Решение BI.ZONE EDR обновлено до версии 1.39

Компания по управлению цифровыми рисками BI.ZONE представила обновление решения BI.ZONE EDR. Новая версия направлена на повышение удобства работы специалистов по кибербезопасности и ускорение анализа инцидентов за счет развития интерфейса, расширения возможностей threat hunting и усиления механизмов реагирования в Linux- и Windows-средах.

В BI.ZONE EDR добавилась новая ключевая технология — выявление угроз по индикаторам компрометации. Теперь пользователи могут эффективно применять данные киберразведки для обнаружения известных угроз, осуществлять интеграции со сторонними провайдерами IoC, оперативно добавляя индикаторы в мониторинг. Функция позволяет значительно ускорить ответную реакцию SOC на появление информации о новых угрозах.

В новой версии BI.ZONE EDR реализована сетевая изоляция для Linux-узлов, что расширяет возможности реагирования в гетерогенных инфраструктурах. Подозрительные или скомпрометированные хосты могут быть оперативно переведены в изолированный режим без потери связи с сервером управления и без остановки передачи телеметрии. Это позволяет оперативно останавливать развитие атаки и одновременно продолжать расследование.

Дополнительно для Windows и Linux теперь доступно управление правилами сетевых исключений для изолированных устройств. Это позволяет сохранять доступ только к критически важным сервисам даже в режиме изоляции — например, для обновления на хостах других средств защиты, а также для доступа с АРМ администраторов с целью оперативного расследования инцидентов.

В BI.ZONE EDR непрерывно развиваются алгоритмы поведенческого выявления угроз на конечных точках. Одно из ключевых изменений в текущем обновлении — существенное расширение функциональных возможностей по выявлению угроз, связанных с взаимодействием конечной точки с инфраструктурой злоумышленника. Существующих подходов к мониторингу зловредных сетевых обращений становится недостаточно: злоумышленники адаптируют механизмы взаимодействия с С2 под средства защиты так, чтобы коммуникация оставалась незамеченной. Из-за этого необходимо осуществлять углубленную инспекцию исходящих сетевых соединений. Улучшение позволяет ориентироваться в детектирующих алгоритмах на характеристики устанавливаемых TLS-соединений, в которых могут фигурировать JA*-отпечатки сетевой инфраструктуры злоумышленников, а также закладывает фундамент для улучшений сетевых технологий выявления угроз на конечных точках.

Теймур Хеирхабаров, директор по продуктам BI.ZONE, отметил: «Сегодня значительная часть вредоносной активности в Linux-средах маскируется под легитимный зашифрованный трафик. TLS-мониторинг позволяет видеть поведение соединений и выявлять аномалии, не создавая дополнительной нагрузки на инфраструктуру. Для SOC это означает более раннее обнаружение управляющих каналов и меньше слепых зон в расследовании».

С выходом версии 1.39 обновлен модуль Deception. Переработка архитектуры позволила расширить список поддерживаемых операционных систем: теперь приманки полноценно работают не только в Windows-, но и в Linux-средах, что делает технологию доступной для большей части инфраструктуры и повышает возможности выявления атак на более раннем этапе.

Кроме того, был расширен набор доступных приманок. Помимо подложных учетных данных, система теперь поддерживает эмуляцию файловых объектов. Это позволяет выстраивать более реалистичные сценарии вовлечения злоумышленника — например, размещать приманки в виде псевдодампов баз данных или других «ценных» файлов. Любая активность с такими объектами немедленно фиксируется системой и может служить ранним индикатором компрометации.

В версии 1.39 расширены инструменты для проведения точечных расследований на Windows-узлах. Функция разовых задач позволяет оперативно собирать инвентаризационные данные — информацию о процессах, службах, сетевых соединениях, автозагрузке и других артефактах, важных для анализа инцидента.

Кроме того, разовые задачи поддерживают запуск сканирования с использованием YARA-правил и индикаторов компрометации, что ускоряет подтверждение компрометации и поиск следов присутствия злоумышленника.

В разделе «События» для работы с сырой телеметрией появился поиск по относительным временным интервалам — например, «Последние 30 минут» или «Последние 6 часов». Функция позволяет ускорить и упростить процесс оперативного threat hunting.

Также был доработан интерфейс конструктора запросов и менеджера сохраненных запросов. Названия полей теперь динамически адаптируются в зависимости от выбранного режима отображения, что делает работу удобной как для начинающих аналитиков, так и для опытных специалистов SOC. Дополнительно расширен набор преднастроенных поисковых запросов для выявления аномалий и подозрительной активности.