Журнал "Information Security/ Информационная безопасность" #5, 2024

Технологическая платформа SOC, которая используется в сервисе BI.ZONE TDR, состоит из коммерческих продуктов собственной разработки. Если потреб- ности заказчика в какой-то момент изме- нятся, то все решения могут быть пере- несены в его инфраструктуру. – Какие технологические воз- можности сервиса BI.ZONE TDR можно выделить? – Наш сервис показывает наибольшую эффективность при использовании современных средств мониторинга. Это агенты BI.ZONE EDR на конечных точках, а также подключенные к SIEM наиболее приоритетные источники событий кибер- безопасности. С точки зрения EDR наше преимуще- ство в том, что сервис выполняет перио- дический анализ в режиме инвентариза- ции всей подключенной инфраструктуры, чтобы выявлять возможные мисконфи- гурации. Клиенты получают еженедель- ный отчет и рекомендации, как повысить уровень защищенности. Об этом мы под- робно рассказываем в статье "Threat Prediction: превентивная работа с угро- зами в BI.ZONE TDR" 2 . В рамках сервиса мы также предоставляем заказчикам доступ к консоли EDR для самостоятель- ного решения собственных задач. Отдельно хотелось бы остановиться на модуле Deception 3 и возможностях, которые он дает для обнаружения злоумышленников на ранних этапах атаки. Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика как на конеч- ных точках, так и в домене Active Directory. Приманка привлекает внимание зло- умышленника, поскольку представляет собой потенциально полезную для развития атаки информацию. BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутен- тификации в Active Directory. Таким обра- зом, преступник попадает в ловушку, и мы обнаруживаем его на раннем этапе – до начала перемещений внутри сети. – Можно ли осуществлять мони- торинг без доступа EDR-агентов в Интернет? – Да, такая возможность есть. Для этого разработана схема подключения с возможными модификациями в зави- симости от конкретного клиента и его особенностей. В рамках сервиса всегда используется продукт BI.ZONE Secure SD-WAN, который недавно получил сер- тификат ФСБ России. Но возможны и альтернативные способы подключения для государственных заказчиков или заказчиков с особым регулированием (PSI DSS, ГИС К1 и др.). У нас есть сертифицированная зона ГИС К1 и PCI DSS, а также возможность подключать заказчиков с использова- нием сертифицированных ФСТЭК Рос- сии средств защиты и с шифрованием каналов связи по ГОСТ 28147-89. Источником соединения в таких слу- чаях всегда является сам закрытый сег- мент, мы не можем инициировать под- ключение со своей стороны. Это делает процесс безопасным, поскольку заказ- чику не нужно прописывать входящие соединения – только исходящие соеди- нения с SOC с минимизированными про- токолами, и все они при этом шифруются. Взаимодействие с EDR-сервером про- исходит по защищенному каналу. – Каким образом BI.ZONE TDR помогает ускорить реакцию со стороны заказчиков? – Во-первых, именно на ускорение принятия решений по инцидентам в конечном счете нацелена работа ML-аналитиков. Инциденты обога- щаются максимальным объемом информации, чтобы у заказчика была полная и репрезентативная картина происходящего. Во-вторых, в BI.ZONE TDR есть сервис автоматического уведомления о наибо- лее достоверных юзкейсах. Это означа- ет, что инциденты с типовыми рекомен- дациями регистрируются автоматически. По желанию заказчик может настроить сервис так, чтобы не только получать уведомления об инцидентах, но и сразу осуществлять автоматическое реагиро- вание средствами EDR. Мы разработали специальный TDR- бот в Телеграм. Его цель – дать заказчи- ку доступ к возможностям TDR со смарт- фона (получать уведомления, задавать вопросы, создавать задачи и т.д.). В Теле- грам создается чат с заказчиком, туда добавляют сотрудников, которые отве- чают за реагирование. Они должны спе- циальным образом авторизоваться на портале, чтобы получать в чате уведом- ления об инцидентах. Для каждого уве- домления в боте есть кнопки: "Взять в работу", "Написать комментарий", "Посмотреть карточку инцидента". Телеграм-бот будет особенно полезен при внедрении функциональности SOAR, которую мы сейчас активно развиваем и планируем предоставлять в рамках наших сервисов. – Набирают популярность системы XDR для расширенного обнаружения и реагирования на сложные угрозы и целевые атаки. Что сейчас представляет собой XDR от BI.ZONE и как он будет выглядеть в будущем? – XDR – история про то, что с помощью других сервисов кибербезопасности мы можем выявить инцидент, получив богатый контекст для принятия решения. То есть мы получаем максимально полную инфор- мацию об инциденте, что дает нам воз- можность активного реагирования в раз- личных сервисах и продуктах BI.ZONE. Допустим, у нас есть подозрение на инцидент, например попытка эксплуата- ции уязвимости на хосте, который нахо- дится на периметре. Из BI.ZONE CPT (решения для контроля внешней инфра- структуры и управления поверхностью атаки) мы получаем информацию обо всех имеющихся уязвимостях. С помо- щью BI.ZONE WAF и BI.ZONE Secure SD-WAN определяем, откуда идет атака. Так, погружаясь в контекст при помощи разных инструментов, мы получаем целую цепочку событий и настраиваем политики защиты в BI.ZONE WAF и BI.ZONE Secure SD-WAN. Наше представление об XDR строится на двух принципах. Во-первых, в XDR мы видим прообраз унифицированной плат- формы кибербезопасности, реализующей принцип Cyber Security Mesh Architecture. Во-вторых, на базе XDR мы планируем воплощать в жизнь метацель – создание автономной платформы кибербезопасно- сти, способной защитить организацию без участия человека, но под его контролем. Система XDR должна обеспечивать ряд ключевых возможностей: l унифицированное обнаружение и реагирование в гетерогенных средах (on-prem, cloud и mobile); l покрытие доменов Endpoint, Network, Identity, Cloud, Containers, а также авто- матизированное и автоматическое реа- гирование во всех доменах; l автоматическое восстановление хроно- логии атак и выявление корневых причин. Важным преимуществом системы XDR может стать ее открытость: возможность интегрировать в один клик решения BI.ZONE и сторонних вендоров, а также инфраструктурные сервисы. И конечно, XDR-платформа и полноценные SIEM и SOAR должны быть объединены в одном продукте. Необходимость противостоять слож- ным целевым атакам приводит к тому, что все больше компаний внедряют у себя мониторинг событий кибербезо- пасности. Мы предлагаем комплексные решения для защиты ИТ-инфраструкту- ры компании, которые позволяют не только обеспечить регулярный мони- торинг и реагирование на инциденты, но и адаптировать продукты под потреб- ности бизнеса. l • 13 SOC + EDR www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ BI.ZONE см. стр. 70 NM Реклама 2 https://bi.zone/expertise/blog/threat-prediction-preventivnaya-rab- ota-s-ugrozami-v-bi-zone-tdr/ 3 https://bi.zone/news/bi-zone-rasshirila-funktsionalnost-bi-zone-edr/