
Для снижения нагрузки на серверы KSN специалисты «Лаборатории Касперского» могут выпускать обновления для программы, которые временно выключают или частично ограничивают обращения в Kaspersky Security Network. В этом случае статус подключения к KSN в локальном интерфейсе программы – Включено с ограничениями.
Kaspersky Endpoint Security поддерживает следующие инфраструктурные решения KSN:
По умолчанию Kaspersky Security Center использует Глобальный KSN. Вы можете настроить использование Локального KSN в Консоли администрирования (MMC) и Kaspersky Security Center 12 Web Console. Настроить использование Локального KSN в Kaspersky Security Center Cloud Console невозможно.
Подробнее о работе Локального KSN см. в документации для Kaspersky Private Security Network.
Компьютеры пользователей, работающие под управлением Сервера администрирования Kaspersky Security Center, могут взаимодействовать с KSN при помощи службы KSN Proxy.
Служба KSN Proxy предоставляет следующие возможности:
Подробную информацию о службе KSN Proxy см. в справке Kaspersky Security Center.
Как работает Kaspersky Security Network: 0 заумных графиков, всего 1 технический термин
В этом посте мы рассказываем о том, как работает Kaspersky Security Network — наша модель реализации защиты из облака.
Обновлено: про текущие принципы обработки пользовательских данных можно прочитать здесь.
Облачную информационную безопасность уже давно нельзя назвать инновационным подходом, но в последнее время ей уделяют много внимания. Возможно, потому, что в наши дни очень многое уже находится в облаке. Список контактов с вашего смартфона, фотографии, почтовая переписка, музыка, лицензионные фильмы и книги в основном хранятся не на компьютерах или мобильных устройствах, а в облаках, то есть на каком-то сервере в Интернете. У «Лаборатории Касперского» также есть собственное облачное решение для обеспечения безопасности, а именно Kaspersky Security Network.
Нам часто задают вопросы про этот сервис: «Как работает KSN?»,»Сохраняется ли конфиденциальность?» или даже «Если облачная безопасность такая хорошая, почему вы не используете только эту технологию?». В данном материале мы собираемся максимально просто ответить на популярные вопросы, используя всего один технический термин — «облачная безопасность».
Что такое облако?
В облаках хранятся и обрабатываются данные из удаленных источников, а пользователи могут получить к ним доступ онлайн из любой точки мира. Весьма удобно, согласитесь. Мы же создали свою собственную модель облака для обеспечения информационной безопасности под названием Kaspersky Security Network.
Если на вашем ПК или «Маке» установлен, например, Kaspersky Internet Security, то он постоянно проверяет, не заражено ли устройство. В классическом сценарии антивирус выполняет всю работу прямо на компьютере, периодически подгружая обновления с сервера «Лаборатории Касперского». В случае если угроза новая, еще неизвестная, антивирус отреагирует на нее в среднем в течение часа — примерно столько времени необходимо, чтобы новый вредоносный объект попал в базу.
Как работает Kaspersky Security Network #KSN #security
В некоторых случаях час — это слишком долго. Поэтому, когда вы открываете потенциально подозрительный файл или веб-страничку, в игру вступает Kaspersky Security Network.
В облаке антивирус может спросить ПК других пользователей KSN, не сталкивались ли они с подобными объектами в последнее время и каковы были последствия. Также он может отправить аналогичный запрос нашим экспертам по безопасности, работающим в режиме 24/7 в разных странах.
Взвесив все за и против, Kaspersky Security Network порекомендует заблокировать конкретный файл или веб-страницу, если они выглядят слишком подозрительными. Эта технология сокращает время реакции на угрозу (то есть время, которое пройдет с момента атаки до блокировки угрозы) в десятки раз, то есть буквально до нескольких минут.
Звучит здорово! Почему компании по безопасности не используют только облачные технологии?
Без традиционных решений сеть Kaspersky Security Network была бы неэффективной. В офлайн-режиме наши антивирусы способны отразить абсолютное большинство атак.
Облачные технологии позволяют приблизить и без того рекордные результаты к заветным 100%. При этом мы собираем лишь краткую информацию только о подозрительных файлах, чтобы не тратить ваш интернет-трафик и не замедлять работу системы.
В безопасности ли мои персональные данные? Вы их обрабатываете?
Да, в полной безопасности. Более того, с точки зрения законодательства большинства стран Kaspersky Security Network вообще не обрабатывает персональные данные пользователей. Мы не ставим цели получить ваши фотографии, документы или почтовую переписку. Если быть полностью точным, KSN анализирует даже не сами подозрительные файлы, а их поведение, чтобы заблокировать возможные атаки преступников.
Фактически Kaspersky Security Network спроектирована для обработки минимального объема данных. И у нас была пара хороших причин сделать именно так: для оптимального выполнения задачи, которая, напомним на всякий случай, состоит в устранении вирусов, нам необходимо передавать информацию максимально быстро и безопасно, то есть в зашифрованном виде.
Передавать, шифровать, расшифровывать и хранить любую дополнительную информацию, которая не нужна для борьбы с вредоносными объектами, было бы непозволительной тратой ресурсов.
Kaspersky Security Network нередко помогает вычислить наиболее распространенные типы атаки в конкретной стране и, как следствие, повысить уровень защиты проживающих в данном регионе клиентов. Но мы никогда не отслеживаем отдельных пользователей.
RT @Kaspersky_ru: Йеее! Наша карта получила награду от Adobe http://t.co/LWK2Xs7qmo! А мы сделали про нее скринкаст http://t.co/dE7av7QfeS
— Евгений Касперский (@e_kaspersky_ru) June 9, 2014
Могу я выключить Kaspersky Security Network? И станет ли от этого моя система более уязвимой?
Вы можете отключить и включить обратно Kaspersky Security Network в любой момент. После отказа от KSN антивирус перестанет отправлять данные в наше облако. Это не понизит вашу защиту, вы в любом случае будете получать свежие обновления защиты вовремя.
Однако облачная безопасность работает по принципу массовой вакцинации, так как повадки компьютерных вирусов очень похожи на поведение их биологических собратьев, особенно своей способностью к трансформации.
Если несколько человек откажутся от вакцины (или от решения безопасности, как в нашем случае), это не повлияет на защиту других людей. Однако, если большинство пользователей перестанут использовать «лекарство», все станут уязвимы. В деле обеспечения интернет-безопасности важную роль играет каждый участник Kaspersky Security Network. В любом случае решение за вами.
Ksnproxy пользователь что это
В следующей таблице перечислены порты, которые должны быть открыты на Серверах администрирования и на клиентских устройствах.
Порты, используемые Kaspersky Security Center
Имя процесса, открывающего порт
TLS (за исключением UDP-портов)
Передача на клиентские устройства опубликованных инсталляционных пакетов
Публикация инсталляционных пакетов
Передача на клиентские устройства опубликованных инсталляционных пакетов
Публикация инсталляционных пакетов
Прием подключений от Агентов администрирования и от подчиненных Серверов администрирования; используется также на подчиненных серверах для приема подключений от главного Сервера (например, если подчиненный Сервер находится в демилитаризованной зоне)
Управление клиентскими устройствами и подчиненными Серверами администрирования
Прием информации от Агентов администрирования о выключении устройств
Управление клиентскими устройствами
Прием подключений от Консоли администрирования к Серверу администрирования
Управление Сервером администрирования
Прием подключений от мобильных устройств
Управление мобильными устройствами
Прием подключений от устройств с защитой на уровне UEFI
Управление клиентскими устройствами с защитой на уровне UEFI
Получение соединений от Kaspersky Security Center 12 Web Console к Серверу администрирования; получение соединений от Сервера администрирования через OpenAPI
Kaspersky Security Center 12 Web Console, OpenAPI
Прием подключений от Агентов администрирования
Управление клиентскими устройствами
