Co nowego w platformie GravityZone na początku roku 2024 (v6.48)?

26 lutego i 7 marca Bitdefender wprowadził nowe funkcjonalności w Bitdefender GravityZone, kompleksowej platformie cyberbezpieczeństwa, która zapewnia zapobieganie, ochronę, wykrywanie i reagowanie na cyberincydenty organizacjom każdej wielkości. Funkcje te, zgodne z wielowarstwową strategią bezpieczeństwa zespołu Bitdefender, mają za zadanie odciążyć analityków bezpieczeństwa, administratorów i użytkowników.

Co nowego dla analityków bezpieczeństwa?

W dynamicznym krajobrazie cyberbezpieczeństwa analitycy bezpieczeństwa są odpowiedzialni za odkrywanie wszelkich oznak potencjalnych wyrafinowanych ataków, aby uczynić to, co niewidzialne, widocznym. W tej sekcji opisano nową funkcjonalność GravityZone zaprojektowaną w celu zwiększenia możliwości analityków, oferując ulepszone narzędzia do wykrywania zagrożeń, badania i reagowania.

Zarządzanie stanem zabezpieczeń w chmurze

Od teraz Bitdefender CSPM+ (Cloud Security Posture Management +) jest ogólnie dostępny dla wszystkich klientów, kończąc program wczesnego dostępu (EAP), który rozpoczął się 15 stycznia 2024 r.

Bitdefender CSPM+ zawiera nie tylko funkcjonalność Cloud Security Posture Management (CSPM), zapewniającą bezpieczną i zgodną konfigurację zasobów i usług w chmurze w celu identyfikacji i łagodzenia potencjalnych zagrożeń bezpieczeństwa i błędnych konfiguracji, ale także zabezpieczenia Cloud Identity and Access Management (IAM) (zwane także CIEM – Zarządzanie uprawnieniami do infrastruktury chmurowej) oraz Wykrywanie i reagowanie w chmurze. Bezpieczeństwo IAM pomaga organizacjom zarządzać tożsamościami użytkowników i uprawnieniami dostępu w środowisku chmury, aby zminimalizować ryzyko. Rozwiązanie Cloud Threat Detection and Response jest również zawarte w CSPM+ i wykorzystuje silnik wykrywania GravityZone XDR oraz doradcę incydentów w celu rozszerzenia wykrywania i reagowania na płaszczyznę zarządzania chmurą poprzez analizę dzienników audytu chmury.

Te zintegrowane funkcje zostały zaprojektowane, aby pomóc organizacjom zarządzać zagrożeniami związanymi z bezpieczeństwem i zgodnością w różnych środowiskach chmurowych bez konieczności posiadania specjalistycznej wiedzy na temat bezpieczeństwa chmury. Integracja z Amazon Web Services (AWS), Google Cloud Platform (GCP) i Microsoft Azure umożliwia administratorom pełny wgląd w zasoby i tożsamości w chmurze. Ciągłe kontrole bezpieczeństwa, monitorowanie zgodności i opcje korygowania zapewniają bezpieczne konfiguracje zasobów w chmurze w celu przezwyciężenia złożoności i skupienia się na zwiększeniu produktywności zespołu ds. bezpieczeństwa.

Konsola zarządzania Bitdefender GravityZone CSPM+.

Ulepszenia Bitdefender IntelliZone

Specjaliści ds. bezpieczeństwa, którzy chcą aktywnie identyfikować, monitorować i łagodzić zagrożenia cybernetyczne, mogą skorzystać z nowej platformy IntelliZone w celu ulepszenia swoich zabezpieczeń cybernetycznych. IntelliZone konsoliduje i udostępnia całą wiedzę na temat zagrożeń zebraną przez Bitdefender Labs, który co minutę odkrywa ponad 400 nowych zagrożeń i codziennie weryfikuje 30 miliardów zapytań o cyberincydenty.

Proste wyszukiwanie lokalizuje wszystkie znane zagrożenia powiązane z określonym wskaźnikiem naruszenia (IoC), takim jak adres URL, domena, adres IP, lub skrót certyfikatu. Dzięki najnowszej aktualizacji specjaliści ds. bezpieczeństwa mają funkcję wyszukiwania zbiorczego, która lokalizuje zagrożenia na podstawie ich powiązań z kilkoma atrybutami. Korzystając z filtrów takich jak aktor zagrożenia, kraj, branża i wskaźnik, mogą utworzyć wyszukiwanie zapewniające globalny przegląd ostatnio aktywnych grup w ich regionie przypisanych do ich branży. Interfejs zoptymalizowany pod kątem interakcji z użytkownikiem oferuje funkcje Autouzupełniania i Pomocnika, wyświetlając listę dostępnych wskaźników lub sugerując wszystkie możliwe wpisy.

