| Разработчики: | BI.Zone (Безопасная Информационная Зона, Бизон) |
| Дата последнего релиза: | 2023/09/12 |
| Технологии: | Distributed Deception Platform (DDP), ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Основная статья: Security Information and Event Management (SIEM)
2023
Выпуск модуля Deception для BI.Zone EDR
12 сентября 2023 года BI.ZONE сообщила о выпуске модуль Deception для BI.ZONE EDR (Endpoint Detection and Response, ранее — BI.ZONE Sensors). Модуль Deception позволяет уже на этапе разведки обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования. Ключевые функции EDR теперь доступны не только на Linux и Windows, но и на macOS.
Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика, как на конечных точках, так и в домене Active Directory. Приманка привлекает внимание злоумышленника, так как представляет собой потенциально полезную для развития атаки информацию. Киберпреступник взаимодействует с ней на этапе разведки и развития атаки внутри скомпрометированной инфраструктуры и попадает в ловушку. Последней может быть любая рабочая станция и сервер корпоративной сети с установленным EDR-агентом BI.ZONE EDR.
BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в домене Active Directory. Это обеспечивает высокоточные оповещения об атаке. Данные об инциденте появляются в интерфейсе продукта, а также могут быть переданы для дальнейшего реагирования во внешние системы IRP/SOAR/SIEM.28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT 
Таким образом, Deception позволяет выявлять атаки, которые невозможно детектировать иным способом, или обеспечивает их обнаружение на ранних этапах — до начала перемещений злоумышленника внутри сети.
Модуль Deception адаптирует приманки под особенности инфраструктуры заказчика таким образом, чтобы у атакующего не возникло подозрений, что перед ним подложный объект. В частности, в приманках используется принятый в компании формат ведения учетных записей, а от имени подложных учетных записей эмулируется активность.
 | BI.ZONE EDR — продукт на российском рынке, в котором EDR и Deception представлены на единой технологической платформе. Заказчику не требуется установка двух разных решений, — это позволяет сэкономить время и ресурсы на приобретение, внедрение и обслуживание продукта. Любой хост с установленным агентом превращается в ловушку автоматически, не требуя развертывания отдельных серверов для этой задачи, а EDR получает дополнительную технологию детектирования угроз, отметил Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз.
|  |
Доменные ловушки включают в себя подложные учетные записи в Active Directory: помещенные в привилегированную группу, с отключенной предварительной аутентификацией Kerberos или с включенным обратимым шифрованием, а также подложные сервисные учетные записи в Active Directory с установленным атрибутом service principal name (SPN).
Локальные ловушки включают в себя сохраненные подложные учетные данные в браузере или в штатном менеджере учетных записей ОС, внедрение подложных учетных данных в оперативную память, создание конфигурационных файлов ОС и утилит с подложными учетными данными, а также создание ключей реестра Windows с подложными учетными данными. Другое важное обновление — поддержка EDR на macOS — расширяет функции мониторинга, обнаружения и реагирования на устройствах Apple. Агент позволяет собирать широкий спектр телеметрии с устройств под управлением macOS, а также проводить инвентаризацию исторических данных и конфигурации устройства и ОС по расписанию. Совмещение мониторинга текущей активности с инвентаризацией исторических данных и конфигурации устройства дает возможность выявлять не только активные атаки, но и прошлые компрометации, недостатки конфигурации и уязвимости, которые могут быть использованы злоумышленником для развития атаки. При этом BI.ZONE EDR обеспечивает эффективное реагирование на macOS. Возможности macOS-агента и модуля Deception доступны клиентам SOC/MDR сервиса BI.ZONE TDR.
Внедрение в Angara SOC
Angara Security внедрила в свой SOC решение класса EDR от компании BI.Zone, которая сообщила об этом 5 июня 2023 года.
BI.Zone Sensors поможет Angara Security усилить экспертный опыт в области защиты конечных точек от сложных угроз, увеличить возможности детектирования, ускорить процесс принятия решений при анализе подозрений на инцидент, а также в конечном итоге предоставлять заказчикам более качественную услугу по мониторингу и реагированию на киберинциденты. Подробнее здесь.
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (91) Positive Technologies (Позитив Текнолоджиз) (20) Инфосистемы Джет (16) SearchInform (СёрчИнформ) (12) Softline (Софтлайн) (12) Другие (133) Интеллектуальная безопасность ГК (бренд Security Vision) (6) R-Vision (Р-Вижн) (3) Softline (Софтлайн) (3) Positive Technologies (Позитив Текнолоджиз) (2) Инфосекьюрити (Infosecurity) (2) Другие (10) Интеллектуальная безопасность ГК (бренд Security Vision) (13) Positive Technologies (Позитив Текнолоджиз) (6) InnoSTage (Инностейдж) (4) CyberOK (СайберОК) (4) SearchInform (СёрчИнформ) (2) Другие (11)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (11, 91) Positive Technologies (Позитив Текнолоджиз) (15, 36) Лаборатория Касперского (Kaspersky) (8, 13) ArcSight (5, 13) Micro Focus (5, 13) Другие (259, 103) Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6) Positive Technologies (Позитив Текнолоджиз) (2, 3) R-Vision (Р-Вижн) (1, 3) Инфосекьюрити (Infosecurity) (2, 2) IBM (2, 2) Другие (7, 8) Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13) InnoSTage (Инностейдж) (2, 4) Positive Technologies (Позитив Текнолоджиз) (2, 3) SearchInform (СёрчИнформ) (1, 2) Уральский центр систем безопасности (УЦСБ) (1, 2) Другие (5, 5) Лаборатория Касперского (Kaspersky) (3, 3) SearchInform (СёрчИнформ) (1, 3) Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2) F.A.C.C.T. (ранее Group-IB в России) (1, 1) R-Vision (Р-Вижн) (1, 1) Другие (9, 9) SearchInform (СёрчИнформ) (1, 4) Лаборатория Касперского (Kaspersky) (3, 2) Перспективный мониторинг (1, 2) Positive Technologies (Позитив Текнолоджиз) (1, 1) Газинформсервис (ГИС) (1, 1) Другие (1, 1)Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37 MaxPatrol SIEM - 31 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28 СёрчИнформ SIEM - 12 HPE ArcSight ESM (Security Information and Event Management, SIEM) - 11 Другие 145 R‑Vision SOAR (ранее R-Vision IRP) - 3 MaxPatrol SIEM - 2 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2 Ngenix Облачная платформа - 2 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2 Другие 13 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9 CyberART Сервисная служба киберзащиты - 4 Innostage SOAR (ранее Innostage IRP) - 4 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4 PT Network Attack Discovery (PT NAD) - 2 Другие 13 СёрчИнформ SIEM - 3 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2 Spacebit X-Config Решение для управления уязвимостями конфигураций - 1 Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 R-Vision Threat Intelligence Platform (TIP) - 1 Другие 11 Подрядчики-лидеры по количеству проектов
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены
Распределение систем по количеству проектов, не включая партнерские решения
R-Vision Threat Deception Platform (R-Vison TDP) - 0 HoneyCorn (HoneyPot и Deception система) - 0 AVSoft Loki - 0 Xello Deception - 0 BI.Zone EDR (Endpoint Detection and Response) ранее BI.Zone Sensors - 0 Другие 0 