Прием запросов от управляемых устройств к прокси-серверу KSN
Прием запросов от управляемых устройств к прокси-серверу KSN
Прием подключений для активации программ от управляемых устройств (кроме мобильных устройств)
Прокси-сервер активации для немобильных устройств
Прием подключений для активации приложений от мобильных устройств
Прокси-сервер активации для мобильных устройств
Туннелирование соединения с управляемыми устройствами с помощью утилиты klsctunnel
Удаленное подключение к управляемым устройствам с помощью Kaspersky Security Center 12 Web Console
Сигналы управления от Сервера администрирования к Агентам администрирования
Управление клиентскими устройствами
Получение данных о других Агентах администрирования в том же широковещательном домене (далее данные отправляются на Сервер администрирования)
Доставка обновлений и инсталляционных пакетов
Многоадресная рассылка Агентам администрирования
Доставка обновлений и инсталляционных пакетов
Прием подключений от Агентов администрирования
Управление клиентскими устройствами, доставка обновлений и инсталляционных пакетов
Прием соединений от мобильных устройств iOS
Управление мобильными устройствами
Сервер Kaspersky Security Center 12 Web Console (может быть на том же устройстве, на котором запущен Сервер администрирования, или на отдельном устройстве)
Node.js: серверный JavaScript
Прием соединений от браузера и передача в Kaspersky Security Center 12 Web Console
Kaspersky Security Center 12 Web Console
* Курсивом обозначены порты, которые потребуется открыть, только если вы работаете с мобильными устройствами и с Kaspersky Security Center 12 Web Console (см. графы «Назначение порта» и «Область»).
Если вы установили Сервер администрирования и базу данных на разные устройства, вы должны сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MySQL Server и MariaDB Server, или порт 1433 для Microsoft SQL Server). Подробную информацию см. в документации СУБД.
Ksnproxy пользователь что это
Чтобы настроить доступ Сервера администрирования к KSN, выполните следующие действия:
Передача данных от клиентских устройств в KSN регулируется политикой Kaspersky Endpoint Security, действующей на клиентских устройствах. Если флажок снят, передача данных в KSN от Сервера администрирования и от клиентских устройств через Kaspersky Security Center не осуществляется. При этом клиентские устройства в соответствии со своими параметрами могут передавать данные в KSN напрямую (не через Kaspersky Security Center). Действующая на клиентских устройствах политика Kaspersky Endpoint Security для Windows определяет, какие данные эти устройства напрямую (не через Kaspersky Security Center) передают в KSN.
Если флажок установлен, клиентские устройства будут передавать результаты установки патчей в «Лабораторию Касперского». Установив флажок, вы должны прочитать и принять условия Положения о KSN.
Если вы используете Локальный KSN (инфраструктура KSN расположена не на серверах «Лаборатории Касперского», а, например, внутри сети интернет-провайдера), установите флажок Настроить Локальный KSN и по кнопке Выбрать файл с параметрами KSN загрузите параметры Локального KSN (файлы с расширениями pkcs7, pem). После загрузки параметров в интерфейсе отображаются наименование провайдера, контакты провайдера и дата создания файла с параметрами Локального KSN.
Работу с Локальным KSN поддерживают следующие программы «Лаборатории Касперского»:
Если для работы с Локальным KSN вы используете версии программ ниже Kaspersky Security для виртуальных сред 3.0 Защита без агента Service Pack 2 или ниже Kaspersky Security для виртуальных сред 3.0 Service Pack 1 Легкий агент, рекомендуется использовать подчиненные Серверы администрирования, для которых не настроено использование Локального KSN.
Если флажок установлен, подчиненные Серверы администрирования используют главный Сервер администрирования в качестве прокси-сервера KSN. Если флажок снят, подчиненные Серверы администрирования подключаются к KSN самостоятельно. В этом случае управляемые устройства используют подчиненные Серверы администрирования как прокси-серверы KSN.
В результате параметры доступа к KSN будут сохранены.
