В BI.ZONE EDR появилась 2FA и улучшился мониторинг угроз

В BI.ZONE EDR появилась 2FA и улучшился мониторинг угроз

В BI.ZONE EDR появилась 2FA и улучшился мониторинг угроз

Разработчики BI.ZONE EDR добавили системе новую функциональность: поддержка мониторинга чтения значений из реестра и гибкая настройка агрегации и троттлинга в агенте для Windows.

В агенте для Linux был расширен перечень собираемых файловых событий в контейнерных средах на базе провайдера eBPF.

Кроме того, BI.ZONE EDR стало проще интегрировать с SIEM-системами благодаря новой возможности отправки данных параллельно в несколько назначений.

Чтобы обеспечить дополнительный уровень безопасности на сервере управления, в коробочной версии BI.ZONE EDR добавилась функция двухфакторной аутентификации.

Если включить эту функцию, при доступе в интерфейс сервера будет запрашиваться не только пароль учетной записи, но и одноразовый код, сгенерированный по алгоритму TOTP (time-based one-time password) и действительный только в течение короткого промежутка времени.

Таким образом, даже если злоумышленник получит пароль пользователя, учетная запись будет защищена от несанкционированного доступа.

Другое ключевое изменение, затронувшее сервер управления EDR, — добавившаяся возможность отправки телеметрии и обнаружения параллельно в несколько назначений с использованием syslog или Kafka. Это позволяет реализовывать различные сценарии интеграции с системами управления событиями кибербезопасности (SIEM).

В агенте BI.ZONE EDR для Windows появилась возможность отслеживания попыток чтения критичных значений из реестра.

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:

«Новая функция позволяет отслеживать попытки несанкционированного доступа к хранящимся в реестре WIndows высококритичным настройкам программ и содержащейся в них чувствительной информации, например паролям от учетных записей. Это позволит повысить эффективность обнаружения различных утилит дампа учетных данных пользователей».

Другие изменения телеметрии в агенте для Windows касаются добавления новых инвентаризационных источников данных, а для ряда существующих источников — новых параметров, которые повышают точность обнаружения атак. В частности, была добавлена возможность инвентаризации доменных учетных записей с возможностью обнаружения слабых паролей у пользователей. Это позволяет повысить защищенность доменной инфраструктуры к брутфорс-атакам, т. е. атакам, реализуемым с помощью перебора паролей.

Помимо расширения телеметрии, в агенте также развиваются и возможности, позволяющие более эффективно управлять потоком собираемой телеметрии. В новой версии агента BI.ZONE EDR для Windows появилась возможность гибко настраивать агрегацию и троттлинг событий. Это позволяет снизить нагрузку на конечную точку, сеть и хранилище EDR-телеметрии при помощи фильтрации повторяющихся событий. Кроме того, появилась возможность создавать агрегационные события на основании данных, которые были накоплены из повторяющихся событий.  

В агенте BI.ZONE EDR для Linux была добавлена возможность сбора событий удаления файла, переименования файла и событий изменения прав доступа к файлу в контейнерах на базе провайдера eBPF. Это повышает возможность выявления угроз в контейнерных средах.

Кроме того, по результатам проведенного UX-исследования был доработан пользовательский интерфейс решения.

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru