«13 тыс. атак». Как Group-IB будет бороться с киберпреступностью в 2020

Система раннего предупреждения киберугроз Threat Detection System доступна для белорусских пользователей — продукт международной компании Group-IB сертифицировал ОАЦ. В компании рассказали, в чём суть нового решения и почему оно так своевременно для бизнеса и государственного сектора в стране.

Система раннего предупреждения киберугроз Threat Detection System доступна для белорусских пользователей — продукт международной компании Group-IB сертифицировал ОАЦ. В компании рассказали, в чём суть нового решения и почему оно так своевременно для бизнеса и государственного сектора в стране.

Систему начали разрабатывать в 2013 году. Суть TDS — защита от современных таргетированных атак, в том числе с использованием ранее неизвестного вредоносного кода. Для Беларуси доступны два продукта: TDS Sensor и TDS Huntbox.

Первый анализирует трафик, выявляет аномалии и извлекает вредоносные файлы, передаваемые по сети. Второй проводит ретроспективный анализ, внутренний и внешний Threat Hunting, коррелирует информацию и атрибутирует атаки.

Антон Фишман, руководитель Департамента системных решений Group-IB 

TDS обеспечивает периметровую защиту компаний, анализирует и блокирует все потенциальные каналы распространения угроз. Она мониторит трафик, смотрит, нет ли вредоносных коммуникаций или аномалий, проверяет почту и файловые хранилища: нет ли там передачи файлов или ссылок с вредоносным содержимым. TDS может детектировать их, даже если злоумышленники используют новые уязвимости или социально-технические методы обхода защиты

Все данные о подозрительной активности видны пользователю — сотрудникам отдела ИБ или SOC компании: какие хосты заражены, а на каких прямо сейчас происходит атака, какие письма вредоносны и были заблокированы, кто из пользователей в данный момент качает вредоносные файлы и пр.

Продукт построили на основе данных собственной же системы Threat Intelligence. Она исследует атакующих, блокирует внешние угрозы, помогает готовиться к потенциальным атакам. В прошлом году TI попала в отчёт агентства Gartner.

Threat Detection System уже работает в России, странах Западной Европы, Юго-Восточной Азии, Африки. Теперь его сертифицировали в Беларуси.

Сейчас в Беларуси TDS в основном интересуются финансовые организации и ИТ-сектор. Но продукт, по опыту компании, может быть полезен всем сферам, из которых можно увести деньги: энергетика, ритейл, транспорт и др. 

Одна беда: белорусы на стратегию превентивной защиты тратиться не спешат — привыкли обращаться по факту. 

И это несмотря на то, что число успешных атак, по данным МВД, с каждым годом растет: в 2018-м их было 4741, в 2019-м — более 10500. А в 2020, прогнозируют в Group-IB, будет совершено не меньше 13 тысяч киберпреступлений. Вырастет число атак на распределённые инфраструктуры из-за дистанционной работы компаний, киберкриминал станет активней в период кризиса.

Александр Сушко, руководитель по развитию бизнеса Group-IB в Республике Беларусь
В плане обеспечения кибербезопасности нам есть куда расти. Бюджетирование ИБ — то, что еще предстоит пройти бизнесу. Но это понимание придёт в ближайшие три-пять лет из-за изменений в регуляторике. FinCERTby (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) будет для банковской отрасли писать стандарты и рекомендации, как обеспечивать безопасность. Тот же ОАЦ издал ряд указов.

А в 2020 вступит в силу закон «О защите персональных данных». Утечка информации о клиенте станет не только репутационным промахом, а ещё и преступлением, за которое грозит штраф.

Во время пандемии нужно быть особо осторожным. Уже есть примеры фишинговых атак на белорусский банк, связанные с коронавирусом. Group-IB каждый день перехватывает рассылки с вредоносными вложениями. Обо всех случаях компания рассказывает в своем Telegram-канале. Пока подсчитать общее число киберпреступлений на фоне коронавируса сложно. Но их количество, прогнозируют, вырастет. Частично из-за того, что многие компании перевели сотрудников на ремоут.

