BI.ZONE Sensors поможет Angara Security усилить экспертный опыт в области защиты конечных точек от сложных угроз, увеличить возможности детектирования, ускорить процесс принятия решений при анализе подозрений на инцидент, а также в конечном итоге предоставлять заказчикам более качественную услугу по мониторингу и реагированию на киберинциденты. Об этом CNews сообщили представители BI.ZONE.
Коммерческий SOC Angara Security существует с 2017 г., развивая, в том числе, собственные решения, например SIEM. В 2020 г. компания разработала дорожную карту функционального развития SOC до 2023 г. Одной из целей был переход от эксплуатации инструментов контроля конечных точек собственной разработки к внедрению полноценного коммерческого EDR. Внедрение EDR-решения позволяет расширить имеющиеся возможности детектирования угроз и в полной мере реализовать процессы активного реагирования в рамках услуг SOC.
«Раньше мы анализировали инцидент, находясь в некоем логическом ограничении, и могли основываться только на тех событиях, которые регистрируются штатными системами аудита или другими компонентами собственной разработки. Сегодня решение класса EDR от BI.ZONE позволяет нам не только выйти за рамки этого логического ограничения, но и управлять всеми событиями, обогащениями, телеметрией и т.д., которые мы используем в работе».
BI.ZONE Sensors изначально разрабатывался в качестве внутреннего EDR-решения для использования в рамках сервиса BI.ZONE TDR (threat detection and response), представляющего собой синергию классического SOC и MDR. Таким образом, возможности BI.ZONE Sensors позволяют удовлетворить запросы крупных инхаус-SOC, MSSP-провайдеров и других команд с высоким уровнем экспертизы, предъявляющих больше требований к функциональной гибкости, составу собираемой телеметрии, возможностям по обнаружению угроз и реагированию на них.
В конце 2022 г. BI.ZONE приняли решение выводить продукт на массовый рынок. Angara Security стала первым MSSP-партнером BI.ZONE, взявшим на вооружение BI.ZONE Sensors. Провайдер выбрал BI.ZONE Sensors, потому что система соответствует требованиям. Среди них — гибкие интеграционные возможности (развитие продукта по принципу API-First), поддержка всех типов ОС (Windows, Linux, macOS), наличие встроенной в агент самозащиты, возможности активного реагирования (в том числе обязательный Live Shell), возможность сбора и обработки всей регистрируемой агентами телеметрии и др. К тому же Angara Security стремится использовать только отечественное ПО.
BI.ZONE Sensors расширяет эффективность существующих опций Angara SOC, например ускоряет процесс принятия решений при анализе LDAP-запросов. Также решение BI.ZONE дает Angara Security новые возможности, например, по выявлению PPID-spoofing и command line spoofing.
«Наша компания, как и Angara Security, оказывает услуги SOC/MDR множеству заказчиков. Мы изначально создавали BI.ZONE Sensors под соответствующие условия эксплуатации, поэтому при разработке учли все особенности и требования сервис-провайдеров. Мы рады, что наш партнер имеет схожие взгляды на то, как должно выглядеть идеальное EDR-решение для зрелого SOC. Angara Security — это компетентный и продвинутый партнер, который поможет нам улучшить и развить BI.ZONE Sensors, формируя правильные требования. В дальнейшем мы планируем расширять сотрудничество, как увеличивая инсталляционную базу, так и добавляя в его область новые модули. Например, модуль Deception, который позволяет автоматизировать создание и управление доменными, а также хостовыми ловушками для выявления атакующих».