| Разработчики: | BI.Zone (Безопасная Информационная Зона, Бизон) |
| Дата последнего релиза: | 2023/09/12 |
| Технологии: | Distributed Deception Platform (DDP), ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Основная статья: Security Information and Event Management (SIEM)
2023
Выпуск модуля Deception для BI.Zone EDR
12 сентября 2023 года BI.ZONE сообщила о выпуске модуль Deception для BI.ZONE EDR (Endpoint Detection and Response, ранее — BI.ZONE Sensors). Модуль Deception позволяет уже на этапе разведки обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования. Ключевые функции EDR теперь доступны не только на Linux и Windows, но и на macOS.
Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика, как на конечных точках, так и в домене Active Directory. Приманка привлекает внимание злоумышленника, так как представляет собой потенциально полезную для развития атаки информацию. Киберпреступник взаимодействует с ней на этапе разведки и развития атаки внутри скомпрометированной инфраструктуры и попадает в ловушку. Последней может быть любая рабочая станция и сервер корпоративной сети с установленным EDR-агентом BI.ZONE EDR.
BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в домене Active Directory. Это обеспечивает высокоточные оповещения об атаке. Данные об инциденте появляются в интерфейсе продукта, а также могут быть переданы для дальнейшего реагирования во внешние системы IRP/SOAR/SIEM.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 
Таким образом, Deception позволяет выявлять атаки, которые невозможно детектировать иным способом, или обеспечивает их обнаружение на ранних этапах — до начала перемещений злоумышленника внутри сети.
Модуль Deception адаптирует приманки под особенности инфраструктуры заказчика таким образом, чтобы у атакующего не возникло подозрений, что перед ним подложный объект. В частности, в приманках используется принятый в компании формат ведения учетных записей, а от имени подложных учетных записей эмулируется активность.
 | BI.ZONE EDR — продукт на российском рынке, в котором EDR и Deception представлены на единой технологической платформе. Заказчику не требуется установка двух разных решений, — это позволяет сэкономить время и ресурсы на приобретение, внедрение и обслуживание продукта. Любой хост с установленным агентом превращается в ловушку автоматически, не требуя развертывания отдельных серверов для этой задачи, а EDR получает дополнительную технологию детектирования угроз, отметил Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз.
|  |
Доменные ловушки включают в себя подложные учетные записи в Active Directory: помещенные в привилегированную группу, с отключенной предварительной аутентификацией Kerberos или с включенным обратимым шифрованием, а также подложные сервисные учетные записи в Active Directory с установленным атрибутом service principal name (SPN).
Локальные ловушки включают в себя сохраненные подложные учетные данные в браузере или в штатном менеджере учетных записей ОС, внедрение подложных учетных данных в оперативную память, создание конфигурационных файлов ОС и утилит с подложными учетными данными, а также создание ключей реестра Windows с подложными учетными данными. Другое важное обновление — поддержка EDR на macOS — расширяет функции мониторинга, обнаружения и реагирования на устройствах Apple. Агент позволяет собирать широкий спектр телеметрии с устройств под управлением macOS, а также проводить инвентаризацию исторических данных и конфигурации устройства и ОС по расписанию. Совмещение мониторинга текущей активности с инвентаризацией исторических данных и конфигурации устройства дает возможность выявлять не только активные атаки, но и прошлые компрометации, недостатки конфигурации и уязвимости, которые могут быть использованы злоумышленником для развития атаки. При этом BI.ZONE EDR обеспечивает эффективное реагирование на macOS. Возможности macOS-агента и модуля Deception доступны клиентам SOC/MDR сервиса BI.ZONE TDR.
Внедрение в Angara SOC
Angara Security внедрила в свой SOC решение класса EDR от компании BI.Zone, которая сообщила об этом 5 июня 2023 года.
BI.Zone Sensors поможет Angara Security усилить экспертный опыт в области защиты конечных точек от сложных угроз, увеличить возможности детектирования, ускорить процесс принятия решений при анализе подозрений на инцидент, а также в конечном итоге предоставлять заказчикам более качественную услугу по мониторингу и реагированию на киберинциденты. Подробнее здесь.
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (91) Positive Technologies (Позитив Текнолоджиз) (20) Инфосистемы Джет (16) SearchInform (СёрчИнформ) (11) Softline (Софтлайн) (11) Другие (132) Интеллектуальная безопасность ГК (бренд Security Vision) (6) R-Vision (Р-Вижн) (3) Softline (Софтлайн) (3) Ngenix (Современные сетевые технологии, ССТ) (2) Positive Technologies (Позитив Текнолоджиз) (2) Другие (10) Интеллектуальная безопасность ГК (бренд Security Vision) (13) Positive Technologies (Позитив Текнолоджиз) (6) CyberOK (СайберОК) (4) InnoSTage (Инностейдж) (4) SearchInform (СёрчИнформ) (2) Другие (11)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (11, 91) Positive Technologies (Позитив Текнолоджиз) (15, 36) Лаборатория Касперского (Kaspersky) (8, 13) ArcSight (5, 13) Micro Focus (5, 13) Другие (258, 101) Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6) Positive Technologies (Позитив Текнолоджиз) (2, 3) R-Vision (Р-Вижн) (1, 3) Инфосекьюрити (Infosecurity) (2, 2) IBM (2, 2) Другие (7, 8) Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13) InnoSTage (Инностейдж) (2, 4) Positive Technologies (Позитив Текнолоджиз) (2, 3) SearchInform (СёрчИнформ) (1, 2) Уральский центр систем безопасности (УЦСБ) (1, 2) Другие (5, 5) Лаборатория Касперского (Kaspersky) (3, 3) SearchInform (СёрчИнформ) (1, 3) Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2) Инфосекьюрити (Infosecurity) (1, 1) Киберполигон (1, 1) Другие (9, 9) SearchInform (СёрчИнформ) (1, 3) Лаборатория Касперского (Kaspersky) (3, 2) Positive Technologies (Позитив Текнолоджиз) (1, 1) Газинформсервис (ГИС) (1, 1) Перспективный мониторинг (1, 1) Другие (1, 1)Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37 MaxPatrol SIEM - 31 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11 СёрчИнформ SIEM - 11 Другие 144 R‑Vision SOAR (ранее R-Vision IRP) - 3 Ngenix Облачная платформа - 2 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2 MaxPatrol SIEM - 2 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2 Другие 13 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4 CyberART Сервисная служба киберзащиты - 4 Innostage SOAR (ранее Innostage IRP) - 4 DATAPK - 2 Другие 13 Подрядчики-лидеры по количеству проектов
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены
Распределение систем по количеству проектов, не включая партнерские решения
TrapX DeceptionGrid - 0 Illusive Active Defense - 0 BI.Zone EDR (Endpoint Detection and Response) ранее BI.Zone Sensors - 0 Гарда Deception - 0 AVSoft Loki - 0 Другие 0 
