Bitdefender to najprawdopodobniej najpotężniejsze rozwiązanie klasy AV/EPP chroniące na takim poziomie przed zagrożeniami typy ransomware czy zero-day.  Lekka końcówka/wysokie bezpieczeństwo, ochrona serwerów i zapora firewall we wszystkich wersjach, możliwość blokowania pamięci przenośnej, bezagentowa ochrona środowisk wirtualnych, szyfrowanie dysków, analiza i ocena ryzyka, wgląd w incydenty oraz  indywidualne polityki dla różnych adresacji. Konsola cloud/on-premis w standardzie. Na uwagę zasługują moduły HyperDetect+SandBox+Ransomware Migitation+Incydenty /*+(EDR) zastosowane w rozwiązaniu Premium /*Enterprise.
—

HyperDetect – moduł HyperDetect, dający najwyższy poziom ochrony przed zagrożeniami ransomware czy atakami typu zero-day. Wraz z instalacją agenta Bitdefender na punkcie końcowym instalowana jest odseparowana wirtualna maszyna, która pozwala na analizę heurystyk plików wykonywalnych lub skryptów w momencie ich inicjacji, czyli przed ich faktycznym uruchomieniem w systemie produkcyjnym. HyperDetect jest to ochrona wyposażona w maszynowe uczenie i wspierana sztuczną inteligencją. W momencie uruchomienia pliku w systemie, Bitdefender sprawdzi czy taki plik jest bezpieczny, jeśli tak, zostanie on dopuszczony do działania, jeśli nie zostanie zablokowany, jeśli plik będzie podejrzany to może zostać przesłany dodatkowo do Sandboxa po stronie producenta. Funkcja HyperDetect jest to ochrona pro aktywna, która jest najskuteczniejszą ochroną przeciwko ransomware.

Analizator Sandbox – laboratorium po stronie producenta, do którego możemy przesyłać pliki lub adresy url pod kątem szczegółowej analizy. Przesłany plik zostanie uruchomiony na maszynie i wynik jego działania będzie dostępny w raporcie. Raport pierwszy mówi tylko o tym czy plik jest bezpieczny czy stanowi on zagrożenie. Raport drugi jest to pełny raport oparty o analizę behawioralną, który mówi o tym jakie „szkody” może ten plik wywołać w momencie uruchomienia. Przykładowo jeśli na komputer zostanie pobrany plik wykonywalny i administrator nie ma pewności co do jego działania to taki plik może zostać wysłany do analizy. Analiza pliku trwa ok 10-15 minut, w zależności od wielkości pliku.

Poniżej przesyłam link z filmem, który pokazuje jak działa funkcja HD i Sandbox Analyzer: https://www.youtube.com/watch?v=G5b5j8xqRpA

Ransomware Mitigation – tworzy kopię zapasową plików modyfikowanych w czasie rzeczywistym, aby zmniejszyć ryzyko utraty danych podczas ataków ransomware. Pliki kopii są zabezpieczone przed zaszyfrowaniem lub usunięciem przez ransomware. Technologia ta nie tylko chroni pliki, ale również blokuje ataki w trakcie jego trwania a po zablokowaniu ataku zdalny adres IP komputera jest również blokowany na 2 godziny aby zminimalizować ryzyko kolejnego ataku lub rozprzestrzenienia się zagrożenia.

Risk management – audyt bezpieczeństwa infrastruktury / pozwala na automatyczne wykrywanie podatności na punktach końcowych np. to samo hasło od 30 dni, wyłączony UAC itp. Funkcja ta dzieli się na 4 segmenty:
– sieć i poświadczenia
– system operacyjny
– aplikacje
– human behaviours
Każdy z segmentów skanuje komputer pod kątem problemów i w przypadku niektórych podatności pozwala na podejmowanie automatycznych działań naprawczych, lub wskazuje potencjalne luki bezpieczeństwa.

Bitdefender Elite VS Ultra

Incydenty: główną różnicą miedzy Elite i Ultra jest właśnie EDR, w Elite mamy wgląd w graf incydentów, ale tylko tych wykrytych – EDR daje nam szersze spektrum wglądu w całą naszą infrastrukturę i pozwala przeprowadzać bardziej złożone/precyzyjne działania śledcze. Moduł Incydenty daje nam możliwość analizy podstawy zasobów systemowych a EDR rozszerza to o możliwość zwrócenia uwagi na nietypowe zachowanie w oparciu o techniki zagrożeń MITRE i badania Bitdefender. Techniki ataków MITRE i wskaźniki włamań dają nam wgląd w nawet najdrobniejsze zagrożenia i inne złośliwe oprogramowanie, które może być z nimi związane.

XEDR: Kluczową różnicą, jaką rozszerzone EDR zapewnia rynkowi, jest dodanie nowej technologii do EDR, znanej jako technologia korelacji między punktami końcowymi, co zapewnia rozszerzone możliwości nie tylko na poziomie hosta lub punktu końcowego, ale także na poziomie sieci i organizacji. Ta nowa technologia wykorzystuje kompleksową korelację incydentów między punktami końcowymi chronionymi przez naszego agenta EDR w organizacji.

Na przykład XEDR obejmuj skorelowanie incydentów obejmujących punkty końcowe A i B z punktem końcowym C jako ostatecznym miejscem docelowym, przyczyniając się do określonego łańcucha zabijania ataków. Zapewnia to widoczność nie tylko z perspektywy maszyny ofiary, ale także z perspektywy maszyny atakującej.

Rozszerzone EDR (XEDR) zapewni użytkownikom możliwość izolowania punktów końcowych chronionych przez agenta BEST, które były zaangażowane w łańcuch zabijania ataków, taki jak ruch boczny lub nawet podejrzana komunikacja z serwerem C&C w celu ewentualnej eks-filtracji.

XDR: Wato zaznaczyć że Bitdefender jest vendorem najgłębiej rozwijającym technologię EDR (już obecnie oferujemy XEDR – czyli występuje możliwość korelacji między punktami A i B) a kwietniu 2022 uruchomiliśmy XDR, który to jak przewidują specjaliści ds cyberbezpieczeństwa, docelowo wyprze obecne SIEM’y.

Webinar z 17.11.2021. Najskuteczniejsza i najwyżej oceniana ochrona GravityZone Elite i Ultra.