Разработчики: | BI.Zone (Безопасная Информационная Зона, Бизон) |
Дата последнего релиза: | 2024/10/28 |
Технологии: | Distributed Deception Platform (DDP), ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Основная статья: Security Information and Event Management (SIEM)
2024
Добавление двухфакторной аутентификации
В BI.ZONE EDR появились двухфакторная аутентификация и ряд функций, повышающих эффективность мониторинга угроз Среди них — поддержка мониторинга чтения значений из реестра и гибкая настройка агрегации и троттлинга в агенте для Windows. В агенте для Linux был расширен перечень собираемых файловых событий в контейнерных средах на базе провайдера eBPF. Кроме того, BI.ZONE EDR стало проще интегрировать с SIEM-системами благодаря возможности отправки данных параллельно в несколько назначений. Об этом разработчик сообщил 28 октября 2024 года.
Чтобы обеспечить дополнительный уровень безопасности на сервере управления, в коробочной версии BI.ZONE EDR добавилась функция двухфакторной аутентификации. Если включить эту функцию, при доступе в интерфейс сервера будет запрашиваться не только пароль учетной записи, но и одноразовый код, сгенерированный по алгоритму TOTP (time-based one-time password) и действительный только в течение короткого промежутка времени. Таким образом, даже если злоумышленник получит пароль пользователя, учетная запись будет защищена от несанкционированного доступа.
Другое ключевое изменение, затронувшее сервер управления EDR, — добавившаяся возможность отправки телеметрии и обнаружения параллельно в несколько назначений с использованием syslog или Kafka. Это позволяет реализовывать различные сценарии интеграции с системами управления событиями кибербезопасности (SIEM).
Чтобы обеспечить эффективный мониторинг актуальных угроз и реагирование на них, в BI.ZONE EDR постоянно расширяется объем собираемой телеметрии. Так, в агенте BI.ZONE EDR для Windows появилась возможность отслеживания попыток чтения критичных значений из реестра.
Данная функция позволяет отслеживать попытки несанкционированного доступа к хранящимся в реестре WIndows высококритичным настройкам программ и содержащейся в них чувствительной информации, например паролям от учетных записей. Это позволит повысить эффективность обнаружения различных утилит дампа учетных данных пользователей, отметил Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE.
|
Другие изменения телеметрии в агенте для Windows касаются добавления новых инвентаризационных источников данных, а для ряда существующих источников — новых параметров, которые повышают точность обнаружения атак. В частности, была добавлена возможность инвентаризации доменных учетных записей с возможностью обнаружения слабых паролей у пользователей. Это позволяет повысить защищенность доменной инфраструктуры к брутфорс-атакам, т. е. атакам, реализуемым с помощью перебора паролей.
Помимо расширения телеметрии, в агенте также развиваются и возможности, позволяющие более эффективно управлять потоком собираемой телеметрии. В обновленной версии агента BI.ZONE EDR для Windows появилась возможность гибко настраивать агрегацию и троттлинг событий. Это позволяет снизить нагрузку на конечную точку, сеть и хранилище EDR-телеметрии при помощи фильтрации повторяющихся событий. Кроме того, появилась возможность создавать агрегационные события на основании данных, которые были накоплены из повторяющихся событий.
В агенте BI.ZONE EDR для Linux была добавлена возможность сбора событий удаления файла, переименования файла и событий изменения прав доступа к файлу в контейнерах на базе провайдера eBPF. Это повышает возможность выявления угроз в контейнерных средах.
Кроме того, по результатам проведенного UX-исследования был доработан пользовательский интерфейс решения.
Ранее BI.ZONE представила коробочную версию BI.ZONE EDR. Она предназначена для компаний, которые предпочитают не работать с сервис-провайдером, а самостоятельно решать задачи по мониторингу и реагированию с использованием передовых инструментов. До этого возможности решения были доступны исключительно в составе сервиса по мониторингу кибербезопасности BI.ZONE TDR.
Модуль «Рекомендации по безопасности»
В обновленную версию BI.ZONE EDR добавился модуль «Рекомендации по безопасности». Он доступен во всех операционных системах и позволяет оценить конфигурацию ОС и ПО на конечных точках, а также выявить их уязвимые места и учетные записи со слабыми паролями. Об этом представители BI.ZONE сообщили 13 августа 2024 года. Среди ключевых изменений также проработано расширение возможностей по сбору данных и автономному реагированию в агенте BI.ZONE EDR для Windows, а автономное детектирование индикаторов атаки стало доступно на macOS.
В агенте BI.ZONE EDR для macOS были расширены возможности автономного детектирования индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб. Корреляционные правила поиска IoA в BI.ZONE EDR для macOS включают в себя анализ попыток эксплуатации уязвимостей, выявление необычных сетевых запросов, фиксирование подозрительных изменений в системе и т.д.
Следующим важным изменением стало добавление модуля «Рекомендации по безопасности». Модуль доступен в версиях BI.ZONE EDR для всех операционных систем и позволяет оценить конфигурацию безопасности на конечных точках и выявить их слабые места, которые пользователь сможет в дальнейшем устранить для уменьшения поверхности атаки.
Оценка конфигурации безопасности предполагает проверку того, насколько системы соответствуют заранее определенным правилам настроек конфигурации. Кроме того, модуль «Рекомендации по безопасности» также выявляет учетные записи со слабыми паролями.
По нашим данным, доля конечных точек в любой IT-инфраструктуре составляет до 85%, и именно они чаще всего становятся целями атакующих. Выявление слабых мест на конечных точках и их дальнейшее устранение помогает уменьшить поверхность атаки и тем самым снижает риск возникновения инцидентов кибербезопасности, — отметил Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE. |
В обновленном агенте BI.ZONE EDR для Windows появилась возможность получать в виде событий телеметрии вывод запуска произвольной команды. Пользователь продукта может настроить расписание запуска требуемой команды или команд и параметры парсинга вывода их работы. В результате EDR будет отправлять вывод команд в виде событий телеметрии, которые могут быть использованы в IoA-правилах. Это дает возможность реализовывать сценарии обнаружения угроз в условиях, когда для логики правила недостает событий телеметрии EDR, но при этом в составе операционной системы есть требуемые инструменты, благодаря которым задачу можно решить. Аналогичные возможности ранее уже были реализованы в агентах для Linux и macOS, пояснили разработчики.
Помимо сбора телеметрии, в агенте для Windows были расширены возможности автономного реагирования. Теперь в рамках автономного реагирования при срабатывании IoA-правила можно запустить любую команду или процесс (например, собственный скрипт), что позволяет реализовывать большое количество сценариев автоматического реагирования.
Кроме того, в обновленной версии BI.ZONE EDR для macOS добавился ряд новых событий телеметрии — модификация расширенных атрибутов файловой системы и изменения владельца или группы файлового объекта. А в Windows появилась возможность читать данные из произвольных журналов Windows Events Log. Также продолжается работа над пользовательским интерфейсом сервера управления, в результате чего временные затраты на рутинные операции по диагностике проблем удалось сократить на 30%.
Ранее BI.ZONE представила коробочную версию BI.ZONE EDR. Она предназначена для компаний, которые предпочитают не работать с сервис-провайдером, а самостоятельно решать задачи по мониторингу и реагированию с использованием передовых инструментов. До этого возможности решения были доступны исключительно в составе сервиса по мониторингу кибербезопасности BI.ZONE TDR.
Совместимость с «Ред ОС» 8
BI.ZONE EDR и BI.ZONE Compliance Platform совместимы с Ред ОС 8. Об этом Ред Софт сообщил 2 августа 2024 года. Подробнее здесь.
Совместимость версии 1.32 с Astra Linux Special Edition 1.7.0 и 1.7.5
Стратегические партнеры BI.ZONE и «Группа Астра» подтвердили совместимость решения для защиты конечных точек BI.ZONE EDR (версия 1.32) и операционной системы Astra Linux Special Edition 1.7.0 и 1.7.5. Проведенные тесты продемонстрировали, что решения корректно работают в связке и их можно использовать без ограничений. По завершении тестирования решение BI.ZONE EDR получило сертификат в рамках программы технологического партнерства Ready for Astra. Об этом «Группа Астра» сообщила 13 июня 2024 года.
