В BI.ZONE EDR появилась 2FA и улучшился мониторинг угроз

В BI.ZONE EDR появилась 2FA и улучшился мониторинг угроз

В BI.ZONE EDR появилась 2FA и улучшился мониторинг угроз

Разработчики BI.ZONE EDR добавили системе новую функциональность: поддержка мониторинга чтения значений из реестра и гибкая настройка агрегации и троттлинга в агенте для Windows.

В агенте для Linux был расширен перечень собираемых файловых событий в контейнерных средах на базе провайдера eBPF.

Кроме того, BI.ZONE EDR стало проще интегрировать с SIEM-системами благодаря новой возможности отправки данных параллельно в несколько назначений.

Чтобы обеспечить дополнительный уровень безопасности на сервере управления, в коробочной версии BI.ZONE EDR добавилась функция двухфакторной аутентификации.

Если включить эту функцию, при доступе в интерфейс сервера будет запрашиваться не только пароль учетной записи, но и одноразовый код, сгенерированный по алгоритму TOTP (time-based one-time password) и действительный только в течение короткого промежутка времени.

Таким образом, даже если злоумышленник получит пароль пользователя, учетная запись будет защищена от несанкционированного доступа.

Другое ключевое изменение, затронувшее сервер управления EDR, — добавившаяся возможность отправки телеметрии и обнаружения параллельно в несколько назначений с использованием syslog или Kafka. Это позволяет реализовывать различные сценарии интеграции с системами управления событиями кибербезопасности (SIEM).

В агенте BI.ZONE EDR для Windows появилась возможность отслеживания попыток чтения критичных значений из реестра.

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:

«Новая функция позволяет отслеживать попытки несанкционированного доступа к хранящимся в реестре WIndows высококритичным настройкам программ и содержащейся в них чувствительной информации, например паролям от учетных записей. Это позволит повысить эффективность обнаружения различных утилит дампа учетных данных пользователей».

Другие изменения телеметрии в агенте для Windows касаются добавления новых инвентаризационных источников данных, а для ряда существующих источников — новых параметров, которые повышают точность обнаружения атак. В частности, была добавлена возможность инвентаризации доменных учетных записей с возможностью обнаружения слабых паролей у пользователей. Это позволяет повысить защищенность доменной инфраструктуры к брутфорс-атакам, т. е. атакам, реализуемым с помощью перебора паролей.

Помимо расширения телеметрии, в агенте также развиваются и возможности, позволяющие более эффективно управлять потоком собираемой телеметрии. В новой версии агента BI.ZONE EDR для Windows появилась возможность гибко настраивать агрегацию и троттлинг событий. Это позволяет снизить нагрузку на конечную точку, сеть и хранилище EDR-телеметрии при помощи фильтрации повторяющихся событий. Кроме того, появилась возможность создавать агрегационные события на основании данных, которые были накоплены из повторяющихся событий.  

В агенте BI.ZONE EDR для Linux была добавлена возможность сбора событий удаления файла, переименования файла и событий изменения прав доступа к файлу в контейнерах на базе провайдера eBPF. Это повышает возможность выявления угроз в контейнерных средах.

Кроме того, по результатам проведенного UX-исследования был доработан пользовательский интерфейс решения.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru