BI.Zone EDR (Endpoint Detection and Response)
ранее BI.Zone Sensors

Продукт
Разработчики: BI.Zone (Безопасная Информационная Зона, Бизон)
Дата последнего релиза: 2023/09/12
Технологии: Distributed Deception Platform (DDP),  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Основная статья: Security Information and Event Management (SIEM)

2023

Выпуск модуля Deception для BI.Zone EDR

12 сентября 2023 года BI.ZONE сообщила о выпуске модуль Deception для BI.ZONE EDR (Endpoint Detection and Response, ранее — BI.ZONE Sensors). Модуль Deception позволяет уже на этапе разведки обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования. Ключевые функции EDR теперь доступны не только на Linux и Windows, но и на macOS

Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика, как на конечных точках, так и в домене Active Directory. Приманка привлекает внимание злоумышленника, так как представляет собой потенциально полезную для развития атаки информацию. Киберпреступник взаимодействует с ней на этапе разведки и развития атаки внутри скомпрометированной инфраструктуры и попадает в ловушку. Последней может быть любая рабочая станция и сервер корпоративной сети с установленным EDR-агентом BI.ZONE EDR.

BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в домене Active Directory. Это обеспечивает высокоточные оповещения об атаке. Данные об инциденте появляются в интерфейсе продукта, а также могут быть переданы для дальнейшего реагирования во внешние системы IRP/SOAR/SIEM. Таким образом, Deception позволяет выявлять атаки, которые невозможно детектировать иным способом, или обеспечивает их обнаружение на ранних этапах — до начала перемещений злоумышленника внутри сети. 

Модуль Deception адаптирует приманки под особенности инфраструктуры заказчика таким образом, чтобы у атакующего не возникло подозрений, что перед ним подложный объект. В частности, в приманках используется принятый в компании формат ведения учетных записей, а от имени подложных учетных записей эмулируется активность.

«
BI.ZONE EDR — продукт на российском рынке, в котором EDR и Deception представлены на единой технологической платформе. Заказчику не требуется установка двух разных решений, — это позволяет сэкономить время и ресурсы на приобретение, внедрение и обслуживание продукта. Любой хост с установленным агентом превращается в ловушку автоматически, не требуя развертывания отдельных серверов для этой задачи, а EDR получает дополнительную технологию детектирования угроз,
отметил Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз.
»

Доменные ловушки включают в себя подложные учетные записи в Active Directory: помещенные в привилегированную группу, с отключенной предварительной аутентификацией Kerberos или с включенным обратимым шифрованием, а также подложные сервисные учетные записи в Active Directory с установленным атрибутом service principal name (SPN).

Локальные ловушки включают в себя сохраненные подложные учетные данные в браузере или в штатном менеджере учетных записей ОС, внедрение подложных учетных данных в оперативную память, создание конфигурационных файлов ОС и утилит с подложными учетными данными, а также создание ключей реестра Windows с подложными учетными данными. Другое важное обновление — поддержка EDR на macOS — расширяет функции мониторинга, обнаружения и реагирования на устройствах Apple. Агент позволяет собирать широкий спектр телеметрии с устройств под управлением macOS, а также проводить инвентаризацию исторических данных и конфигурации устройства и ОС по расписанию. Совмещение мониторинга текущей активности с инвентаризацией исторических данных и конфигурации устройства дает возможность выявлять не только активные атаки, но и прошлые компрометации, недостатки конфигурации и уязвимости, которые могут быть использованы злоумышленником для развития атаки. При этом BI.ZONE EDR обеспечивает эффективное реагирование на macOS. Возможности macOS-агента и модуля Deception доступны клиентам SOC/MDR сервиса BI.ZONE TDR.

Внедрение в Angara SOC

Angara Security внедрила в свой SOC решение класса EDR от компании BI.Zone, которая сообщила об этом 5 июня 2023 года.

BI.Zone Sensors поможет Angara Security усилить экспертный опыт в области защиты конечных точек от сложных угроз, увеличить возможности детектирования, ускорить процесс принятия решений при анализе подозрений на инцидент, а также в конечном итоге предоставлять заказчикам более качественную услугу по мониторингу и реагированию на киберинциденты. Подробнее здесь.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (91)
  Positive Technologies (Позитив Текнолоджиз) (20)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (12)
  SearchInform (СёрчИнформ) (11)
  Другие (133)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Positive Technologies (Позитив Текнолоджиз) (2)
  Инфосекьюрити (Infosecurity) (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  InnoSTage (Инностейдж) (4)
  CyberOK (СайберОК) (4)
  SearchInform (СёрчИнформ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  Softline (Софтлайн) (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (2)
  Лаборатория Касперского (Kaspersky) (2)
  МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  Softline (Софтлайн) (3)
  ITProtect (Инфозащита) (1)
  Positive Technologies (Позитив Текнолоджиз) (1)
  Газинформсервис (ГИС) (1)
  Другие (4)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (11, 91)
  Positive Technologies (Позитив Текнолоджиз) (15, 36)
  Лаборатория Касперского (Kaspersky) (8, 13)
  ArcSight (5, 13)
  Micro Focus (5, 13)
  Другие (259, 102)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  Инфосекьюрити (Infosecurity) (2, 2)
  IBM (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  SearchInform (СёрчИнформ) (1, 2)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 3)
  Лаборатория Касперского (Kaspersky) (3, 2)
  Перспективный мониторинг (1, 2)
  Positive Technologies (Позитив Текнолоджиз) (1, 1)
  Газинформсервис (ГИС) (1, 1)
  Другие (1, 1)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 91 (0, 91)
  MaxPatrol SIEM - 31 (31, 0)
  HPE ArcSight ESM (Security Information and Event Management, SIEM) - 12 (11, 1)
  СёрчИнформ SIEM - 11 (11, 0)
  R‑Vision SOAR (ранее R-Vision IRP) - 10 (10, 0)
  Другие 10

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 6 (0, 6)
  R‑Vision SOAR (ранее R-Vision IRP) - 3 (3, 0)
  Ngenix Облачная платформа - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Varonis Data Security Platform - 1 (1, 0)
  Другие 3

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 15 (0, 15)
  Innostage SOAR (ранее Innostage IRP) - 4 (4, 0)
  CyberART Сервисная служба киберзащиты - 4 (4, 0)
  СёрчИнформ SIEM - 2 (2, 0)
  PT Network Attack Discovery (PT NAD) - 2 (2, 0)
  Другие -7

  СёрчИнформ SIEM - 3 (3, 0)
  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 2 (0, 2)
  Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 (1, 0)
  Spacebit X-Config Решение для управления уязвимостями конфигураций - 1 (1, 0)
  Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1 (1, 0)
  Другие 7

  СёрчИнформ SIEM - 3 (3, 0)
  Перспективный мониторинг: Ampire Киберполигон - 2 (2, 0)
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 1 (1, 0)
  Kaspersky Endpoint Detection and Response (KEDR) - 1 (1, 0)
  Kaspersky Anti Targeted Attack Platform (KATA) - 1 (1, 0)
  Другие 2

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Данные не найдены

Данные не найдены

Данные не найдены

Данные не найдены

Данные не найдены

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  TrapX DeceptionGrid - 0 (0, 0)
  Illusive Active Defense - 0 (0, 0)
  Гарда Deception - 0 (0, 0)
  AVSoft Loki - 0 (0, 0)
  R-Vision Threat Deception Platform (R-Vison TDP) - 0 (0, 0)
  Другие 0
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены