Для решения BI.ZONE EDR (Endpoint Detection and Response, ранее — BI.ZONE Sensors) появился модуль Deception, позволяющий на этапе разведки обнаружить продвинутого атакующего, способного обойти механизмы детектирования. Также теперь ключевые функции BI.ZONE EDR доступны не только на Linux и Windows, но и на macOS, рассказали Хабру в пресс‑службе BI.ZONE.
Модуль Deception позволяет создавать подложные объекты‑приманки, неотличимые от реальных объектов инфраструктуры заказчика, как на конечных точках, так и в домене Active Directory. Приманка привлекает внимание злоумышленника. Киберпреступник взаимодействует с ней на этапе разведки и развития атаки внутри скомпрометированной инфраструктуры и попадает в ловушку. Ловушкой может быть любая рабочая станция и сервер корпоративной сети.
Решение фиксирует попытки обращения к приманке и использования учётных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в домене Active Directory. Данные об инциденте появляются в интерфейсе решения и могут быть переданы для дальнейшего реагирования во внешние системы IRP/SOAR/SIEM.
Модуль Deception адаптирует приманки под особенности инфраструктуры заказчика, чтобы у атакующего не возникло подозрений, что перед ним подложный объект. Например, в приманках используется принятый в компании формат ведения учётных записей, а от имени подложных учётных записей эмулируется активность.
Доменные ловушки включают в себя подложные учётные записи в Active Directory: помещённые в привилегированную группу, с отключённой предварительной аутентификацией Kerberos или с включённым обратимым шифрованием, а также подложные сервисные учётные записи в Active Directory с установленным атрибутом service principal name (SPN).
Локальные ловушки включают в себя сохранённые подложные учётные данные в браузере или в штатном менеджере учётных записей ОС, внедрение подложных учётных данных в оперативную память, создание конфигурационных файлов ОС и утилит с подложными учётными данными, а также создание ключей реестра Windows с подложными учётными данными.
Поддержка EDR на macOS расширяет функции мониторинга, обнаружения и реагирования на устройствах Apple. Агент позволяет собирать спектр телеметрии с устройств под управлением macOS и проводить инвентаризацию исторических данных, конфигурации устройства и ОС по расписанию. Это даёт возможность найти прошлые компрометации, недостатки конфигурации и уязвимости, потенциально использованные злоумышленником для развития атаки. При этом BI.ZONE EDR обеспечивает эффективное реагирование на macOS.
Пока возможности агента для macOS и модуля Deception доступны клиентам SOC/MDR сервиса BI.ZONE TDR. По словам разработчиков, в ближайшее время они станут доступны и тем, кто использует коробочную версию продукта без сервиса SOC/MDR.
