- Уверенно докладывать о безопасности в любой момент.
- Обнаруживать атаки, которые остались незамеченными.
- Быстрее реагировать на возможные инциденты.
- Добавлять экспертизу без увеличения численности персонала.
- Понимать, как произошла атака, как ее остановить и впредь не допустить снова.
Что общего в этих тезисах? Одно – EDR (Endpoint Detection and Response), если говорить по-русски, то это детектирование инцидентов безопасности и реагирование на них.
У меня очень плохая литературная речь, поэтому я просто покажу как это работает у нашего продукта Bitdefender GravityZone Ultra.
В отличие от других решений для обеспечения безопасности конечных точек, чья защита делает их шумными и сложными в работе, Bitdefender разработал более 30 уровней защиты для всех ваших конечных точек, предлагая самую эффективную в мире защиту, интегрированную с низким уровнем издержек EDR и анализом конечных рисков (ERA) в один агент с единой консольной архитектурой.
Включая в портфель конечных точек расширенную защиту, аналитику рисков и усиленные инновации, мы помогаем минимизировать поверхность атаки на конечные точки, затрудняя проникновение злоумышленников. С GravityZone Ultra вы можете сократить количество поставщиков, сократив при этом время, необходимое для реагирования на угрозы с помощью интегрированного стека безопасности.
А теперь все по порядку, давайте рассмотрим реальную угрозу:
Для демонстрации я скачал 2 вируса шифровальщика, «Cerber» и «Mamba» для того, чтобы подробно разобрать инциденты я переключаю систему защиты в режим только отчетности.
Модуль защиты от вредоносного ПО (Сканирование при доступе) – не предпринимать никаких действий:
Расширенный контроль угроз (Advanced Threat Control) - не предпринимать никаких действий:
Модуль Hyper Detect – только отчет:
Advanced Anti-Exploit - только отчет:
Облачная песочница (Sandbox Analyzer) – только отчет:
Защита от сетевых атак – только отчет:
И сохраняем.
Далее я скачиваю на тестовые виртуальные машины вирусы:
Наблюдаю следующий результат.
Распаковываю:
Запускаю:
Видим уведомления на клиенте, что работают модули сигнатурный и активный контроль угроз. Спустя 3 минуты получаем автоматический отчет из Песочницы:
Посмотрим, что нам говорит модуль EDR.
Основное окно с EDR выглядит так (тестовая среда), здесь мы можем видеть список инцидентов, которые необходимо исследовать:
Посмотрим последний инцидент атаки. Мы видим 2 фазы атаки, запуск «Мамбы» и далее «Цербера», по каждому процессу мы можем подробно изучить действия:
Каждый запущенный процесс мы можем рассмотреть подробно:
Сигнатурный движок отметил вредоносный файл. А также, Активный контроль угроз обнаружил вредоносную активность.
Здесь в консоли мы имеем возможность сразу определить варианты исследования вредоносной активности:
Всегда можно изучить детали происшествия:
Посмотрим отчет песочницы (для наглядности я прикрепил отчет по @wannacry который можно скачать по ссылке и посмотреть на сколько он подробен).
Вот полный список разделов отчета:
- Обнаружение.
- Поведение.
- Описание.
- Митра техника.
- Системные изменения.
- Файлы.
- Обзор сети.
- Детали сети.
- Временная лента событий.
- График.
- Хронология.
- IOC.
- Скриншоты.
А это скриншоты части отчета по нашему «Церберу»:
Конечно, функционал позволяет нам уничтожить вредоносные объекты, изолировать их или наоборот создать исключение.
Bitdefender всегда предложит рекомендуемые действия в опасных ситуациях:
Так же мы можем поработать с конечной точкой – изолировать хост, установить патчи и исправления операционной системы или удаленно подключиться:
Имея Patch Management в составе модулей, мы сразу можем определить отсутствующие патчи безопасности:
А теперь включим защиту всех модулей и проверим это на чистой виртуальной машине.
Конечно, защита не даст нам запустить данные «зловреды»:
Данные атаки являются наименее сложными. Сегодня я вам показал функционал Bitdefender GraviyZone и интегрированное решение Ultra, предназначенное для предотвращения обнаружения и обнаружения неисправностей. Оно позволяет быстро реагировать и восстанавливать конечные точки до уровня «Better-than-before». Инструменты расследования инцидентов, такие как анализ первопричин и отчеты песочницы, помогают группам безопасности проверять подозрительную деятельность и адекватно реагировать на киберугрозы.
В следующей я представлю новый способ генерации инцидентов с EDR. Он охватывает реальные сценарии атак (Bruteforce RDP, Эксфильтрация данных, Фальшивые сайты, Фишинговая почта и т. д.), а не просто безобидные на сегодняшний день шифровальщики.
Спасибо за внимание, до скорых встреч!