Wyszukiwanie zagrożeń Bitdefender IntelliZone.

Wyposażeni w te wskaźniki administratorzy mogą proaktywnie tworzyć zasady wyszukiwania określonych plików lub połączeń, aby zwiększyć swoją odporność na cyberzagrożenia.

Szczegóły zagrożenia Bitdefender IntelliZone.

Surowe zdarzenia EDR — przekazywanie Syslog

Dzięki zestawowi telemetrii zabezpieczeń administratorzy mają dostęp do podstawowych danych związanych ze zdarzeniami związanymi z bezpieczeństwem, takich jak procesy (tworzenie, kończenie), pliki (tworzenie, odczytywanie, modyfikowanie, przenoszenie, usuwanie), rejestr (tworzenie i usuwanie kluczy, modyfikowanie i usuwanie wartości), login dostępu użytkownika i połączenie sieciowe. Dzięki najnowszej aktualizacji wszystkie dane dotyczące telemetrii bezpieczeństwa z chronionych punktów końcowych mogą być wysyłane w formacie syslog do serwera obsługującego TLS. Umożliwia to analitykom bezpieczeństwa tworzenie niestandardowych korelacji. Szczegółowe informacje na temat wydarzeń Securite Telemetry można znaleźć w naszym Centrum Wsparcia GravityZone. Ważne jest, aby wszystkie zduplikowane informacje zostały odfiltrowane, aby poprawić wydajność systemu i zminimalizować ślad eksportowanych danych.

Dostęp do konfiguracji można uzyskać, edytując konfigurację telemetrii zabezpieczeń i wybierając Syslog (JSON) z pola rozwiązania SIEM.

Konfiguracja dziennika syslogu telemetrii bezpieczeństwa Bitdefender GravityZone.

Co nowego dla administratorów?

Ponieważ administratorzy nieustannie godzą wiele obowiązków, bardzo cenione są narzędzia ułatwiające ich codzienne zadania. W tej sekcji opisano nową funkcjonalność zaprojektowaną w celu ułatwienia zarządzania funkcjami odpowiedzialnymi za zapobieganie, ochronę i wykrywanie w architekturze bezpieczeństwa zapewniającej dogłębną obronę.

Tryb demonstracyjny XDR

Dzięki najnowszej aktualizacji klienci Bitdefender GravityZone mogą korzystać z trybu demonstracyjnego XDR podczas wdrażania weryfikacji koncepcji (POC) oraz wewnętrznych szkoleń w zakresie korzystania i śledzenia incydentów XDR. Tryb demo dostępny jest dla wszystkich klientów posiadających subskrypcję XDR w głównym panelu Incydenty -> Wszystkie zdarzenia po kliknięciu ikony demo w prawym górnym rogu.

Incydenty Bitdefender GravityZone.

Zdarzenie demonstracyjne jest zawsze u góry siatki i może je przeglądać administrator oraz wszyscy użytkownicy posiadający wystarczające uprawnienia do przeglądania sekcji Zdarzenie.

Szczegóły zdarzenia demonstracyjnego Bitdefender GravityZone.

Scenariusz incydentów demonstracyjnych

Incydent dotyczy podmiotów takich jak punkty końcowe, serwery, użytkownicy, użytkownicy usługi Azure AD, lokalni użytkownicy usługi AD i adresy IP symulujące przy użyciu dedykowanych czujników.

Wykres incydentów demonstracyjnych Bitdefender GravityZone.

Incydent zaczyna się od wiadomości e-mail zawierającej złośliwy załącznik wysłany przez Johny’ego do Alice i Boba. Po otworzeniu pliku nawiązywane jest połączenie Command and Control (C2) z serwerem atakującego, umożliwiając zdalne wykonanie złośliwego kodu. Z maszyny Boba, wykorzystując atak KerberosBruteForce, atakujący uzyskuje dostęp do konta administratora. Mając poświadczenia użytkownika administracyjnego, osoba atakująca łączy się z kilkoma komputerami, w tym z serwerem plików, komputerami dyrektora finansowego i dyrektora generalnego. Z komputera dyrektora finansowego osoba atakująca pobiera dodatkowe narzędzia za pośrednictwem złośliwego adresu URL w celu rozprzestrzenienia ataku. Jednocześnie z komputera dyrektora generalnego atakujący wydobywa dane i pobiera je za pośrednictwem serwera C&C.

