В Bi.Zone EDR появились двухфакторная аутентификация и ряд функций, повышающих эффективность мониторинга угроз
Чтобы обеспечить дополнительный уровень безопасности на сервере управления, в коробочной версии Bi.Zone EDR добавилась функция двухфакторной аутентификации. Если включить эту функцию, при доступе в интерфейс сервера будет запрашиваться не только пароль учетной записи, но и одноразовый код, сгенерированный по алгоритму TOTP (time-based one-time password) и действительный только в течение короткого промежутка времени. Таким образом, даже если злоумышленник получит пароль пользователя, учетная запись будет защищена от несанкционированного доступа. Об этом CNews сообщили представители Bi.Zone.
Другое ключевое изменение, затронувшее сервер управления EDR, — добавившаяся возможность отправки телеметрии и обнаружения параллельно в несколько назначений с использованием syslog или Kafka. Это позволяет реализовывать различные сценарии интеграции с системами управления событиями кибербезопасности (SIEM).
Чтобы обеспечить эффективный мониторинг актуальных угроз и реагирование на них, в Bi.Zone EDR постоянно расширяется объем собираемой телеметрии. Так, в агенте Bi.Zone EDR для Windows появилась возможность отслеживания попыток чтения критичных значений из реестра.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, Bi.Zone: «Новая функция позволяет отслеживать попытки несанкционированного доступа к хранящимся в реестре WIndows высококритичным настройкам программ и содержащейся в них чувствительной информации, например паролям от учетных записей. Это позволит повысить эффективность обнаружения различных утилит дампа учетных данных пользователей».
Другие изменения телеметрии в агенте для Windows касаются добавления новых инвентаризационных источников данных, а для ряда существующих источников — новых параметров, которые повышают точность обнаружения атак. В частности, была добавлена возможность инвентаризации доменных учетных записей с возможностью обнаружения слабых паролей у пользователей. Это позволяет повысить защищенность доменной инфраструктуры к брутфорс-атакам, т. е. атакам, реализуемым с помощью перебора паролей.
Помимо расширения телеметрии, в агенте также развиваются и возможности, позволяющие более эффективно управлять потоком собираемой телеметрии. В новой версии агента Bi.Zone EDR для Windows появилась возможность гибко настраивать агрегацию и троттлинг событий. Это позволяет снизить нагрузку на конечную точку, сеть и хранилище EDR-телеметрии при помощи фильтрации повторяющихся событий. Кроме того, появилась возможность создавать агрегационные события на основании данных, которые были накоплены из повторяющихся событий.
В агенте Bi.Zone EDR для Linux была добавлена возможность сбора событий удаления файла, переименования файла и событий изменения прав доступа к файлу в контейнерах на базе провайдера eBPF. Это повышает возможность выявления угроз в контейнерных средах.
Кроме того, по результатам проведенного UX-исследования был доработан пользовательский интерфейс решения.
Ранее Bi.Zone представила коробочную версию Bi.Zone EDR. Она предназначена для компаний, которые предпочитают не работать с сервис-провайдером, а самостоятельно решать задачи по мониторингу и реагированию с использованием передовых инструментов. До этого возможности решения были доступны исключительно в составе сервиса по мониторингу кибербезопасности Bi.Zone TDR.