— На работе периметр защищён, там всё понятно. Но на удалёнке человек тоже работает с конфиденциальной информацией, а дома векторов атаки становится больше: это и эксплуатации уязвимостей в протоколе удаленного рабочего стола, и попытки взломать роутеры, и проблемы, вытекающие из неправильно настроенного VPN-подключения, — говорит Александр Сушко. 

Чтобы предотвратить потенциальные атаки, Group-IB советует удалёнщикам соблюдать правила безопасного ремоута (компания даже выпустила памятку с рекомендациями), а организациям — использовать периметровую защиту.

Threat Detection System противостоит целевым атакам, суть которых не просто в заражении устройства, а в движении вглубь системы. Злоумышленники могут получить доступ к компьютеру, а после добраться до критичного сервера. TDS выявляет атакующего, предотвращает компрометацию сети, защищает каналы распространения угроз.

— Сертификация TDS говорит, во-первых, о том, что продукт соответствует требованиям технического регламента, во-вторых, сертификат предполагает выпуск TDS Sensor и TDS Huntbox в неограниченном количестве до 2024-го года (когда истечёт срок действия документа), — рассказали в Group-IB.

Вот несколько технических особенностей продукта:

  • Коррелирует события из разных источников — объединяет их в единые инциденты для упрощения реагирования.
  • Выявляет и предотвращает различные методы социальной инженерии, которые преступники используют для обхода средств защиты.
  • Интерфейс и поддержка продукта на русском языке. Продукт постоянно обогащается новой информацией и дорабатывается на базе новых индикаторов компрометации.

TDS Sensor

  • Выявляет коммуникации зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств.
  • Извлекает потенциально опасные объекты и отправляет их в изолированную среду. Там  анализирует и выносит вердикт о степени опасности этого объекта.
  • CERT-GIB — команда мониторинга круглосуточно следит, вручную анализирует журналы событий, в случае инцидента подробно описывает угрозу, дает рекомендации по ее блокировке, проводит удаленное реагирование.

TDS Huntbox

  • Управляет инфраструктурой, анализирует данные.
  • Проводит внутренний и внешний Threat Hunting.
  • Объединяет и хранит все данные с других модулей, позволяет управлять ими.
  • Проводит ретроспективный анализ атаки, исследует события, атрибутирует до конкретного семейства вредоносного ПО или даже до конкретной группы атакующих. 
Заказать демо и получить другую информацию о продукте можно здесь.

Хотите сообщить важную новость? Пишите в Телеграм-бот.

А также подписывайтесь на наш Телеграм-канал.

Горячие события

HRgile.club 2021 Online
23 апреля

HRgile.club 2021 Online

Минск

Читайте также

Canalys: в 2020 году было взломано больше данных, чем за предыдущие 15 лет в сумме
Canalys: в 2020 году было взломано больше данных, чем за предыдущие 15 лет в сумме
Canalys: в 2020 году было взломано больше данных, чем за предыдущие 15 лет в сумме
В сети продают базу данных белорусских юзеров. Возможно, это украденная база Petitions.by
В сети продают базу данных белорусских юзеров. Возможно, это украденная база Petitions.by
В сети продают базу данных белорусских юзеров. Возможно, это украденная база Petitions.by
Facebook вскрыла китайских хакеров, которые использовали соцсеть для взломов и слежки
Facebook вскрыла китайских хакеров, которые использовали соцсеть для взломов и слежки
Facebook вскрыла китайских хакеров, которые использовали соцсеть для взломов и слежки
15 тысяч юзеров получили фейковые письма. Что происходит с Petitions.by?
15 тысяч юзеров получили фейковые письма. Что происходит с Petitions.by?
15 тысяч юзеров получили фейковые письма. Что происходит с Petitions.by?
Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже