Коробочная версия EDR-решения BI.ZONE
Компания BI.ZONE представила коробочную версию решения для защиты конечных точек BI.ZONE EDR. В коробочном исполнении доступны все функции, показавшие эффективность в составе SOC/MDR-сервиса BI.ZONE TDR.
В продукте также обновились агенты Linux, Windows и macOS. На Linux расширились возможности автономного обнаружения угроз и повышение видимости внутри контейнеров. В Windows-агенте появился мониторинг действий с именованными каналами и событий от процессов подсистемы WSL для выявления атак, в которых используется комбинация Windows- и Linux-инструментов. Агент для macOS получил функции мониторинга и инвентаризации точек автозапуска, а также YARA-сканирования.
Решение BI.ZONE EDR предназначено для выявления на конечных точках сложных атак и реагирования на них. Оно помогает обнаруживать сложные угрозы на рабочих станциях и серверах, работающих на Windows, macOS и Linux (включая российские дистрибутивы), а также в контейнерных средах. Кроме того, решение позволяет оперативно реагировать на инциденты автоматически и вручную.
Как отмечают в компании, ранее возможности BI.ZONE EDR были доступны в составе сервиса по мониторингу кибербезопасности BI.ZONE TDR. Коробочная версия предназначена для компаний, которые предпочитают не работать с сервис-провайдером, а самостоятельно решать задачи мониторинга и реагирования с использованием современных инструментов. Ключевая цель BI.ZONE EDR — обеспечить эффективную защиту конечных точек, то есть серверов и рабочих станций. доля таких устройств в любой ИТ-инфраструктуре составляет до 85%, и именно они в первую очередь становятся целями атакующих.
Функциональность BI.ZONE EDR также расширилась. Ключевые изменения коснулись агента BI.ZONE EDR для Linux, в котором улучшились возможности детектирования событий внутри контейнеров. Это касается в первую очередь создания и изменения файлов, а также запуска процессов.
В новой версии активно используется технология eBPF (extended Berkeley Packet Filter), которая позволяет глубже интегрироваться с контейнерными окружениями, такими как Docker или Kubernetes. Это улучшает видимость активности внутри контейнеров. Таким образом BI.ZONE EDR позволяет аналитику сразу увидеть не только хост, но и конкретный контейнер, в котором произошло подозрительное событие. Кроме того, чтобы лучше обеспечивать стабильную работу критически важных приложений в высоконагруженных и чувствительных инфраструктурах, появилась возможность ограничивать ресурсы, потребляемые BI.ZONE EDR для Linux.
В агенте BI.ZONE EDR для Linux также улучшено автономное детектирование индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб: попытках эксплуатации уязвимостей, необычных сетевых запросов, подозрительных изменениях в системе и т. д.
В версии для Windows возможности мониторинга событий также расширились благодаря поддержке мониторинга действий с именованными каналами и событий от процессов подсистемы WSL (Windows Subsystem for Linux). Технология именованных каналов предназначена для того, чтобы процессы обменивались данными через специально именованный ресурс в файловой системе. Злоумышленники нередко используют ее для внедрения вредоносного ПО, контроля зараженной системы и обхода механизмов защиты. Мониторинг именованных каналов позволяет выявлять подозрительные или несанкционированные взаимодействия между процессами – это может указывать на вредоносную активность. В свою очередь, поддержка WSL позволяет выявлять угрозы, которые используют комбинацию Windows- и Linux-инструментов для выполнения задач атакующих.
Кроме того, в версии BI.ZONE EDR для Windows появились дополнительные функции автоматического реагирования, включая приостановку процесса или потока, а также завершение активной сессии пользователя. Эти улучшения позволяют оперативнее реагировать на угрозы и минимизировать потенциальный ущерб.
В агенте для macOS реализованы функции мониторинга и инвентаризации специфичных для этой ОС точек автозапуска, таких как Launch Agents, Launch Daemons и Login Items. Вредоносные программы часто используют эти пространства для закрепления в системе, и мониторинг этих точек позволяет своевременно обнаруживать такие попытки. Также добавилась возможность проверки файлов и процессов по YARA, что предоставляет дополнительные возможности для выявления вредоносного ПО на основе сигнатур.
Ранее функциональность BI.ZONE EDR была расширена за счет добавления модуля Deception, который позволяет создавать подложные объекты-приманки, неотличимые от реальных объектов инфраструктуры компании. Благодаря этому уже на этапе разведки можно обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования.