«13 тыс. атак». Как Group-IB будет бороться с киберпреступностью в 2020

Система раннего предупреждения киберугроз Threat Detection System доступна для белорусских пользователей — продукт международной компании Group-IB сертифицировал ОАЦ. В компании рассказали, в чём суть нового решения и почему оно так своевременно для бизнеса и государственного сектора в стране.

1 комментарий

Система раннего предупреждения киберугроз Threat Detection System доступна для белорусских пользователей — продукт международной компании Group-IB сертифицировал ОАЦ. В компании рассказали, в чём суть нового решения и почему оно так своевременно для бизнеса и государственного сектора в стране.

Систему начали разрабатывать в 2013 году. Суть TDS — защита от современных таргетированных атак, в том числе с использованием ранее неизвестного вредоносного кода. Для Беларуси доступны два продукта: TDS Sensor и TDS Huntbox.

Первый анализирует трафик, выявляет аномалии и извлекает вредоносные файлы, передаваемые по сети. Второй проводит ретроспективный анализ, внутренний и внешний Threat Hunting, коррелирует информацию и атрибутирует атаки.

Антон Фишман, руководитель Департамента системных решений Group-IB 

TDS обеспечивает периметровую защиту компаний, анализирует и блокирует все потенциальные каналы распространения угроз. Она мониторит трафик, смотрит, нет ли вредоносных коммуникаций или аномалий, проверяет почту и файловые хранилища: нет ли там передачи файлов или ссылок с вредоносным содержимым. TDS может детектировать их, даже если злоумышленники используют новые уязвимости или социально-технические методы обхода защиты

Все данные о подозрительной активности видны пользователю — сотрудникам отдела ИБ или SOC компании: какие хосты заражены, а на каких прямо сейчас происходит атака, какие письма вредоносны и были заблокированы, кто из пользователей в данный момент качает вредоносные файлы и пр.

Продукт построили на основе данных собственной же системы Threat Intelligence. Она исследует атакующих, блокирует внешние угрозы, помогает готовиться к потенциальным атакам. В прошлом году TI попала в отчёт агентства Gartner.

Threat Detection System уже работает в России, странах Западной Европы, Юго-Восточной Азии, Африки. Теперь его сертифицировали в Беларуси.

Сейчас в Беларуси TDS в основном интересуются финансовые организации и ИТ-сектор. Но продукт, по опыту компании, может быть полезен всем сферам, из которых можно увести деньги: энергетика, ритейл, транспорт и др. 

Одна беда: белорусы на стратегию превентивной защиты тратиться не спешат — привыкли обращаться по факту. 

И это несмотря на то, что число успешных атак, по данным МВД, с каждым годом растет: в 2018-м их было 4741, в 2019-м — более 10500. А в 2020, прогнозируют в Group-IB, будет совершено не меньше 13 тысяч киберпреступлений. Вырастет число атак на распределённые инфраструктуры из-за дистанционной работы компаний, киберкриминал станет активней в период кризиса.

Александр Сушко, руководитель по развитию бизнеса Group-IB в Республике Беларусь
В плане обеспечения кибербезопасности нам есть куда расти. Бюджетирование ИБ — то, что еще предстоит пройти бизнесу. Но это понимание придёт в ближайшие три-пять лет из-за изменений в регуляторике. FinCERTby (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) будет для банковской отрасли писать стандарты и рекомендации, как обеспечивать безопасность. Тот же ОАЦ издал ряд указов.

А в 2020 вступит в силу закон «О защите персональных данных». Утечка информации о клиенте станет не только репутационным промахом, а ещё и преступлением, за которое грозит штраф.

Во время пандемии нужно быть особо осторожным. Уже есть примеры фишинговых атак на белорусский банк, связанные с коронавирусом. Group-IB каждый день перехватывает рассылки с вредоносными вложениями. Обо всех случаях компания рассказывает в своем Telegram-канале. Пока подсчитать общее число киберпреступлений на фоне коронавируса сложно. Но их количество, прогнозируют, вырастет. Частично из-за того, что многие компании перевели сотрудников на ремоут.

— На работе периметр защищён, там всё понятно. Но на удалёнке человек тоже работает с конфиденциальной информацией, а дома векторов атаки становится больше: это и эксплуатации уязвимостей в протоколе удаленного рабочего стола, и попытки взломать роутеры, и проблемы, вытекающие из неправильно настроенного VPN-подключения, — говорит Александр Сушко. 

Чтобы предотвратить потенциальные атаки, Group-IB советует удалёнщикам соблюдать правила безопасного ремоута (компания даже выпустила памятку с рекомендациями), а организациям — использовать периметровую защиту.

Threat Detection System противостоит целевым атакам, суть которых не просто в заражении устройства, а в движении вглубь системы. Злоумышленники могут получить доступ к компьютеру, а после добраться до критичного сервера. TDS выявляет атакующего, предотвращает компрометацию сети, защищает каналы распространения угроз.

— Сертификация TDS говорит, во-первых, о том, что продукт соответствует требованиям технического регламента, во-вторых, сертификат предполагает выпуск TDS Sensor и TDS Huntbox в неограниченном количестве до 2024-го года (когда истечёт срок действия документа), — рассказали в Group-IB.

Вот несколько технических особенностей продукта:

  • Коррелирует события из разных источников — объединяет их в единые инциденты для упрощения реагирования.
  • Выявляет и предотвращает различные методы социальной инженерии, которые преступники используют для обхода средств защиты.
  • Интерфейс и поддержка продукта на русском языке. Продукт постоянно обогащается новой информацией и дорабатывается на базе новых индикаторов компрометации.

TDS Sensor

  • Выявляет коммуникации зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств.
  • Извлекает потенциально опасные объекты и отправляет их в изолированную среду. Там  анализирует и выносит вердикт о степени опасности этого объекта.
  • CERT-GIB — команда мониторинга круглосуточно следит, вручную анализирует журналы событий, в случае инцидента подробно описывает угрозу, дает рекомендации по ее блокировке, проводит удаленное реагирование.

TDS Huntbox

  • Управляет инфраструктурой, анализирует данные.
  • Проводит внутренний и внешний Threat Hunting.
  • Объединяет и хранит все данные с других модулей, позволяет управлять ими.
  • Проводит ретроспективный анализ атаки, исследует события, атрибутирует до конкретного семейства вредоносного ПО или даже до конкретной группы атакующих. 
Заказать демо и получить другую информацию о продукте можно здесь.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

Аналитики назвали самые популярные вредоносные рассылки в этом году
Аналитики назвали самые популярные вредоносные рассылки в этом году
Аналитики назвали самые популярные вредоносные рассылки в этом году
Из-за кибератаки на немецкую больницу умерла женщина
Из-за кибератаки на немецкую больницу умерла женщина
Из-за кибератаки на немецкую больницу умерла женщина
Китай составил «черный список» технологий на экспорт
Китай составил «черный список» технологий на экспорт
Китай составил «черный список» технологий на экспорт
Microsoft, Google, IBM, GitHub создали организацию в поддержку безопасности опенсорсного софта
Microsoft, Google, IBM, GitHub создали организацию в поддержку безопасности опенсорсного софта
Microsoft, Google, IBM, GitHub создали организацию в поддержку безопасности опенсорсного софта

Обсуждение

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже