GravityZone Ultra или про EDR в Bitdefender на пальцах. Часть 1

• Уверенно докладывать о безопасности в любой момент.
• Обнаруживать атаки, которые остались незамеченными.
• Быстрее реагировать на возможные инциденты.
• Добавлять экспертизу без увеличения численности персонала.
• Понимать, как произошла атака, как ее остановить и впредь не допустить снова.
  

Что общего в этих тезисах? Одно – EDR (Endpoint Detection and Response), если говорить по-русски, то это детектирование инцидентов безопасности и реагирование на них.
У меня очень плохая литературная речь, поэтому я просто покажу как это работает у нашего продукта Bitdefender GravityZone Ultra.
В отличие от других решений для обеспечения безопасности конечных точек, чья защита делает их шумными и сложными в работе, Bitdefender разработал более 30 уровней защиты для всех ваших конечных точек, предлагая самую эффективную в мире защиту, интегрированную с низким уровнем издержек EDR и анализом конечных рисков (ERA) в один агент с единой консольной архитектурой.
Включая в портфель конечных точек расширенную защиту, аналитику рисков и усиленные инновации, мы помогаем минимизировать поверхность атаки на конечные точки, затрудняя проникновение злоумышленников. С GravityZone Ultra вы можете сократить количество поставщиков, сократив при этом время, необходимое для реагирования на угрозы с помощью интегрированного стека безопасности.
А теперь все по порядку, давайте рассмотрим реальную угрозу:
Для демонстрации я скачал 2 вируса шифровальщика, «Cerber» и «Mamba» для того, чтобы подробно разобрать инциденты я переключаю систему защиты в режим только отчетности.
Модуль защиты от вредоносного ПО (Сканирование при доступе) – не предпринимать никаких действий:






Расширенный контроль угроз (Advanced Threat Control) - не предпринимать никаких действий:






Модуль Hyper Detect – только отчет:






Advanced Anti-Exploit - только отчет:






Облачная песочница (Sandbox Analyzer) – только отчет:






Защита от сетевых атак – только отчет:






И сохраняем.
Далее я скачиваю на тестовые виртуальные машины вирусы:






Наблюдаю следующий результат.
Распаковываю:






Запускаю:






Видим уведомления на клиенте, что работают модули сигнатурный и активный контроль угроз. Спустя 3 минуты получаем автоматический отчет из Песочницы:






Посмотрим, что нам говорит модуль EDR.
Основное окно с EDR выглядит так (тестовая среда), здесь мы можем видеть список инцидентов, которые необходимо исследовать:






Посмотрим последний инцидент атаки. Мы видим 2 фазы атаки, запуск «Мамбы» и далее «Цербера», по каждому процессу мы можем подробно изучить действия:






Каждый запущенный процесс мы можем рассмотреть подробно:






Сигнатурный движок отметил вредоносный файл. А также, Активный контроль угроз обнаружил вредоносную активность.
Здесь в консоли мы имеем возможность сразу определить варианты исследования вредоносной активности:






Всегда можно изучить детали происшествия:






Посмотрим отчет песочницы (для наглядности я прикрепил отчет по @wannacry который можно скачать по ссылке и посмотреть на сколько он подробен).
Вот полный список разделов отчета:

• Обнаружение.
• Поведение.
• Описание.
• Митра техника.
• Системные изменения.
• Файлы.
• Обзор сети.
• Детали сети.
• Временная лента событий.
• График.
• Хронология.
• IOC.
• Скриншоты.
  

А это скриншоты части отчета по нашему «Церберу»:











Конечно, функционал позволяет нам уничтожить вредоносные объекты, изолировать их или наоборот создать исключение.
Bitdefender всегда предложит рекомендуемые действия в опасных ситуациях:






Так же мы можем поработать с конечной точкой – изолировать хост, установить патчи и исправления операционной системы или удаленно подключиться:






Имея Patch Management в составе модулей, мы сразу можем определить отсутствующие патчи безопасности:






А теперь включим защиту всех модулей и проверим это на чистой виртуальной машине.
Конечно, защита не даст нам запустить данные «зловреды»:






Данные атаки являются наименее сложными. Сегодня я вам показал функционал Bitdefender GraviyZone и интегрированное решение Ultra, предназначенное для предотвращения обнаружения и обнаружения неисправностей. Оно позволяет быстро реагировать и восстанавливать конечные точки до уровня «Better-than-before». Инструменты расследования инцидентов, такие как анализ первопричин и отчеты песочницы, помогают группам безопасности проверять подозрительную деятельность и адекватно реагировать на киберугрозы.
В следующей я представлю новый способ генерации инцидентов с EDR. Он охватывает реальные сценарии атак (Bruteforce RDP, Эксфильтрация данных, Фальшивые сайты, Фишинговая почта и т. д.), а не просто безобидные на сегодняшний день шифровальщики.

Если решите приобрести решение, ознакомиться с Bitdefender GravityZone Ultra Вы сможете по ссылке.

Подробнее: https://www.securitylab.ru/blog/company/bitdefender/348992.php


Спасибо за внимание, до скорых встреч!