Wszelkie modyfikacje tego zdarzenia, takie jak zmiany statusu lub modyfikacje priorytetów, będą miały na nie wpływ tylko wtedy, gdy będzie ono otwarte, czyli po opuszczeniu strony, powróci ona do swojej domyślnej formy. Administrator może sprawdzić wszystkie działania potrzebne do naprawienia incydentu, jednak zostaną one dezaktywowane.

Dodatkowo administrator może skorzystać z sekcji Wyszukiwanie zaawansowane, aby przejrzeć automatycznie wygenerowane zapytanie i zobaczyć wszystkie nieprzetworzone zdarzenia i alerty związane z tym incydentem demonstracyjnym.

Zaawansowane wyszukiwanie incydentu demonstracyjnego Bitdefender GravityZone.

To, co odróżnia to zapytanie od innych, to końcowa fraza „AND alert.incidents_number: DEMO”, której administrator może użyć do utworzenia zapytań dla tego zdarzenia demonstracyjnego.

Panel zdrowia – eksportowanie danych

Panel kontrolny stanu zdrowia to funkcja dostępna w programie Bitefender GravityZone już od wczesnego dostępu (EAP). Narzędzie to zostało zaprojektowane w celu zapewnienia kompleksowego przeglądu problemów i stanu punktów końcowych w sieci. Ponadto służy także jako funkcja umożliwiająca szybki przegląd zainstalowanego rozwiązania. Widżety oferują kluczowy wgląd w stan i wydajność punktów końcowych, podkreślając krytyczne problemy wymagające uwagi administratora. Administratorzy mogą na przykład użyć panelu kontrolnego, aby sprawdzić, ile punktów końcowych ma problemy, takie jak nierozwiązane wykrycie złośliwego oprogramowania lub punkty końcowe niepołączone z Globalną Siecią Ochronną Bitdefender. Każdy ważny parametr, taki jak aktualizacje punktów końcowych, stan aktualizacji zabezpieczeń, stan zasad itp., można monitorować za pośrednictwem pulpitu nawigacyjnego.

Panel zdrowia Bitdefender GravityZone.

Dzięki najnowszej aktualizacji administratorzy mogą eksportować dane ze wszystkich widżetów w formacie CSV. Wyeksportowane dane można zaimportować do dowolnego innego rozwiązania obsługującego pliki CSV w celu szczegółowej analizy. Dodatkowo administratorzy mogą bezpośrednio przeglądać surowe dane w wyeksportowanych plikach CSV, zapewniając dogłębne zrozumienie wszystkich nazw punktów końcowych zliczonych w każdym widżecie. Ta funkcjonalność umożliwia administratorowi podjęcie dodatkowych działań w celu rozwiązania problemów z punktami końcowymi w sieci firmowej.

Na przykład, jeśli zobaczysz w Panelu kondycji, że dwa punkty końcowe oczekują na ponowne uruchomienie po aktualizacji produktu, po wyeksportowaniu danych do pliku CSV administratorzy mogą łatwo znaleźć ich nazwy i podjąć niezbędne kroki, aby rozwiązać ten problem.

Wyślij elementy poddane kwarantannie do Sandbox Analyzer

Dzięki najnowszej aktualizacji administratorzy będą teraz mogli przesyłać wszystkie możliwe do odzyskania pliki z kwarantanny bezpośrednio do usługi sandboxu. Funkcja pobierania jest dostępna dla komputerów z systemem Windows i macOS.

Przesyłanie pliku Kwarantanny Bitdefender GravityZone do Kwarantanny.

To ulepszenie umożliwia analitykom bezpieczeństwa przeprowadzanie kontrolowanej detonacji plików, w wyniku czego powstaje kompleksowy raport. Raport zawiera informacje na temat znanych aktorów zagrażających i rodziny wykrytych infekcji, szczegóły procesu wykrywania, w tym mechanizmów bezpieczeństwa odpowiedzialnych za identyfikację zachowania infekcji oraz jej mapowanie na techniki Mitre. System może uczyć się na podstawie zachowania zagrożenia, prezentując na osi czasu zmiany, jakie próbowało wprowadzić w systemie, wraz z wykresami drzewiastymi przedstawiającymi jego interakcje i strukturę. Dodatkowo przechwytuje zrzut ekranu wiadomości lub błędu, który użytkownik napotyka podczas zainfekowania systemu, np. notatkę dotyczącą oprogramowania ransomware.

