Современные тенденции
Расширение разнообразия используемых для написани––я ВПО языков программирования и технологий, усложнение архитектуры
Как следствие, повышение требований к защите конечных точек
Эксплуатация уязвимостей: Microsoft Exchange (ProxyNotShell - CVE - 2022-41040) Apache Tomcat (Log4Shell - CVE-2021-44228) Microsoft Outlook Elevation of Privilege (CVE-2023-23397) Vmware Spring Frameword (Spring4Shell - CVE-2022-22965)
Самые популярные уязвимости: CVE-2022-27228 (Bitrix vote module RCE) CVE-2021-34473 (MS Exchange RCE ProxyShell) CVE-2022-41040, CVE-2022-41082 (MS Exchange RCE ProxyNotShell)
Рост активности группировок связанных с одной из сторон конфликта
Все более сложные социотехнические атаки, что требует повышения осведомленности об информационной безопасности обычным работникам
Классические задачи EDR
Сбор телеметрии (Ingest)
Процессы
Файловая система
Реестр
Сеть
Адреса в память
Пользователи и группы
WMI
Различные скрипты (PowerShell, AMSI и др.)
Обнаружение (Detection)
IoC / IoA
Автоматизированное выявление следов и TTP атакующих
YARA
Автоматизированное выявление инструментов атакующих
Vulnerability management
Своевременное оповещение об уязвимостях
Threat hunting
Ручной проактивный поиск следов / TTP атакующих
Золотой образ
Отслеживание белого списка ПО
Реагирование (Response)
Скачивание / Загрузка / Удаление файлов
Сбор данных процесса
Изоляция хоста
Интерактивная консоль
Запуск процессов / скриптов (bash)
Антишифровальщик
Автоматическое блокирование по хешу, имени
OSS Protect EDR
Система обнаружения целенаправленных атак
Решает все классические задачи
Защита от сложных угроз
Имеет дополнительные модули
OSS Protect EDR
Обеспечивает своевременное обнаружение вторжений, эффективное автоматичесое противодействие, наглядную визуализацию событий и инцидентов, сбор цифровых улик и тщательное расследование.
Модуль защиты от вирусов-вымогателей
Реализует защиту от шифровальщиков как класса, а не его отдельных представителей
Осуществляет прозрачное резервирование пользовательских файлов
OSS Protect EDR
1
Восстанавливает резервируемые файлы в случайные группы
2
Поддерживает все типы файлов и представляет возможность гибкой настройки резервирования
Анализ запускаемых файлов и загружаемых модулей
Сигнатурный анализ
Эвристика
Легковесность моделей машинного обучения
Работа с индикаторами компроментации
Многообразие типов индикаторов компроментации
Удобная система управления индикаторами компроментации и их наборами
Индикаторы компроментации
Предназначены для выявления известных атак по следующим артефактам
Хеш файла
Имя файла
IP-адрес
Доменное имя
Сетевая сигнатура
Индикаторы атак
Классификация по матрице MITRE ATTACK
Регулярное обновление TI
Удобная система управления индикаторами атак и их наборами
Конвертер Sigma правил
Собственные правила выявления угроз с интуитивно понятным механизмом написания IOA
Редактирование индикатора
Создание процесса
Загрузка используемого модуля
Создание/модификация файла
DNS-запрос
Сетевое соединение (CONNECT)
Открытие порта для входящих соединений (LISTEN)
Охота за угрозами
Распространенность по агентам инфраструктуры заказчика
Отображение цифровой подписки
Удобный поиск по хешу (SHA256)
Быстрый и удобный поиск угроз в корпоративной сети по событиям EDR
Настраиваемая фильтрация событий по различным параметрам
Возможность использование языка DSL для продвинутой фильтрации
Богатый инструментарий расследования инцидентов
Удобное представление активности процессов в виде дерева со сводной информацией о ключевых событиях
Сведения о распространенности подозрительных исполняемых модулей в агентской сети
Сбор данных журналов
Взаимодействие с любыми провайдерами журналов Windows
Возможность сбора журналов со средств защиты информации заказчика
Сервер аналитики (TI Portal)
Интеграция с популярными TI решениями
Регулярное обновление наборов индикаторов компрометации
Сервер аналитики (TI Portal)
Консоль управления агентами реализует функционал PowerShell, что позволяет оперативно отреагировать на события конечной точки:
Детальное расследование инцидентов безопасности
Устранение последствий атак на корпоративную инфраструктуру
Сетевая изоляция хоста
Терминал удаленного доступа
Профиль безопасности агента
.png&w=750&q=75)
Взаимодействие с любыми провайдерами журналов Windows
Возможность сбора журналов со средств защиты информации заказчика
Модуль управления уязвимостями
Protect EDR обеспечивает быстрое обнаружение вторжений, автоматическое противодействие, визуализацию инцидентов и сбор цифровых улик для расследований.