Компания BI.ZONE представила новую услугу — BI.ZONE Threat Detection and Response, в которой сочетаются преимущества MSSP SOC (Managed Security Service Providers, Security Operations Center) и MDR (Managed Detection and Response). BI.ZONE TDR базируется на технологиях собственной разработки и данных Threat Intelligence (киберразведка, TI), приходящих от подразделения по исследованию угроз.
Таким образом, как отмечают сами разработчики, использование собственного стека технологий и данных TI позволяет быстро адаптировать услугу под постоянно меняющиеся запросы рынка и не зависеть от внешних поставщиков.
BI.ZONE TDR может взять на себя не только мониторинг и реагирование на инциденты информационной безопасности (стандартные для MSSP и MDR задачи), но и предупреждать возникновение инцидентов в будущем. Для этого применяется непрерывное выявление уязвимостей и недостатков конфигурации IT-инфраструктуры на базе анализа собираемых EDR инвентаризационных данных.
Именно поэтому все этапы жизненного цикла кибератак — до, во время и непосредственно после атаки — находятся под контролем BI.ZONE TDR. Сервис BI.ZONE TDR доступен заказчикам в четырех вариантах поставки, представленных в таблице ниже:
|
|
Vision |
Horizon |
Focus |
Panorama |
|
Покрытие инфраструктуры |
||||
|
Сбор событий от фиксированного набора источников |
+ |
- |
- |
- |
|
Сбор событий от любых источников |
- |
+ |
- |
+ |
|
Мониторинг облачных инфраструктур: AWS, GCP, Microsoft Azure, SaaS (Office 365 и других) |
- |
+ |
- |
+ |
|
Сбор расширенной телеметрии конечных точек и сети (через EDR/NTA) |
- |
- |
+ |
+ |
|
Threat Detection — выявление атак, активных в настоящий момент |
||||
|
Автоматизированное выявление инцидентов на базе правил корреляции и данных Threat Intelligence |
+ |
+ |
+ |
+ |
|
Круглосуточный мониторинг срабатываний правил корреляции экспертами BI.ZONE |
+ |
+ |
+ |
+ |
|
Обогащение карточек инцидентов сведениями об обнаруженных тактиках и техниках MITRE ATT&CK |
+ |
+ |
+ |
+ |
|
Фиксированный набор правил корреляции |
+ |
- |
- |
- |
|
Постоянно пополняемый набор правил корреляции |
- |
+ |
+ |
+ |
|
Разработка индивидуальных правил корреляции по требованиям заказчика |
- |
+ |
- |
+ |
|
Правила корреляции для выявления продвинутых атак |
- |
- |
+ |
+ |
|
Использование YARA-правил |
- |
- |
+ |
+ |
|
Ручной проактивный поиск неизвестных угроз (Threat Hunting) |
- |
- |
+ |
+ |
|
Threat Response — реагирование на инциденты |
||||
|
Автоматизированные уведомления и рекомендации по выявляемым инцидентам (Direct Alerts) |
+ |
+ |
+ |
+ |
|
Уведомления и рекомендации по выявляемым инцидентам, подготавливаемые экспертами BI.ZONE |
Только критические инциденты |
+ |
+ |
+ |
|
Активное реагирование на выявляемые инциденты |
- |
- |
+ |
+ |
|
Threat Prevention — автоматическое предотвращение известных угроз на базе правил EDR |
||||
|
Автоматическое предотвращение известных угроз на базе правил, поставляемых экспертами BI.ZONE |
- |
- |
+ |
+ |
|
Разработка индивидуальных правил автоматического предотвращения угроз по результатам реагирования |
- |
- |
+ |
+ |
|
Threat Archeology — выявление прошлых атак, неактивных в настоящий момент |
||||
|
Выявление прошлых атак, неактивных в настоящий̆ момент путем анализ исторических событий и криминалистических артефактов, собираемых EDR |
- |
- |
+ |
+ |
|
Threat Prediction — предупреждение будущих инцидентов |
||||
|
Непрерывное выявление уязвимостей и недостатков инфраструктуры |
- |
- |
+ |
+ |
|
Валидация выявляемых уязвимостей̆ и недостатков экспертами BI.ZONE |
- |
- |
- |
+ |
Различные модификации сервиса дают возможность организациям выбрать наиболее подходящий уровень мониторинга и реагирования в зависимости от объема инфраструктуры, зрелости кибербезопасности в компании и текущих задач. При росте IT-инфраструктуры всегда можно перейти на другой уровень без каких-либо дополнительных сложностей в виде миграции на другие решения и системы. BI.ZONE TDR может использоваться как сервис полноценной защиты IT-активов компании, так и масштабирования уровня зрелости кибербезопасности. При этом не важно, есть у вас собственный SOC или нет.
