BI.Zone EDR (Endpoint Detection and Response)
ранее BI.Zone Sensors

Основная статья: Security Information and Event Management (SIEM)

2024: Коробочная версия решения для защиты конечных точек BI.Zone EDR

20 мая 2024 года компания BI.ZONE представила коробочную версию решения для защиты конечных точек BI.ZONE EDR.

BI.Zone

По информации компании, в коробочном исполнении BI.ZONE EDR доступны все функции, показавшие эффективность в составе SOC-/MDR-сервиса BI.ZONE TDR. Также в продукте обновились агенты Linux, Windows и macOS. На Linux расширились возможности автономного обнаружения угроз и оптимизация видимости внутри контейнеров.

В Windows-агенте появился мониторинг действий с именованными каналами и событий от процессов подсистемы WSL для выявления атак, в которых используется комбинация Windows- и Linux-инструментов. А агент для macOS обзавелся функциями мониторинга и инвентаризации точек автозапуска, а также YARA-сканирования.

Ранее возможности BI.ZONE EDR были доступны в составе сервиса по мониторингу кибербезопасности BI.ZONE TDR. Коробочная версия решения предназначена для компаний, которые предпочитают не работать с сервис-провайдером, а самостоятельно решать задачи по мониторингу и реагированию с использованием современных инструментов. Ключевая цель BI.ZONE EDR — обеспечить эффективную защиту конечных точек, то есть серверов и рабочих станций. В любой IT-инфраструктуре доля таких устройств составляет до 85%, и именно они в подавляющем большинстве становятся целями атакующих. рассказал Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE

Ключевые изменения коснулись агента BI.ZONE EDR для Linux, в котором оптимизированы возможности детектирования событий внутри контейнеров. Это касается в первую очередь создания и изменения файлов, а также запуска процессов. В обновленной версии решения активно используется технология eBPF (extended Berkeley Packet Filter), которая позволяет глубже интегрироваться с контейнерными окружениями, такими как Docker или Kubernetes. Это оптимизирует видимость активности внутри контейнеров. Таким образом BI.ZONE EDR позволяет аналитику сразу увидеть не только хост, но и конкретный контейнер, в котором произошло подозрительное событие, тем самым сокращая время на реагирование. Кроме того, чтобы лучше обеспечивать стабильную работу критически важных приложений в высоконагруженных и чувствительных инфраструктурах, появилась возможность ограничивать ресурсы, потребляемые BI.ZONE EDR для Linux.

Еще в агенте BI.ZONE EDR для Linux оптимизировали автономное детектирование индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб: попытках эксплуатации уязвимостей, необычных сетевых запросов, подозрительных изменениях в системе и т. д.

Возможности мониторинга событий в версии BI.ZONE EDR для Windows также расширились благодаря поддержке мониторинга действий с именованными каналами и событий от процессов подсистемы WSL (Windows Subsystem for Linux). Технология именованных каналов предназначена, чтобы процессы обменивались данными через специально именованный ресурс в файловой системе. Злоумышленники нередко используют ее для внедрения вредоносного ПО, контроля зараженной системы и обхода механизмов защиты. Мониторинг именованных каналов позволяет выявлять подозрительные или несанкционированные взаимодействия между процессами — это может указывать на вредоносную активность. В свою очередь, поддержка WSL позволяет выявлять угрозы, которые используют комбинацию Windows- и Linux-инструментов для выполнения задач атакующих. Злоумышленники прибегают к такой тактике, чтобы эффективнее обходить средства защиты.

Кроме того, в версии BI.ZONE EDR для Windows появились дополнительные функции автоматического реагирования, включая приостановку процесса или потока, а также завершение активной сессии пользователя. Эти изменения позволяют оперативнее реагировать на угрозы и минимизировать потенциальный ущерб.

В агент для macOS реализовали функции мониторинга и инвентаризации специфичных для этой операционной системы точек автозапуска, таких как Launch Agents, Launch Daemons и Login Items. Вредоносные программы часто используют эти пространства для закрепления в системе, и мониторинг этих точек позволяет своевременно обнаруживать такие попытки. Также добавилась возможность проверки файлов и процессов по YARA, что предоставляет дополнительные возможности для выявления вредоносного ПО на основе сигнатур. Ранее функциональность BI.ZONE EDR расширилась за счет добавления модуля Deception, который позволяет создавать подложные объекты-приманки, неотличимые от реальных объектов инфраструктуры компании. Благодаря этому уже на этапе разведки можно обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования.

2023

Выпуск модуля Deception для BI.Zone EDR

12 сентября 2023 года BI.ZONE сообщила о выпуске модуль Deception для BI.ZONE EDR (Endpoint Detection and Response, ранее — BI.ZONE Sensors). Модуль Deception позволяет уже на этапе разведки обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования. Ключевые функции EDR теперь доступны не только на Linux и Windows, но и на macOS. 

Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика, как на конечных точках, так и в домене Active Directory. Приманка привлекает внимание злоумышленника, так как представляет собой потенциально полезную для развития атаки информацию. Киберпреступник взаимодействует с ней на этапе разведки и развития атаки внутри скомпрометированной инфраструктуры и попадает в ловушку. Последней может быть любая рабочая станция и сервер корпоративной сети с установленным EDR-агентом BI.ZONE EDR.

BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в домене Active Directory. Это обеспечивает высокоточные оповещения об атаке. Данные об инциденте появляются в интерфейсе продукта, а также могут быть переданы для дальнейшего реагирования во внешние системы IRP/SOAR/SIEM. Таким образом, Deception позволяет выявлять атаки, которые невозможно детектировать иным способом, или обеспечивает их обнаружение на ранних этапах — до начала перемещений злоумышленника внутри сети. 

Модуль Deception адаптирует приманки под особенности инфраструктуры заказчика таким образом, чтобы у атакующего не возникло подозрений, что перед ним подложный объект. В частности, в приманках используется принятый в компании формат ведения учетных записей, а от имени подложных учетных записей эмулируется активность.

BI.ZONE EDR — продукт на российском рынке, в котором EDR и Deception представлены на единой технологической платформе. Заказчику не требуется установка двух разных решений, — это позволяет сэкономить время и ресурсы на приобретение, внедрение и обслуживание продукта. Любой хост с установленным агентом превращается в ловушку автоматически, не требуя развертывания отдельных серверов для этой задачи, а EDR получает дополнительную технологию детектирования угроз, отметил Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз.

Доменные ловушки включают в себя подложные учетные записи в Active Directory: помещенные в привилегированную группу, с отключенной предварительной аутентификацией Kerberos или с включенным обратимым шифрованием, а также подложные сервисные учетные записи в Active Directory с установленным атрибутом service principal name (SPN).

Локальные ловушки включают в себя сохраненные подложные учетные данные в браузере или в штатном менеджере учетных записей ОС, внедрение подложных учетных данных в оперативную память, создание конфигурационных файлов ОС и утилит с подложными учетными данными, а также создание ключей реестра Windows с подложными учетными данными. Другое важное обновление — поддержка EDR на macOS — расширяет функции мониторинга, обнаружения и реагирования на устройствах Apple. Агент позволяет собирать широкий спектр телеметрии с устройств под управлением macOS, а также проводить инвентаризацию исторических данных и конфигурации устройства и ОС по расписанию. Совмещение мониторинга текущей активности с инвентаризацией исторических данных и конфигурации устройства дает возможность выявлять не только активные атаки, но и прошлые компрометации, недостатки конфигурации и уязвимости, которые могут быть использованы злоумышленником для развития атаки. При этом BI.ZONE EDR обеспечивает эффективное реагирование на macOS. Возможности macOS-агента и модуля Deception доступны клиентам SOC/MDR сервиса BI.ZONE TDR.

Внедрение в Angara SOC

Angara Security внедрила в свой SOC решение класса EDR от компании BI.Zone, которая сообщила об этом 5 июня 2023 года.

BI.Zone Sensors поможет Angara Security усилить экспертный опыт в области защиты конечных точек от сложных угроз, увеличить возможности детектирования, ускорить процесс принятия решений при анализе подозрений на инцидент, а также в конечном итоге предоставлять заказчикам более качественную услугу по мониторингу и реагированию на киберинциденты. Подробнее здесь.