BI.ZONE представила услугу, сочетающую в себе MSSP SOC и MDR

BI.ZONE представила услугу, сочетающую в себе MSSP SOC и MDR

Компания BI.ZONE представила новую услугу — BI.ZONE Threat Detection and Response, в которой сочетаются преимущества MSSP SOC (Managed Security Service Providers, Security Operations Center) и MDR (Managed Detection and Response). BI.ZONE TDR базируется на технологиях собственной разработки и данных Threat Intelligence (киберразведка, TI), приходящих от подразделения по исследованию угроз.

Таким образом, как отмечают сами разработчики, использование собственного стека технологий и данных TI позволяет быстро адаптировать услугу под постоянно меняющиеся запросы рынка и не зависеть от внешних поставщиков.

BI.ZONE TDR может взять на себя не только мониторинг и реагирование на инциденты информационной безопасности (стандартные для MSSP и MDR задачи), но и предупреждать возникновение инцидентов в будущем. Для этого применяется непрерывное выявление уязвимостей и недостатков конфигурации IT-инфраструктуры на базе анализа собираемых EDR инвентаризационных данных.

Именно поэтому все этапы жизненного цикла кибератак — до, во время и непосредственно после атаки — находятся под контролем BI.ZONE TDR. Сервис BI.ZONE TDR доступен заказчикам в четырех вариантах поставки, представленных в таблице ниже:

 

 

Vision

Horizon

Focus

Panorama

Покрытие инфраструктуры

Сбор событий от фиксированного набора источников

+

-

-

-

Сбор событий от любых источников 

-

+

-

+

Мониторинг облачных инфраструктур: AWS, GCP, Microsoft Azure, SaaS (Office 365 и других) 

-

+

-

+

Сбор расширенной телеметрии конечных точек и сети (через EDR/NTA) 

-

-

+

+

Threat Detection — выявление атак, активных в настоящий момент 

Автоматизированное выявление инцидентов на базе правил корреляции и данных Threat Intelligence

+

+

+

+

Круглосуточный мониторинг срабатываний правил корреляции экспертами BI.ZONE 

+

+

+

+

Обогащение карточек инцидентов сведениями об обнаруженных тактиках и техниках  MITRE ATT&CK

+

+

+

+

Фиксированный набор правил корреляции 

+

-

-

-

Постоянно пополняемый набор правил корреляции 

-

+

+

+

Разработка индивидуальных правил корреляции по требованиям заказчика 

-

+

-

+

Правила корреляции для выявления продвинутых атак 

-

-

+

+

Использование YARA-правил 

-

-

+

+

Ручной проактивный поиск неизвестных угроз (Threat Hunting) 

-

-

+

+

Threat Response — реагирование на инциденты

Автоматизированные уведомления и рекомендации по выявляемым инцидентам (Direct Alerts) 

+

+

+

+

Уведомления и рекомендации по выявляемым инцидентам, подготавливаемые экспертами BI.ZONE 

Только критические инциденты 

+

+

+

Активное реагирование на выявляемые инциденты
с помощью EDR экспертами BI.ZONE 

-

-

+

+

Threat Prevention — автоматическое предотвращение известных угроз на базе правил EDR

Автоматическое предотвращение известных угроз на базе правил, поставляемых экспертами BI.ZONE 

-

-

+

+

Разработка индивидуальных правил автоматического предотвращения угроз по результатам реагирования 

-

-

+

+

Threat Archeology — выявление прошлых атак, неактивных в настоящий момент

Выявление прошлых атак, неактивных в настоящий̆ момент путем анализ исторических событий и криминалистических артефактов, собираемых EDR

-

-

+

+

Threat Prediction — предупреждение будущих инцидентов

Непрерывное выявление уязвимостей и недостатков инфраструктуры 

-

-

+

+

Валидация выявляемых уязвимостей̆ и недостатков экспертами BI.ZONE 

-

-

-

+

 

Различные модификации сервиса дают возможность организациям выбрать наиболее подходящий уровень мониторинга и реагирования в зависимости от объема инфраструктуры, зрелости кибербезопасности в компании и текущих задач. При росте IT-инфраструктуры всегда можно перейти на другой уровень без каких-либо дополнительных сложностей в виде миграции на другие решения и системы. BI.ZONE TDR может использоваться как сервис полноценной защиты IT-активов компании, так и масштабирования уровня зрелости кибербезопасности. При этом не важно, есть у вас собственный SOC или нет.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

 

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru