В BI.ZONE EDR добавили модуль "Рекомендации по безопасности"

В BI.ZONE EDR добавили модуль "Рекомендации по безопасности"

В BI.ZONE EDR добавили модуль "Рекомендации по безопасности"

В обновленную версию BI.ZONE EDR добавился модуль «Рекомендации по безопасности». Он доступен во всех операционных системах и позволяет оценить конфигурацию ОС и ПО на конечных точках, а также выявить их уязвимые места и учетные записи со слабыми паролями.

Среди ключевых изменений также проработано расширение возможностей по сбору данных и автономному реагированию в агенте BI.ZONE EDR для Windows, а автономное детектирование индикаторов атаки стало доступно на macOS.  

В агенте BI.ZONE EDR для macOS были расширены возможности автономного детектирования индикаторов атаки (indicators of attack, IoA). В отличие от индикаторов компрометации (indicators of compromise, IoC), которые указывают, что система уже скомпрометирована, IoA фокусируются на обнаружении признаков активной атаки до того, как она нанесет ущерб. Корреляционные правила поиска IoA в BI.ZONE EDR для macOS включают в себя анализ попыток эксплуатации уязвимостей, выявление необычных сетевых запросов, фиксирование подозрительных изменений в системе и т. д.

Следующим важным изменением стало добавление модуля «Рекомендации по безопасности». Модуль доступен в версиях BI.ZONE EDR для всех операционных систем и позволяет оценить конфигурацию безопасности на конечных точках и выявить их слабые места, которые пользователь сможет в дальнейшем устранить для уменьшения поверхности атаки.

Оценка конфигурации безопасности предполагает проверку того, насколько системы соответствуют заранее определенным правилам настроек конфигурации. Кроме того, модуль «Рекомендации по безопасности» также выявляет учетные записи со слабыми паролями.

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:

По нашим данным, доля конечных точек в любой IT-инфраструктуре составляет до 85%, и именно они чаще всего становятся целями атакующих. Выявление слабых мест на конечных точках и их дальнейшее устранение помогает уменьшить поверхность атаки и тем самым снижает риск возникновения инцидентов кибербезопасности.

В обновленном агенте BI.ZONE EDR для Windows появилась возможность получать в виде событий телеметрии вывод запуска произвольной команды. Пользователь продукта может настроить расписание запуска требуемой команды или команд и параметры парсинга вывода их работы. В результате EDR будет отправлять вывод команд в виде событий телеметрии, которые могут быть использованы в IoA-правилах. Это дает возможность реализовывать сценарии обнаружения угроз в условиях, когда для логики правила недостает событий телеметрии EDR, но при этом в составе операционной системы есть требуемые инструменты, благодаря которым задачу можно решить. Аналогичные возможности ранее уже были реализованы в агентах для Linux и macOS.

Помимо сбора телеметрии, в агенте для Windows были расширены возможности автономного реагирования. Теперь в рамках автономного реагирования при срабатывании IoA-правила можно запустить любую команду или процесс (например, собственный скрипт), что позволяет реализовывать большое количество сценариев автоматического реагирования.

Кроме того, в обновленной версии BI.ZONE EDR для macOS добавился ряд новых событий телеметрии — модификация расширенных атрибутов файловой системы и изменения владельца или группы файлового объекта. А в Windows появилась возможность читать данные из произвольных журналов Windows Events Log. Также продолжается работа над пользовательским интерфейсом сервера управления, в результате чего временные затраты на рутинные операции по диагностике проблем удалось сократить на 30%.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники стали в 16 раз чаще звонить с поддельных номеров из-за рубежа

За последнюю неделю количество фейковых звонков с иностранных номеров в Россию выросло в 16 раз. Об этом рассказали в Сбере. Всплеск удалось заметить в том числе благодаря пользователям, которые отправляли жалобы через раздел «Сообщи о мошеннике» в приложении СберБанк Онлайн.

Такие звонки — не новость: злоумышленники давно используют облачные АТС, где можно быстро взять в аренду номер с кодом другой страны.

Чаще всего — европейских. Иногда — стран с «похожими» номерами (например, +84 95), чтобы выглядело более правдоподобно. Всё это делается через IP-телефонию, что позволяет обходиться без операторов сотовой связи и затрудняет блокировку.

Зампред правления Сбера Станислав Кузнецов отметил, что несмотря на резкий рост таких звонков, в общем объёме мошеннических вызовов их пока немного. Антифрод-система банка их фиксирует и ставит подозрительные операции на усиленный контроль — благодаря этому удаётся избегать хищений.

Но в банке всё равно призывают не терять бдительность:

«Если вам звонят с незнакомого номера из-за границы — просто не отвечайте. Если у вас нет родных или деловых контактов за рубежом, то такие звонки почти наверняка мошеннические».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru