В обновленную версию BI.ZONE EDR добавился модуль «Рекомендации по безопасности». Он доступен во всех операционных системах и позволяет оценить конфигурацию ОС и ПО на конечных точках, а также выявить их уязвимые места и учетные записи со слабыми паролями.
Среди ключевых изменений также проработано расширение возможностей по сбору данных и автономному реагированию в агенте BI.ZONE EDR для Windows, а автономное детектирование индикаторов атаки стало доступно на macOS.
В агенте BI.ZONE EDR для macOS были расширены возможности автономного детектирования индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб. Корреляционные правила поиска IoA в BI.ZONE EDR для macOS включают в себя анализ попыток эксплуатации уязвимостей, выявление необычных сетевых запросов, фиксирование подозрительных изменений в системе и т. д.
Следующим важным изменением стало добавление модуля «Рекомендации по безопасности». Модуль доступен в версиях BI.ZONE EDR для всех операционных систем и позволяет оценить конфигурацию безопасности на конечных точках и выявить их слабые места, которые пользователь сможет в дальнейшем устранить для уменьшения поверхности атаки.
Оценка конфигурации безопасности предполагает проверку того, насколько системы соответствуют заранее определенным правилам настроек конфигурации. Кроме того, модуль «Рекомендации по безопасности» также выявляет учетные записи со слабыми паролями.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:
По нашим данным, доля конечных точек в любой IT-инфраструктуре составляет до 85%, и именно они чаще всего становятся целями атакующих. Выявление слабых мест на конечных точках и их дальнейшее устранение помогает уменьшить поверхность атаки и тем самым снижает риск возникновения инцидентов кибербезопасности.
В обновленном агенте BI.ZONE EDR для Windows появилась возможность получать в виде событий телеметрии вывод запуска произвольной команды. Пользователь продукта может настроить расписание запуска требуемой команды или команд и параметры парсинга вывода их работы. В результате EDR будет отправлять вывод команд в виде событий телеметрии, которые могут быть использованы в IoA-правилах. Это дает возможность реализовывать сценарии обнаружения угроз в условиях, когда для логики правила недостает событий телеметрии EDR, но при этом в составе операционной системы есть требуемые инструменты, благодаря которым задачу можно решить. Аналогичные возможности ранее уже были реализованы в агентах для Linux и macOS.
Помимо сбора телеметрии, в агенте для Windows были расширены возможности автономного реагирования. Теперь в рамках автономного реагирования при срабатывании IoA-правила можно запустить любую команду или процесс (например, собственный скрипт), что позволяет реализовывать большое количество сценариев автоматического реагирования.
Кроме того, в обновленной версии BI.ZONE EDR для macOS добавился ряд новых событий телеметрии — модификация расширенных атрибутов файловой системы и изменения владельца или группы файлового объекта. А в Windows появилась возможность читать данные из произвольных журналов Windows Events Log. Также продолжается работа над пользовательским интерфейсом сервера управления, в результате чего временные затраты на рутинные операции по диагностике проблем удалось сократить на 30%.