В любой ИТ-инфраструктуре доля конечных точек — то есть серверов и рабочих станций — составляет до 85%. Именно они чаще всего становятся целями атакующих. Решение BI.ZONE EDR позволяет обнаруживать сложные угрозы на рабочих станциях и серверах, а также оперативно реагировать на инциденты автоматически и вручную. Используя BI.ZONE EDR совместно с ОС Astra Linux, можно обеспечить эффективную защиту конечных точек в соответствии с актуальными стандартами кибербезопасности и при этом независимость от иностранных решений, сказал Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE.
|
Функциональность BI.ZONE EDR для Linux включает, помимо прочего, расширенные возможности автономного обнаружения угроз, повышенную видимость внутри контейнеров и улучшенное автономное детектирование индикаторов атаки. Также можно ограничивать ресурсы, потребляемые BI.ZONE EDR для Linux, чтобы лучше обеспечивать стабильную работу критически важных приложений в высоконагруженных и чувствительных инфраструктурах.
Решения класса EDR невероятно критичны для любой организации, поскольку они анализируют любую активность на конечных точках и находят аномальную, что позволяет выявлять действия злоумышленников и оперативно реагировать на инциденты. Теперь этот важный инструмент защиты функционирует на ОС Astra Linux, повышая эффективность превентивной защиты от любых действий злоумышленников. Я искренне надеюсь, что большое количество наших любимых заказчиков оценят наше совместное решение, отметил Кирилл Синьков, директор департамента по работе с технологическими партнерами «Группы Астра».
|
Коробочная версия решения для защиты конечных точек BI.Zone EDR
20 мая 2024 года компания BI.ZONE представила коробочную версию решения для защиты конечных точек BI.ZONE EDR.
По информации компании, в коробочном исполнении BI.ZONE EDR доступны все функции, показавшие эффективность в составе SOC-/MDR-сервиса BI.ZONE TDR. Также в продукте обновились агенты Linux, Windows и macOS. На Linux расширились возможности автономного обнаружения угроз и оптимизация видимости внутри контейнеров.
В Windows-агенте появился мониторинг действий с именованными каналами и событий от процессов подсистемы WSL для выявления атак, в которых используется комбинация Windows- и Linux-инструментов. А агент для macOS обзавелся функциями мониторинга и инвентаризации точек автозапуска, а также YARA-сканирования.
Ранее возможности BI.ZONE EDR были доступны в составе сервиса по мониторингу кибербезопасности BI.ZONE TDR. Коробочная версия решения предназначена для компаний, которые предпочитают не работать с сервис-провайдером, а самостоятельно решать задачи по мониторингу и реагированию с использованием современных инструментов. Ключевая цель BI.ZONE EDR — обеспечить эффективную защиту конечных точек, то есть серверов и рабочих станций. В любой IT-инфраструктуре доля таких устройств составляет до 85%, и именно они в подавляющем большинстве становятся целями атакующих. рассказал Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE |
Ключевые изменения коснулись агента BI.ZONE EDR для Linux, в котором оптимизированы возможности детектирования событий внутри контейнеров. Это касается в первую очередь создания и изменения файлов, а также запуска процессов. В обновленной версии решения активно используется технология eBPF (extended Berkeley Packet Filter), которая позволяет глубже интегрироваться с контейнерными окружениями, такими как Docker или Kubernetes. Это оптимизирует видимость активности внутри контейнеров. Таким образом BI.ZONE EDR позволяет аналитику сразу увидеть не только хост, но и конкретный контейнер, в котором произошло подозрительное событие, тем самым сокращая время на реагирование. Кроме того, чтобы лучше обеспечивать стабильную работу критически важных приложений в высоконагруженных и чувствительных инфраструктурах, появилась возможность ограничивать ресурсы, потребляемые BI.ZONE EDR для Linux.
Еще в агенте BI.ZONE EDR для Linux оптимизировали автономное детектирование индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб: попытках эксплуатации уязвимостей, необычных сетевых запросов, подозрительных изменениях в системе и т. д.