Warto pamiętać, że poddanie plików kwarantannie podczas procesu przywracania na komputerze może spowodować incydent bezpieczeństwa, dlatego takie działania należy wykonywać z zachowaniem wszelkich niezbędnych środków ostrożności. Dzięki tej nowej funkcjonalności administratorzy zawsze będą mieli jasny obraz plików poddanych kwarantannie, co zapewni lepszą kontrolę i zrozumienie potencjalnych zagrożeń. Dzięki temu mogą podejmować świadome decyzje podczas obsługi plików możliwych do odzyskania, zachowując integralność bezpieczeństwa systemu.

Widok szczegółów kwarantanny

Wiedza o tym, która technologia wykryła i poddała plik kwarantannie, pozwala administratorom uzyskać większą kontrolę i zrozumienie ochrony antywirusowej. W najnowszych wersjach Bitefender GravityZone administratorzy mogą aktywować kolumnę Technologii wykrywania w widoku Kwarantanna, aby sprawdzić, który moduł (FileScan.OnAccess, FileScan.OnDemand, BehavioralScan, IntegrityMonitor lub Skanowanie ręczne) zdecydował się poddać plik kwarantannie. Dodatkowo kolumnę technologii wykrywania można również wykorzystać do opcji filtrowania.

Bitdefender GravityZone Komputery i maszyny wirtualne Zarządzanie kwarantanną.

Administratorzy mogą wykorzystać tę wiedzę do reagowania na zagrożenia, dostrajania polityk bezpieczeństwa oraz tworzenia analiz poincydentalnych i raportów dotyczących zgodności.

Bezpieczeństwo dla ulepszeń Amazon AWS (EC2)

Aby zmaksymalizować korzyści ze wdrożenia chmury, administratorzy mogą wybierać pomiędzy dwoma sposobami integracji AWS: używając kompletnego instalatora Bitdefender Endpoint Security Tools (BEST) lub wykorzystując lekkiego agenta z Security for Virtualized Environments (SVE). SVE jest wdrażane jako urządzenie wirtualne, zaprojektowane od podstaw pod kątem wirtualizacji i przetwarzania w chmurze, zapewniając niewielkie bezpieczeństwo w każdej instancji, jednocześnie maksymalizując wydajność i ochronę.

Wraz z najnowszymi aktualizacjami w GravityZone dodano kilka ulepszeń w celu usprawnienia zarządzania dla dostawców usług zarządzanych (MSP), partnerów i klientów korzystających z Bitdefender Security dla Amazon AWS. Po pierwsze, po integracji z Amazon EC2, wszystkie dostępne zasoby zostaną wyświetlone w konfiguracji Sieci i przeniesione z inwentarza Komputery i Grupy do osobnej grupy Amazon EC2 jak na poniższym ekranie.

Sekcja konfiguracji sieci Bitdefender GravityZone.

Oprócz tego dzięki automatycznej synchronizacji zapasów administratorzy będą mieli wgląd we wszystkie zapasy, niezależnie od tego, czy jest na nich zainstalowany punkt końcowy. Administrator może przypisać politykę do poszczególnych zasobów lub może przypisać ją globalnie do instancji EC2, wówczas zostanie ona automatycznie odziedziczona przez wszystkie grupy w inwentarzu.

Kiedy administrator definiował tagi na swoich maszynach w AWS, aby na przykład kategoryzować je na podstawie ich funkcji lub działów, teraz można go używać do automatycznego przypisywania polityk za pomocą konfiguracji Polityki Przypisania.

Z konsoli GravityZone administratorzy mogą generować różne raporty, takie jak Miesięczne wykorzystanie, nawet jeśli korzystają z wielu subskrypcji w ramach swojego konta. Ta funkcjonalność pomaga w kalkulacji kosztów i identyfikuje nieprawidłowości, które mogą sygnalizować zdarzenia związane z bezpieczeństwem, w tym nieuprawnione wykorzystanie zasobów do działań takich jak wydobywanie Bitcoinów lub boczne przemieszczanie się w infrastrukturze podczas zaawansowanych ataków. Dodatkowo administratorzy mogą skonfigurować GravityZone tak, aby otrzymywać nowe powiadomienia związane z ich Amazon EC2, takie jak informacje o aktywowanych i dezaktywowanych subskrypcjach. Wszystkie te powiadomienia są również dostępne po integracji API.

