GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

2 July
  • Уверенно докладывать о безопасности в любой момент.
  • Обнаруживать атаки, которые остались незамеченными.
  • Быстрее реагировать на возможные инциденты.
  • Добавлять экспертизу без увеличения численности персонала.
  • Понимать, как произошла атака, как ее остановить и впредь не допустить снова.

Что общего в этих тезисах? Одно – EDR (Endpoint Detection and Response), если говорить по-русски, то это детектирование инцидентов безопасности и реагирование на них.

У меня очень плохая литературная речь, поэтому я просто покажу как это работает у нашего продукта Bitdefender GravityZone Ultra.

В отличие от других решений для обеспечения безопасности конечных точек, чья защита делает их шумными и сложными в работе, Bitdefender разработал более 30 уровней защиты для всех ваших конечных точек, предлагая самую эффективную в мире защиту, интегрированную с низким уровнем издержек EDR и анализом конечных рисков (ERA) в один агент с единой консольной архитектурой.

Включая в портфель конечных точек расширенную защиту, аналитику рисков и усиленные инновации, мы помогаем минимизировать поверхность атаки на конечные точки, затрудняя проникновение злоумышленников. С GravityZone Ultra вы можете сократить количество поставщиков, сократив при этом время, необходимое для реагирования на угрозы с помощью интегрированного стека безопасности.

А теперь все по порядку, давайте рассмотрим реальную угрозу:

Для демонстрации я скачал 2 вируса шифровальщика, «Cerber» и «Mamba» для того, чтобы подробно разобрать инциденты я переключаю систему защиты в режим только отчетности.

Модуль защиты от вредоносного ПО (Сканирование при доступе) – не предпринимать никаких действий:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Расширенный контроль угроз (Advanced Threat Control) - не предпринимать никаких действий:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Модуль Hyper Detect – только отчет:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Advanced Anti-Exploit - только отчет:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Облачная песочница (Sandbox Analyzer) – только отчет:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Защита от сетевых атак – только отчет:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

И сохраняем.

Далее я скачиваю на тестовые виртуальные машины вирусы:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Наблюдаю следующий результат.

Распаковываю:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Запускаю:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Видим уведомления на клиенте, что работают модули сигнатурный и активный контроль угроз. Спустя 3 минуты получаем автоматический отчет из Песочницы:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Посмотрим, что нам говорит модуль EDR.

Основное окно с EDR выглядит так (тестовая среда), здесь мы можем видеть список инцидентов, которые необходимо исследовать:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Посмотрим последний инцидент атаки. Мы видим 2 фазы атаки, запуск «Мамбы» и далее «Цербера», по каждому процессу мы можем подробно изучить действия:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Каждый запущенный процесс мы можем рассмотреть подробно:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Сигнатурный движок отметил вредоносный файл. А также, Активный контроль угроз обнаружил вредоносную активность.

Здесь в консоли мы имеем возможность сразу определить варианты исследования вредоносной активности:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Всегда можно изучить детали происшествия:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Посмотрим отчет песочницы (для наглядности я прикрепил отчет по @wannacry который можно скачать по ссылке и посмотреть на сколько он подробен).

Вот полный список разделов отчета:

  • Обнаружение.
  • Поведение.
  • Описание.
  • Митра техника.
  • Системные изменения.
  • Файлы.
  • Обзор сети.
  • Детали сети.
  • Временная лента событий.
  • График.
  • Хронология.
  • IOC.
  • Скриншоты.

А это скриншоты части отчета по нашему «Церберу»:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1
GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Конечно, функционал позволяет нам уничтожить вредоносные объекты, изолировать их или наоборот создать исключение.

Bitdefender всегда предложит рекомендуемые действия в опасных ситуациях:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Так же мы можем поработать с конечной точкой – изолировать хост, установить патчи и исправления операционной системы или удаленно подключиться:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Имея Patch Management в составе модулей, мы сразу можем определить отсутствующие патчи безопасности:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

А теперь включим защиту всех модулей и проверим это на чистой виртуальной машине.

Конечно, защита не даст нам запустить данные «зловреды»:

GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

Данные атаки являются наименее сложными. Сегодня я вам показал функционал Bitdefender GraviyZone и интегрированное решение Ultra, предназначенное для предотвращения обнаружения и обнаружения неисправностей. Оно позволяет быстро реагировать и восстанавливать конечные точки до уровня «Better-than-before». Инструменты расследования инцидентов, такие как анализ первопричин и отчеты песочницы, помогают группам безопасности проверять подозрительную деятельность и адекватно реагировать на киберугрозы.

В следующей я представлю новый способ генерации инцидентов с EDR. Он охватывает реальные сценарии атак (Bruteforce RDP, Эксфильтрация данных, Фальшивые сайты, Фишинговая почта и т. д.), а не просто безобидные на сегодняшний день шифровальщики.

Спасибо за внимание, до скорых встреч!