Возможности мониторинга событий в версии BI.ZONE EDR для Windows также расширились благодаря поддержке мониторинга действий с именованными каналами и событий от процессов подсистемы WSL (Windows Subsystem for Linux). Технология именованных каналов предназначена, чтобы процессы обменивались данными через специально именованный ресурс в файловой системе. Злоумышленники нередко используют ее для внедрения вредоносного ПО, контроля зараженной системы и обхода механизмов защиты. Мониторинг именованных каналов позволяет выявлять подозрительные или несанкционированные взаимодействия между процессами — это может указывать на вредоносную активность. В свою очередь, поддержка WSL позволяет выявлять угрозы, которые используют комбинацию Windows- и Linux-инструментов для выполнения задач атакующих. Злоумышленники прибегают к такой тактике, чтобы эффективнее обходить средства защиты.
Кроме того, в версии BI.ZONE EDR для Windows появились дополнительные функции автоматического реагирования, включая приостановку процесса или потока, а также завершение активной сессии пользователя. Эти изменения позволяют оперативнее реагировать на угрозы и минимизировать потенциальный ущерб.
В агент для macOS реализовали функции мониторинга и инвентаризации специфичных для этой операционной системы точек автозапуска, таких как Launch Agents, Launch Daemons и Login Items. Вредоносные программы часто используют эти пространства для закрепления в системе, и мониторинг этих точек позволяет своевременно обнаруживать такие попытки. Также добавилась возможность проверки файлов и процессов по YARA, что предоставляет дополнительные возможности для выявления вредоносного ПО на основе сигнатур. Ранее функциональность BI.ZONE EDR расширилась за счет добавления модуля Deception, который позволяет создавать подложные объекты-приманки, неотличимые от реальных объектов инфраструктуры компании. Благодаря этому уже на этапе разведки можно обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования.
2023
Выпуск модуля Deception для BI.Zone EDR
12 сентября 2023 года BI.ZONE сообщила о выпуске модуль Deception для BI.ZONE EDR (Endpoint Detection and Response, ранее — BI.ZONE Sensors). Модуль Deception позволяет уже на этапе разведки обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования. Ключевые функции EDR теперь доступны не только на Linux и Windows, но и на macOS.
Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика, как на конечных точках, так и в домене Active Directory. Приманка привлекает внимание злоумышленника, так как представляет собой потенциально полезную для развития атаки информацию. Киберпреступник взаимодействует с ней на этапе разведки и развития атаки внутри скомпрометированной инфраструктуры и попадает в ловушку. Последней может быть любая рабочая станция и сервер корпоративной сети с установленным EDR-агентом BI.ZONE EDR.
BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в домене Active Directory. Это обеспечивает высокоточные оповещения об атаке. Данные об инциденте появляются в интерфейсе продукта, а также могут быть переданы для дальнейшего реагирования во внешние системы IRP/SOAR/SIEM. Таким образом, Deception позволяет выявлять атаки, которые невозможно детектировать иным способом, или обеспечивает их обнаружение на ранних этапах — до начала перемещений злоумышленника внутри сети.
Модуль Deception адаптирует приманки под особенности инфраструктуры заказчика таким образом, чтобы у атакующего не возникло подозрений, что перед ним подложный объект. В частности, в приманках используется принятый в компании формат ведения учетных записей, а от имени подложных учетных записей эмулируется активность.
BI.ZONE EDR — продукт на российском рынке, в котором EDR и Deception представлены на единой технологической платформе. Заказчику не требуется установка двух разных решений, — это позволяет сэкономить время и ресурсы на приобретение, внедрение и обслуживание продукта. Любой хост с установленным агентом превращается в ловушку автоматически, не требуя развертывания отдельных серверов для этой задачи, а EDR получает дополнительную технологию детектирования угроз, отметил Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз.
|
Доменные ловушки включают в себя подложные учетные записи в Active Directory: помещенные в привилегированную группу, с отключенной предварительной аутентификацией Kerberos или с включенным обратимым шифрованием, а также подложные сервисные учетные записи в Active Directory с установленным атрибутом service principal name (SPN).
