Pic3

Con il Remote Response, le informazioni di sistema sono visibili in modo veloce e trasparente sulla stessa console di amministrazione di BlackBerry Cylance. 

Introduzione

Il Remote Response consiste in un’interfaccia per eseguire script o lanciare comandi verso i dispositivi monitorati con EDR. In questo modo, gli amministratori possono gestire le attività più urgenti e vederne i risultati in console.

Come funziona

Con l’esecuzione del Remote Response, l’agent di CylanceOPTICS inizia sul dispositivo un’istanza della shell nativa (cmd per Windows, bash per macOS e Linux) così da consentire la comunicazione con la console. Grazie alla possibilità di interagire con la shell nativa, gli amministratori hanno accesso a tutte le funzioni della shell ed a tutti gli script ed applicazioni già presenti sul dispositivo.

In aggiunta, il Remote Response include due comandi personalizzati e cross-piattaforma: rr-put e rr-get. Con questi comandi, è possibile trasferire file verso e dal dispositivo.

Comunicazioni sicure

Anche il Remote Response impiega le stesse comunicazioni sicure che permettono alla console di BlackBerry Cylance di interrogare gli agent installati sui vari dispositivi. I comandi sono eseguiti sui dispositivi a prescindere da dove essi siano, con l’unica condizione che questi siano in grado di comunicare con la console.

Sistemi operativi supportati

Remote Response è disponibile su tutti i sistemi operativi supportati da BlackBerryOPTICS: Windows, macOS e Linux.

Audit

Il Remote Response permette un alto livello di accesso sul dispositivo. Per questo motivo, tutti i comandi inviati e tutte le risposte ricevute dal dispositivo sono tracciati in un log completo di audit della sessione.

Gli amministratori dovranno avere cautela nel lanciare i comandi dal Remote Response, per evitare che il dispositivo sia negativamente impattato o danneggiato. BlackBerry non è responsabile delle azioni intraprese dai singoli amministratori IT della soluzione.

Requisiti

    • Agent di BlackBerryOPTICS versione 2.5.0 o superiore
    • Accesso al Remote Response consentito in console ai soli ruoli di amministratore
    • Remote Response è un’opzione attivabile sul tenant del cliente
    • I log di Remote Response sono salvati per una durata di 90 giorni
    • Time out di 25 minuti di inattività per ogni sessione remota di Remote Response
    • Ogni amministratore può avviare fino ad un massimo di 10 sessioni di Remote Response alla volta
    • Ogni dispositivo permette un massimo di 50 sessioni di Remote Response. Questo permette a più amministratori di indagare sullo stesso dispositivo contemporaneamente
    • C’è un limite di 70 MB per l’invio o la ricezione di file, tramite i comandi rr-put e rr-get. Per file superiori a questa misura, si avrà un messaggio di errore

Caso d’uso

Un esempio di impiego efficace ed elegante del Remote Response è il seguente.

Su una delle macchine protette da BlackBerry viene modificato il file degli host locali, dall’utente finale stesso o da un utente malintenzionato.  In figura, nel file hosts è aggiunto un indirizzo IP per risolvere gli accessi verso facebook.com.

demo1

demo2

A questo punto, BlackBerry Optics riscontrerà automaticamente la modifica del file hosts e potrà rispondere con un’azione, come ad esempio il log off degli utenti. 

demo3

La corrispondente regola CAE (Context Analysis Engine) in Optics responsabile di questo rilevamento è la “Hosts File Modified” di Cylance. 

demo4

Ispezionando in console l’evento riscontrato sulla macchina vittima, abbiamo modo di verificarne alcuni dettagli, ma non sappiamo esattamente cosa sia stato modificato all’interno del file hosts. 

demo5

Per questo, ci viene in aiuto il Remote Response. Dalla stessa posizione in console, posso invocare l’apertura della shell sulla macchina vittima. 

demo6OK

Qui, l’amministratore esegue il comando rr-get per recuperare il file hosts dalla macchina vittima ed analizzarlo puntualmente.

demo7

demo8