Расширенная функциональность BI.ZONE EDR

Компания BI.ZONE представила новый модуль Deception для решения BI.ZONE EDR (Endpoint Detection and Response, ранее BI.ZONE Sensors). Модуль позволяет уже на этапе разведки обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования. Ключевые функции EDR теперь доступны не только на Linux и Windows, но и на macOS.

Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика, как на конечных точках, так и в домене Active Directory. Приманка, представляющая собой потенциально полезную для развития атаки информацию, привлекает внимание злоумышленника, который взаимодействует с ней на этапе разведки и развития атаки внутри скомпрометированной инфраструктуры и попадает в ловушку. Ловушкой может быть любая рабочая станция и сервер корпоративной сети с установленным EDR-агентом BI.ZONE EDR.

BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в домене Active Directory. Это обеспечивает высокоточные оповещения об атаке. Данные об инциденте появляются в интерфейсе продукта, а также могут быть переданы для дальнейшего реагирования во внешние системы IRP/SOAR/SIEM. Таким образом, Deception позволяет выявлять атаки, которые невозможно детектировать иным способом, или обеспечивает их обнаружение на ранних этапах, до начала перемещений злоумышленника внутри сети.

Модуль Deception адаптирует приманки под особенности инфраструктуры заказчика таким образом, чтобы у атакующего не возникло подозрений, что перед ним подложный объект. В частности, в приманках используется принятый в компании формат ведения учетных записей и эмулируется активность от имени подложных учетных записей.

Как подчеркивают в компании, на сегодня BI.ZONE EDR – единственный продукт на российском рынке, в котором EDR и Deception представлены на единой технологической платформе. Заказчику не требуется устанавливать два разных решения. Любой хост с установленным агентом превращается в ловушку автоматически, не требуя развертывания отдельных серверов, а EDR получает дополнительную технологию детектирования угроз.

Доменные ловушки включают в себя подложные учетные записи в Active Directory: помещенные в привилегированную группу, с отключенной предварительной аутентификацией Kerberos или с включенным обратимым шифрованием, а также подложные сервисные учетные записи в Active Directory с установленным атрибутом service principal name (SPN).

Локальные ловушки включают в себя сохраненные подложные учетные данные в браузере или в штатном менеджере учетных записей ОС, внедрение подложных учетных данных в оперативную память, создание конфигурационных файлов ОС и утилит с подложными учетными данными, а также создание ключей реестра Windows с подложными учетными данными.

Еще одно важное новшество – поддержка EDR на macOS – расширяет функции мониторинга, обнаружения и реагирования на устройствах Apple. Агент позволяет собирать широкий спектр телеметрии с устройств под управлением macOS, а также проводить инвентаризацию исторических данных и конфигурации устройства и ОС по расписанию.

Совмещение мониторинга текущей активности с инвентаризацией исторических данных и конфигурации устройства дает возможность выявлять не только активные атаки, но и прошлые компрометации, недостатки конфигурации и уязвимости, которые могут быть использованы злоумышленником для развития атаки. При этом BI.ZONE EDR обеспечивает эффективное реагирование на macOS.

Возможности macOS-агента и модуля Deception доступны клиентам SOC/MDR сервиса BI.ZONE TDR. В ближайшее время они станут доступны и тем, кто использует коробочную версию продукта без сервиса SOC/MDR.