Licencje próbne wyższych produktów

Dzięki najnowszej aktualizacji wszyscy klienci GravityZone Small Business Security mogą ulepszyć swoją istniejącą funkcjonalność poprzez aktywację licencji próbnej, która obejmuje zarówno Business Security, jak i Business Security Premium. Licencja próbna jest ważna przez 30 dni i pozwala na ulepszenie kompleksowej ochrony przed szeroką gamą cyberzagrożeń. Aby zainicjować licencję próbną, administratorzy będą musieli przejść do strony Próby produktów, dostępnej w prawym górnym rogu po kliknięciu przycisku.

Sekcja prób produktu Bitdefender GravityZone.

Po aktywowaniu licencji Business Security klienci będą mieli dostęp do dodatkowych funkcji, takich jak:

• Kontrola treści – administratorzy mogą kontrolować działania użytkowników poprzez szczegółowe filtrowanie sieci i kontrolę aplikacji.
• Kontrola urządzeń – umożliwia śledzenie zarówno autoryzowanych, jak i nieautoryzowanych urządzeń oraz ich użycia, minimalizując ryzyko incydentów bezpieczeństwa
• Network Attack Defense — wykrywa i identyfikuje złośliwe lub podejrzane działania, odkrywając wzorce, anomalie i wskaźniki zagrożeń w sieci. Moduł potrafi skutecznie identyfikować potencjalne zagrożenia, ograniczać ryzyko i dostarczać cennych informacji na potrzeby proaktywnej reakcji na zagrożenia.
• Endpoint Risk Analytics — kompleksowe narzędzie pomagające identyfikować i eliminować luki w zabezpieczeniach oraz identyfikować użytkowników zachowujących się ryzykownie, aby ograniczyć potencjalne punkty wejścia.

Aktywując Business Security Premium oprócz Business Security, klienci zyskają dostęp do takich funkcji, jak:

• Hyper Detect – zawiera dostrajalną funkcjonalność Machine Learning mającą na celu identyfikację zaawansowanych ataków i wykrywanie nowych typów złośliwego oprogramowania, których system nigdy wcześniej nie widział, poprzez analizę zachowania uruchomionych procesów.
• Cloud Sandbox Analyzer – dogłębnie analizuje podejrzane pliki, detonując ładunki w zamkniętym środowisku wirtualnym hostowanym przez Bitdefender, obserwując ich zachowanie, zgłaszając subtelne zmiany w systemie, które wskazują na złośliwe zamiary i zapewniając przydatne informacje.
• Ochrona przed atakami bez plików — aktywnie identyfikuje i zapobiega bezplikowemu złośliwemu oprogramowaniu na etapach przed wykonaniem, aby udaremnić ataki wykorzystujące techniki Living off the Land (LOL).
• Incydent, Eksplorator zagrożeń — zapewnia scentralizowany widok zdarzeń związanych z bezpieczeństwem z pełnym zarejestrowanym harmonogramem zablokowanych ataków

Oprócz oferty podstawowej obecni klienci programu Small Business Security mogą również ocenić takie funkcje, jak:

• Zarządzanie poprawkami – zapewnia możliwość natychmiastowego łatania podatnego oprogramowania w systemach, zmniejszając powierzchnię ataku.
• Pełne szyfrowanie dysku — zapewnia szyfrowanie i bezpieczeństwo danych, minimalizując ryzyko utraty lub kradzieży danych.
• Mobile Security — z zaawansowaną funkcją Mobile Threat Detection (MTD) koncentruje się na identyfikacji ryzyka, wykrywaniu zagrożeń, naprawianiu skutków i raportowaniu w celu ochrony przed szeregiem przewidywanych i nieoczekiwanych zagrożeń. MTD służy jako dodatkowa warstwa obrony, zwiększając poziom bezpieczeństwa środowisk mobilnych, zwłaszcza w przypadku pracy zdalnej, a coraz popularniejsza staje się metoda Bring Your Device (BYOD).

Nowości w platformie Bitdefedner GravityZone – podsumowanie

Platforma Bitdefender GravityZone wyróżnia się na rynku AV, oferując kompleksowe rozwiązanie dla wszystkich potrzeb bezpieczeństwa Twojej organizacji. Wraz z ewolucją cyfrowego krajobrazu Bitdefender pozostaje proaktywny, zapewniając zapobieganie, ochronę, wykrywanie i możliwości reagowania, zapewniając ciągłe bezpieczeństwo organizacji każdej wielkości na całym świecie.

Aby dowiedzieć się więcej o platformie Bitdefender GravityZone, skontaktuj się z nami lub odwiedź tę stronę.