Представлена коробочная версия решения для защиты конечных точек Bi.Zone EDR
Bi.Zone представила коробочную версию Bi.Zone EDR — решения для выявления на конечных точках сложных атак и реагирования на них. Оно помогает обнаруживать сложные угрозы на рабочих станциях и серверах, работающих на Windows, macOS и Linux (включая российские дистрибутивы), а также в контейнерных средах. Кроме того, решение позволяет оперативно реагировать на инциденты автоматически и вручную. Об этом CNews сообщили представители Bi.Zone.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, Bi.Zone: «Ранее возможности Bi.Zone EDR были доступны в составе сервиса по мониторингу кибербезопасности Bi.Zone TDR. Коробочная версия решения предназначена для компаний, которые предпочитают не работать с сервис-провайдером, а самостоятельно решать задачи по мониторингу и реагированию с использованием передовых инструментов.
Ключевая цель Bi.Zone EDR — обеспечить защиту конечных точек, то есть серверов и рабочих станций. В любой ИТ-инфраструктуре доля таких устройств составляет до 85%, и именно они в подавляющем большинстве становятся целями атакующих».
Функциональность Bi.Zone EDR также расширилась. Ключевые изменения коснулись агента Bi.Zone EDR для Linux, в котором улучшились возможности детектирования событий внутри контейнеров. Это касается в первую очередь создания и изменения файлов, а также запуска процессов.
В новой версии решения активно используется технология eBPF (extended Berkeley Packet Filter), которая позволяет глубже интегрироваться с контейнерными окружениями, такими как Docker или Kubernetes. Это улучшает видимость активности внутри контейнеров. Таким образом, Bi.Zone EDR позволяет аналитику сразу увидеть не только хост, но и конкретный контейнер, в котором произошло подозрительное событие, тем самым существенно сокращая время на реагирование. Кроме того, чтобы лучше обеспечивать стабильную работу критически важных приложений в высоконагруженных и чувствительных инфраструктурах, появилась возможность ограничивать ресурсы, потребляемые Bi.Zone EDR для Linux.
Еще в агенте Bi.Zone EDR для Linux улучшили автономное детектирование индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб: попытках эксплуатации уязвимостей, необычных сетевых запросов, подозрительных изменениях в системе и т. д.
Возможности мониторинга событий в версии Bi.Zone EDR для Windows также расширились благодаря поддержке мониторинга действий с именованными каналами и событий от процессов подсистемы WSL (Windows Subsystem for Linux).
Технология именованных каналов предназначена, чтобы процессы обменивались данными через специально именованный ресурс в файловой системе. Злоумышленники нередко используют ее для внедрения вредоносного ПО, контроля зараженной системы и обхода механизмов защиты. Мониторинг именованных каналов позволяет выявлять подозрительные или несанкционированные взаимодействия между процессами — это может указывать на вредоносную активность.
В свою очередь, поддержка WSL позволяет выявлять угрозы, которые используют комбинацию Windows- и Linux-инструментов для выполнения задач атакующих. Злоумышленники прибегают к такой тактике, чтобы эффективнее обходить средства защиты.
Кроме того, в версии Bi.Zone EDR для Windows появились дополнительные функции автоматического реагирования, включая приостановку процесса или потока, а также завершение активной сессии пользователя. Эти улучшения позволяют оперативнее реагировать на угрозы и минимизировать потенциальный ущерб.
В агент для macOS реализовали функции мониторинга и инвентаризации специфичных для этой операционной системы точек автозапуска, таких как Launch Agents, Launch Daemons и Login Items. Вредоносные программы часто используют эти пространства для закрепления в системе, и мониторинг этих точек позволяет своевременно обнаруживать такие попытки. Также добавилась возможность проверки файлов и процессов по YARA, что предоставляет дополнительные возможности для выявления вредоносного ПО на основе сигнатур.
Ранее функциональность Bi.Zone EDR расширилась за счет добавления модуля Deception, который позволяет создавать подложные объекты‑приманки, неотличимые от реальных объектов инфраструктуры компании. Благодаря этому уже на этапе разведки можно обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования.
***
Bi.Zone — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ‑инфраструктур любого размера и оказывает услуги по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др., защитив свыше 500 клиентов в 15 странах мира.