Представлена коробочная версия решения для защиты конечных точек BI.ZONE EDR
Мы представили коробочную версию BI.ZONE EDR — решения для выявления на конечных точках сложных атак и реагирования на них. Оно помогает обнаруживать сложные угрозы на рабочих станциях и серверах, работающих на Windows, macOS и Linux (включая российские дистрибутивы), а также в контейнерных средах. Кроме того, решение позволяет оперативно реагировать на инциденты автоматически и вручную.
Функциональность BI.ZONE EDR также расширилась. Ключевые изменения коснулись агента BI.ZONE EDR для Linux, в котором улучшились возможности детектирования событий внутри контейнеров. Это касается в первую очередь создания и изменения файлов, а также запуска процессов.
В новой версии решения активно используется технология eBPF (extended Berkeley Packet Filter), которая позволяет глубже интегрироваться с контейнерными окружениями, такими как Docker или Kubernetes. Это улучшает видимость активности внутри контейнеров. Таким образом, BI.ZONE EDR позволяет аналитику сразу увидеть не только хост, но и конкретный контейнер, в котором произошло подозрительное событие, тем самым существенно сокращая время на реагирование. Кроме того, чтобы лучше обеспечивать стабильную работу критически важных приложений в высоконагруженных и чувствительных инфраструктурах, появилась возможность ограничивать ресурсы, потребляемые BI.ZONE EDR для Linux.
Еще в агенте BI.ZONE EDR для Linux улучшили автономное детектирование индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб: попытках эксплуатации уязвимостей, необычных сетевых запросах, подозрительных изменениях в системе и т. д.
Возможности мониторинга событий в версии BI.ZONE EDR для Windows также расширились благодаря поддержке мониторинга действий с именованными каналами и событий от процессов подсистемы WSL (Windows Subsystem for Linux).
Технология именованных каналов нужна, чтобы процессы обменивались данными через специально именованный ресурс в файловой системе. Злоумышленники нередко используют ее для внедрения вредоносного ПО, контроля зараженной системы и обхода механизмов защиты. Мониторинг именованных каналов позволяет выявлять подозрительные или несанкционированные взаимодействия между процессами — это может указывать на вредоносную активность.
В свою очередь, поддержка WSL позволяет выявлять угрозы, которые используют комбинацию Windows- и Linux-инструментов для выполнения задач атакующих. Злоумышленники прибегают к такой тактике, чтобы эффективнее обходить средства защиты.
Кроме того, в версии BI.ZONE EDR для Windows появились дополнительные функции автоматического реагирования, включая приостановку процесса или потока, а также завершение активной сессии пользователя. Эти улучшения позволяют оперативнее реагировать на угрозы и минимизировать потенциальный ущерб.
В агенте для macOS реализовали функции мониторинга и инвентаризации специфичных для этой операционной системы точек автозапуска, таких как Launch Agents, Launch Daemons и Login Items. Вредоносные программы часто используют эти пространства для закрепления в системе, и мониторинг этих точек позволяет своевременно обнаруживать такие попытки. Также добавилась возможность проверки файлов и процессов по YARA, что предоставляет дополнительные возможности для выявления вредоносного ПО на основе сигнатур.
Ранее функциональность BI.ZONE EDR расширилась за счет добавления модуля Deception, который позволяет создавать подложные объекты‑приманки, неотличимые от реальных объектов инфраструктуры компании. Благодаря этому уже на этапе разведки можно обнаружить даже продвинутого атакующего, способного обойти механизмы детектирования.