Компания Bi.Zone, специализирующаяся на управлении цифровыми рисками, анонсировала обновление своей платформы Bi.Zone EDR. Обновленная версия призвана сделать работу аналитиков кибербезопасности более комфортной и ускорить расследование инцидентов благодаря усовершенствованному интерфейсу, расширенным возможностям проактивного поиска угроз и усиленным механизмам реагирования для сред Linux и Windows. Об этом CNews сообщили в Bi.Zone.
Индикаторы компрометации (IoC)
В Bi.Zone EDR появилась важная новая функция — обнаружение угроз на основе индикаторов компрометации. Теперь специалисты могут эффективно использовать данные киберразведки для выявления известных атак, интегрировать систему с внешними источниками IoC и быстро добавлять новые индикаторы в систему мониторинга. Это позволяет центру безопасности (SOC) существенно сократить время реакции на появление сведений о новых киберугрозах.
Сетевая изоляция для Linux и гибкие исключения
В обновлении реализована функция сетевой изоляции для узлов под управлением Linux, что повышает эффективность реагирования в смешанных инфраструктурах. Подозрительные или зараженные хосты можно оперативно перевести в изолированный режим, при этом сохранив их связь с сервером управления и не прерывая сбор телеметрии. Это дает возможность быстро блокировать развитие атаки, продолжая ее детальное исследование.
Кроме того, для Windows и Linux теперь доступна настройка правил сетевых исключений для изолированных устройств. Это позволяет оставить доступ только к наиболее важным службам даже в режиме изоляции — например, для обновления другого защитного ПО на хостах или для обеспечения доступа администраторам с рабочих станций с целью оперативного расследования.
Мониторинг TLS-соединений
В Bi.Zone EDR постоянно совершенствуются алгоритмы поведенческого анализа угроз на конечных точках. Одно из ключевых нововведений этого обновления — расширение возможностей по обнаружению угроз, связанных с взаимодействием устройств с инфраструктурой злоумышленников. Традиционных методов мониторинга вредоносного сетевого трафика становится недостаточно: злоумышленники адаптируют протоколы взаимодействия с командными серверами (C2), чтобы обойти защитные решения и оставаться незамеченными. В связи с этим требуется проводить углубленный анализ исходящих сетевых подключений. Улучшение позволяет алгоритмам детектирования анализировать параметры устанавливаемых TLS-соединений, в которых могут содержаться характерные отпечатки (JA*) сетевой инфраструктуры злоумышленников, а также закладывает основу для будущего развития технологий сетевого обнаружения угроз на конечных точках.
Теймур Хейрхабаров, руководитель продуктового направления Bi.Zone: «В настоящее время многие вредоносные операции в средах Linux скрываются под видом легального зашифрованного трафика. Мониторинг TLS даёт возможность наблюдать за поведением сетевых подключений и обнаруживать отклонения, не перегружая инфраструктуру. Для центра мониторинга безопасности это означает более оперативное выявление каналов управления и сокращение неконтролируемых областей при расследовании».
Модуль Deception: совместимость с Linux и новые типы ловушек
В релизе 1.39 был усовершенствован модуль Deception. Модернизация архитектуры позволила увеличить перечень совместимых операционных систем: теперь ловушки корректно функционируют не только в Windows-, но и в Linux-окружениях. Это делает технологию применимой для большей части инфраструктур и усиливает потенциал обнаружения атак на ранних стадиях.
Помимо этого, был дополнен ассортимент доступных ловушек. Наряду с фальшивыми учётными данными, система теперь способна эмулировать файловые объекты. Это помогает создавать более правдоподобные сценарии взаимодействия со злоумышленником — к примеру, размещать ловушки в виде имитации дампов баз данных или других «важных» файлов. Любые действия с подобными объектами мгновенно регистрируются системой и могут выступать ранним признаком нарушения безопасности.
Единоразовые задачи для целевого расследования
В версии 1.39 расширен инструментарий для проведения адресных расследований на узлах под управлением Windows. Функция разовых задач обеспечивает оперативный сбор инвентаризационных сведений — данных о процессах, службах, сетевых подключениях, автозапуске и прочих артефактах, значимых для анализа инцидента.
Также разовые задачи позволяют запускать проверку с применением YARA-правил и индикаторов компрометации, что способствует ускоренному подтверждению взлома и поиску следов активности злоумышленника.
Повышение скорости анализа событий и оповещений
В разделе «События», предназначенном для работы с исходной телеметрией, появился поиск по относительным временным промежуткам — таким как «Последние 30 минут» или «Последние 6 часов». Данная возможность помогает ускорить и упростить процесс оперативного поиска угроз.
Кроме того, был улучшен интерфейс конструктора запросов и менеджера сохранённых поисков. Наименования полей теперь автоматически подстраиваются в зависимости от выбранного режима отображения, что делает работу комфортной как для новичков-аналитиков, так и для опытных сотрудников SOC. Дополнительно пополнен набор предустановленных поисковых запросов для выявления аномалий и подозрительных действий.
