В Bi.Zone TDR теперь доступны автоматическое выявление небезопасных настроек и анализ сетевого трафика с помощью Suricata
Bi.Zone представила данные о развитии сервиса мониторинга и реагирования на киберугрозы Bi.Zone TDR: клиентам стали доступны обновление инструмента Threat Prediction, анализ сетевого трафика на базе Suricata, а также бот для оперативного управления работой сервиса. Об этом CNews сообщили представители Bi.Zone.
Проактивный подход к защите за счет Threat Prediction
В Bi.Zone TDR обновилась функция Threat Prediction, которая подразумевает автоматизированное выявление небезопасных настроек. По данным Bi.Zone TDR, 2 из 3 корпоративных компьютеров содержат хотя бы одну мисконфигурацию, а 20% всех хостов содержат хотя бы одну мисконфигурацию уровня high, которая позволяет злоумышленникам за один шаг реализовать свою цель в инфраструктуре.
Threat Prediction в Bi.Zone TDR позволяет обнаружить мисконфигурации в операционных системах Windows, Linux и macOS. Последнее обновление функции расширило набор правил обнаружения небезопасных настроек — добавилась поддержка прикладных систем Active Directory, Kubernetes, Samba, FreeIPA, ClickHouse. Среди распространенных мисконфигураций в Active Directory — небезопасные настройки делегирования прав, избыточные разрешения на уровне групп, слабые пароли. Threat Prediction для Kubernetes в том числе позволяет обнаружить такие небезопасные настройки, как анонимный доступ к API K8s, возможность запуска привилегированных контейнеров, отсутствие TLS для коммуникации между кластерами и др. Злоумышленники используют эти мисконфигурации для продвижения и повышения привилегий в атакуемой ИT-инфраструктуре.
Анализ сетевого трафика на базе Suricata
В сервис Bi.Zone TDR был добавлен анализатор сетевого трафика (network traffic analysis, NTA) на базе системы обнаружения и предотвращения вторжений Suricata. Анализатор сетевого трафика предоставляет дополнительный уровень обнаружения угроз, среди которых, например, DNS-туннелирование и атака DCSync, имитирующая поведение контроллера домена.
Андрей Шаляпин, руководитель Bi.Zone TDR: «Решения класса EDR — важнейший инструмент SOC. Но, как и любое агентское решение, агент EDR ограничен ресурсами хоста и сконцентрирован на мониторинге активности на конечной точке, меньшее внимание уделяя сетевому трафику, особенно в части анализа протоколов прикладного уровня. Кроме того, обеспечить 100% покрытия инфраструктуры агентами, как правило, невозможно. По этой причине мы дополнили наши детектирующие решения системой класса NTA для анализа сетевого трафика, которая позволяет эффективно обнаруживать такие угрозы, как скрытые каналы коммуникации вредоносного ПО, техники горизонтального перемещения в инфраструктуре, а также сигнатуры трафика, характерные для утилит злоумышленников».
Рассылка о трендовых уязвимостях
Все пользователи сервиса Bi.Zone TDR получают рассылку о трендовых уязвимостях каждые две недели. В нее входят те, которые широко освещаются в СМИ и отчетах вендоров, распространены на устройствах различных организаций, имеют высокую критичность и могут либо уже эксплуатируются в атаках.
Новые функции Bi.Zone TDR Bot

Для всех клиентов сервиса Bi.Zone TDR доступен Telegram-бот, который позволяет управлять функциями сервиса с телефона и оперативно получать информацию о происходящем на всех этапах. С помощью веб-приложения возможно зарегистрировать инцидент, получить информацию о сервисе и услуге и узнать контакты сервис-менеджера, аналитиков и дежурной линии Bi.Zone TDR.
Кроме того, с помощью Bi.Zone TDR Bot можно получить ряд отчетов, которые будут доступны напрямую без участия других приложений. Среди доступных отчетов — сводная статистика по инцидентам, ключевые метрики эффективности, список EDR-агентов, работающие правила корреляции и отчеты Threat Prediction.
К функциям Telegram-бота также было добавлено автоматическое исправление обнаруженных мисконфигураций, которые не создадут проблем работоспособности хостов. К таким относятся, например, отключение межсетевого экрана на macOS-хосте, небезопасные права доступа у файла авторизации SSH и других. Автоматическое исправление занимает не более 10 минут.