Angara Security внедрила в свой SOC решение класса EDR от BI.ZONE

BI.ZONE Sensors поможет Angara Security усилить экспертный опыт в области защиты конечных точек от сложных угроз, увеличить возможности детектирования, ускорить процесс принятия решений при анализе подозрений на инцидент, а также в конечном итоге предоставлять заказчикам более качественную услугу по мониторингу и реагированию на киберинциденты

5 июня 2023 г.

Коммерческий SOC Angara Security существует с 2017 года, развивая в том числе собственные решения, например SIEM. В 2020 году компания разработала дорожную карту функционального развития SOC до 2023 года. Одной из целей был переход от эксплуатации инструментов контроля конечных точек собственной разработки к внедрению полноценного коммерческого EDR. Внедрение EDR‑решения позволяет расширить имеющиеся возможности детектирования угроз и в полной мере реализовать процессы активного реагирования в рамках услуг SOC.

Раньше мы анализировали инцидент, находясь в некоем логическом ограничении, и могли основываться только на тех событиях, которые регистрируются штатными системами аудита или другими компонентами собственной разработки. Сегодня решение класса EDR от BI.ZONE позволяет нам не только выйти за рамки этого логического ограничения, но и управлять всеми событиями, обогащениями, телеметрией и т. д., которые мы используем в работе.

Тимур Зиннятуллин

Директор Angara SOC

BI.ZONE Sensors изначально разрабатывалось в качестве внутреннего EDR‑решения для использования в рамках сервиса BI.ZONE TDR (threat detection and response), представляющего собой синергию классического SOC и MDR. Таким образом, возможности BI.ZONE Sensors позволяют удовлетворить запросы крупных инхаус‑SOC, MSSP‑провайдеров и других команд с высоким уровнем экспертного опыта, предъявляющих больше требований к функциональной гибкости, составу собираемой телеметрии, возможностям по обнаружению угроз и реагированию на них.

В конце 2022 года в BI.ZONE приняли решение выводить продукт на массовый рынок. Angara Security стала первым MSSP‑партнером BI.ZONE, взявшим на вооружение BI.ZONE Sensors. Провайдер выбрал BI.ZONE Sensors, потому что система соответствует целому ряду требований. Среди них гибкие интеграционные возможности (развитие продукта по принципу API‑First), поддержка всех типов ОС (Windows, Linux, macOS), наличие встроенной в агент самозащиты, возможности активного реагирования (в том числе обязательный Live Shell), возможность сбора и обработки всей регистрируемой агентами телеметрии и другие. К тому же Angara Security стремится использовать только отечественное ПО.

BI.ZONE Sensors расширяет эффективность существующих опций Angara SOC, например ускоряет процесс принятия решений при анализе LDAP‑запросов. Также решение BI.ZONE дает Angara Security новые возможности, например по выявлению PPID‑spoofing и command line spoofing.

Наша компания, как и Angara Security, оказывает услуги SOC/MDR множеству заказчиков. Мы изначально создавали BI.ZONE Sensors под соответствующие условия эксплуатации, поэтому при разработке учли все особенности и требования сервис‑провайдеров. Мы рады, что наш партнер имеет схожие взгляды на то, как должно выглядеть идеальное EDR‑решение для зрелого SOC. Angara Security — это компетентный и продвинутый партнер, который поможет нам улучшить и развить BI.ZONE Sensors, формируя правильные требования. В дальнейшем мы планируем расширять сотрудничество, как увеличивая инсталляционную базу, так и добавляя в его область новые модули. Например, модуль Deception, который позволяет автоматизировать создание и управление доменными, а также хостовыми ловушками для выявления атакующих.

Теймур Хеирхабаров

Директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE