Kaspersky, один из серьёзных игроков в гонке за рынок NGFW, обещает первый коммерческий релиз к концу 2025 года. В видео демонстрируется сценарий взаимодействия Kaspersky NGFW и Symphony XDR:
- Злоумышленник устанавливает VPN-соединение с серверами в инфраструктуре компании, используя скомпрометированные учетные данные администратора или подрядчика.
- При попытке подключения с внутреннего сервера компании к C&C-серверу установленные сессии обнаруживаются и блокируются с помощью IDPS-движка Kaspersky NGFW и заводится критичный алерт в консоли управления OSMP.
- Проводится расследование инцидента с помощью Kaspersky Symphony EDR, реагирование путём блокирования адреса C&C-сервера и VPN-соединения на KNGFW. По итогам расследования блокируется скомпрометированная учетная запись администратора.
С точки зрения функциональности NGFW всё достаточно стандартно - сработка IPS на коммуникацию C&C и приём IOC на блокировку. Большая часть видео посвящена реагированию на инцидент и Threat Hunting, но тех же результатов можно достичь путём интеграции NGFW с сторонними решениями класса SIEM/IRP.
❗️Интерес вызывает централизованная консоль мониторинга и управления Open Single Management Platform для управления развёрнутыми KNGFW и остальными продуктами Kaspersky с возможностью реагирования на инциденты с помощью XDR из единого окна. Это действительно может стать хорошим преимуществом в выборе МСЭ при наличии в инфраструктуре решений из экосистемы Kaspersky.
Интеграционные сценарии, хотя и очень абстрактно, приведены в обзорной презентации продукта (закреплю в первом комментарии).
#ngfw #решенияИБ@oscar_cybersec
