卡巴斯基 反攻擊防護系統 Kaspersky Anti Targeted Attack Platform

為卡巴斯基所提供反APT攻擊偵測平台。使用多層次威脅偵測技術，根據卡巴斯基實驗室GReAT Team團隊的情報分析，雲端大數據資料庫及機器學習的結交叉比對結果來偵測各種未知的可疑威脅。

KATA結合沙箱型動態分析與進階機器學習的功能，可提供對多種威脅的防護。包括：
(一)多層次感知器架構：提供完整的可視性
提供網路感知器，可針對網頁HTTP/HTTPS流量、郵件流量SMTP/POP3、及網路流量資料包含：DNS/FTP/ICMP 等非加密流量 進行分析偵測處理。同時也提供端點感測器(Endpoint Sensor)，針對有安裝用戶端電腦的程式進行高級分析功能。在需要時可將用戶端上的程式及執行檔送進沙箱中進行分析檢測。通過整合網路、網頁、郵件及端點的感測器KATA提供針對用戶IT基礎建設提供各種等級的進階偵測能力
(二)高級沙箱功能：
高級沙箱功能可以提供完整的隔離檢測能力，讓可疑物件能在被完整隔離的虛擬環境中執行，並觀察記錄該物件的行為軌跡。並支援多個沙箱架構，當網路環境有大量物件需要沙箱分析時，可通過此架構更有效率的分析可疑物件。
(三) 針對式攻擊分析引擎技術：
針對式攻擊分析器利用通過各感測器所收集到包含網路及端點的相關資訊，利用機器學習技術及將不同檢測技術分析結果的交叉比對。將檢測到的威脅事件提供給安全管理人員進行進一步的分析使用。
(四) 整合多種偵測技術，提升系統偵測能力：
(1)整合KSMG預防針對式攻擊發生：
(2)郵件分析整合技術：
(3)與卡巴斯基端點防護方案整合
(4)支持KPSN架構
(5)支持對象重新掃瞄機制
(6)掃描密碼保護附件檔
(7)掃描郵件內包含的URL連結找出隱藏的威脅
(8)白名單過濾機制，減少不需要的負載
(五) 簡易的管理介面及流程機制：
KATA在管理介面中整合事件管理機制的功能。會將相同相關的事件整合在單一事件中方便管理人員追蹤查詢。提供多種視覺化儀錶版提供各種系統使用狀態資訊。包含：
a.系統及各元件的健康狀態及活動情形。佇列及資源使用狀況。
b.事件發生數量、狀態及使用的偵測技術。該事件是否已處理等狀態。
c.前10名異常IP、網域、郵件相關事件主機清單

● 支援頻寬1Gbps 的流量分析
● 支援郵件流量SMTP、POP3分析
● 支援網頁流量http、https分析
● 支援dns網址查詢流量分析
● 提供高階沙箱分析：可支援32位元、64位元作業系統模擬平台針對惡意程式物件深入分析
● 提供雲端信評資料庫功能
● 提供反病毒資料庫比對功能
● 支援YARA規則
● 支援角色權限(Role-Based)管理機制

硬體需求 :
Central Node
CPU: 12 cores (24 線程), 2.7 GHz.
RAM: 128 GB.
硬碟子系統 – 兩個分區: 2 TB系統 4 TB 可用空間用於儲存 Targeted Attack Analyzer 數據
建議使用RAID 0, 5, 10 或 SSD 硬碟.
 兩個網路介面, 每個介面傳輸速度1 Gbit/s.
Sandbox
Intel CPU 支援 VT-x 和 EPT, 8 cores, 2.7 GHz
RAM: 32 GB.
硬碟子系統: 300 GB 可用空間
兩個網路介面, 每個介面傳輸速度1 Gbit/s.