Локальные ловушки включают в себя сохраненные подложные учетные данные в браузере или в штатном менеджере учетных записей ОС, внедрение подложных учетных данных в оперативную память, создание конфигурационных файлов ОС и утилит с подложными учетными данными, а также создание ключей реестра Windows с подложными учетными данными. Другое важное обновление — поддержка EDR на macOS — расширяет функции мониторинга, обнаружения и реагирования на устройствах Apple. Агент позволяет собирать широкий спектр телеметрии с устройств под управлением macOS, а также проводить инвентаризацию исторических данных и конфигурации устройства и ОС по расписанию. Совмещение мониторинга текущей активности с инвентаризацией исторических данных и конфигурации устройства дает возможность выявлять не только активные атаки, но и прошлые компрометации, недостатки конфигурации и уязвимости, которые могут быть использованы злоумышленником для развития атаки. При этом BI.ZONE EDR обеспечивает эффективное реагирование на macOS. Возможности macOS-агента и модуля Deception доступны клиентам SOC/MDR сервиса BI.ZONE TDR.
Внедрение в Angara SOC
Angara Security внедрила в свой SOC решение класса EDR от компании BI.Zone, которая сообщила об этом 5 июня 2023 года.
BI.Zone Sensors поможет Angara Security усилить экспертный опыт в области защиты конечных точек от сложных угроз, увеличить возможности детектирования, ускорить процесс принятия решений при анализе подозрений на инцидент, а также в конечном итоге предоставлять заказчикам более качественную услугу по мониторингу и реагированию на киберинциденты. Подробнее здесь.
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (141)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Ngenix (Современные сетевые технологии, ССТ) (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
CyberOK (СайберОК) (4)
InnoSTage (Инностейдж) (4)
SearchInform (СёрчИнформ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
Micro Focus (5, 13)
Другие (278, 110)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Уральский центр систем безопасности (УЦСБ) (1, 2)
SearchInform (СёрчИнформ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (1, 1)
Спейсбит (Spacebit) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Перспективный мониторинг (1, 3)
Русием (RuSIEM) (1, 2)
Другие (6, 6)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 91 (0, 91)
MaxPatrol SIEM - 33 (33, 0)
СёрчИнформ SIEM - 17 (17, 0)
HPE ArcSight ESM (Security Information and Event Management, SIEM) - 12 (11, 1)
R‑Vision SOAR (ранее R-Vision IRP) - 10 (10, 0)
Другие 21
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 5 (0, 5)
R‑Vision SOAR (ранее R-Vision IRP) - 3 (3, 0)
MaxPatrol SIEM - 2 (2, 0)
Ngenix Облачная платформа - 2 (2, 0)
Jet CyberCamp - 1 (1, 0)
Другие 5
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 15 (0, 15)
CyberART Сервисная служба киберзащиты - 4 (4, 0)
Innostage SOAR (ранее Innostage IRP) - 4 (4, 0)
MaxPatrol SIEM - 2 (2, 0)
СёрчИнформ SIEM - 2 (2, 0)
Другие -7
СёрчИнформ SIEM - 3 (3, 0)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 2 (0, 2)
Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1 (1, 0)
Kaspersky Anti Targeted Attack Platform (KATA) - 1 (1, 0)
МТС RED SOC - 1 (1, 0)
Другие 7
СёрчИнформ SIEM - 9 (9, 0)
Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3 (3, 0)
Перспективный мониторинг: Ampire Киберполигон - 3 (3, 0)
RuSIEM Система сбора информации и событий от ИТ-систем - 2 (2, 0)
Kaspersky Endpoint Detection and Response (KEDR) - 2 (2, 0)
Другие 10
Подрядчики-лидеры по количеству проектов
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
TrapX DeceptionGrid - 0 (0, 0)
Illusive Active Defense - 0 (0, 0)
Гарда Deception - 0 (0, 0)
AVSoft Loki - 0 (0, 0)
R-Vision Threat Deception Platform (R-Vison TDP) - 0 (0, 0)
Другие 0