1. Вступ
2. Архітектура і функціональні можливості
3. TDS Sensor
4. TDS Polygon
5. SOC Group-IB
6. Особливості впровадження системи
7. Установка і системні вимоги
8. Робота з продуктом
9. Ситуаційний центр і управління повідомленнями
10. Виявлення загроз по сигнатурам
11. Аналіз мережевих аномалій
12. Поведінковий аналіз файлів
13. Робота з базою знань і створення звітів
14. Технічна підтримка та додаткові сервіси
15. Висновки

1. Вступ
2. Архітектура і функціональні можливості
1. 2.1. TDS Sensor
2. 2.2. TDS Polygon
3. 2.3. SOC Group-IB
3. Особливості впровадження системи
4. Установка і системні вимоги
5. Робота з продуктом
1. 5.1. Ситуаційний центр і управління повідомленнями
2. 5.2. Виявлення загроз по сигнатурам
3. 5.3. Аналіз мережевих аномалій
4. 5.4. Поведінковий аналіз файлів
5. 5.5. Робота з базою знань і створення звітів
6. Технічна підтримка та додаткові сервіси
7. висновки

Вступ

Серед співробітників служб інформаційної безпеки компаній абсолютно різних масштабів часто доводиться чути тезу про те, що цілеспрямовані атаки, та й взагалі будь-які серйозні кіберзагрози, - це не про нас. Мовляв, ми ж не Пентагон, ЦРУ або Кремль, а всього лише одне з підприємств величезної країни, кому ми потрібні, тому для запобігання звичайних заражень нам досить традиційних засобів захисту інформації. Тим часом, реальна ситуація з кіберзлочинністю в світі після 2000-х чітко демонструє неефективність класичного підходу до забезпечення безпеки, пов'язаного з використанням традиційних методів захисту. За даними Group-IB, одна тільки угруповання Cobalt викрала близько 1 млрд євро у 100 банків в 40 країнах світу, навіть незважаючи на те, що фінансова галузь завжди дуже трепетно ​​ставиться до безпеки. Згідно з визначенням, цільові атаки - це будь-який напад кіберзлочинців на конкретну обрану ними мета з використанням програмних або програмно-технічних засобів. Вони протиставляються масовим атакам за допомогою вірусів або інших шкідливих програм, в яких жертва вибирається за доступністю. Сьогодні явно домінує мотивація отримання фінансової наживи як основна для зловмисників (самовираження, політичні амбіції, протестні акції і просто розваги зовсім відійшли на другий план), крім того, хакери навіть при масових атаках не гребують застосовувати найсучасніші техніки при обході захисних рубежів, такі як машинне навчання і штучний інтелект. У зв'язку з цим поняття сильно розмиваються, а розхожа приказка «якщо вас ще не зламали, ви про це, швидше за все, просто не знаєте" не здається смішною.

Відповідаючи на виклики, пов'язані з дедалі більшим поширенням складних кіберзагроз, виробники захисних рішень змушені розвивати інтелектуальну складову своїх продуктів. Саме тому особливий інтерес представляє герой сьогоднішнього огляду - TDS, оскільки, на відміну від багатьох інших anti-APT-вендорів, Group-IB при реалізації системи відштовхується від накопичених сильних консалтингових та експертних компетенцій.

Для тестування нам було надано віддалений доступ до стенду з розгорнутою і налагодженою системою TDS, а також організована лабораторна міні-інфраструктура, щоб ми змогли на практиці оцінити принцип роботи і всі можливості продукту.

Архітектура і функціональні можливості

Комплексне рішення Group-IB Threat Detection System (TDS) призначене для виявлення сучасних високотехнологічних атак на ранній стадії. Воно визначає зараження, які пропускають стандартні засоби захисту: антивіруси, міжмережеві екрани, системи запобігання вторгнень. За заявами вендора, застосування TDS істотно знижує ризики, допомагаючи вчасно виявити і запобігти розкрадання, фінансові шахрайства, спроби шпигунства, витік конфіденційної інформації та інші інциденти. Саме по собі рішення є частиною власної екосистеми Threat Intelligence, однак може поставлятися і окремо. У TDS використовуються дані кіберрозвідку, що збираються фахівцями Group-IB по всьому світу, про дії зловмисників, в тому числі інформація про появу нових шкідливих програм і адрес командних центрів, зміни відомих вірусів, різних тактиках атак, а також інформація, отримана в ході реагування на інциденти інформаційної безпеки і розслідувань кіберзлочинів лабораторією комп'ютерної криміналістики Group-IB. У рішенні застосовуються такі основні технічні підходи для виявлення загроз:

• сигнатурний аналіз трафіку;
• виявлення мережевих аномалій методами машинного навчання;
• поведінковий аналіз файлів, які з каналу зв'язку і одержуваних від поштової системи і з інших джерел.

Архітектурно TDS складається з трьох елементів: Sensor, Polygon, SOC Group-IB.

Малюнок 1. Склад системи TDS Group- IB

TDS Sensor

TDS Sensor призначений для аналізу вхідних і вихідних пакетів даних. Він дозволяє виявити небажану і небезпечне мережеве взаємодія, що передаються шкідливі об'єкти, шпигунські програми, засоби віддаленого управління, спроби використання вразливостей, загальні аномалії в мережі компанії і незвичайна поведінка пристроїв. Для роботи Sensor використовує власні сигнатури і поведінкові правила з спеціально розробленої і підтримуваної системи даних про загрози, заснованої на 15-річному досвіді розслідування кіберзлочинів співробітниками Group-IB. При цьому, крім ведення власної бази, Group-IB отримує найактуальніші індикатори компрометації (IOC) в рамках партнерського обміну даними з центрами моніторингу загроз по всьому світу. До таких, наприклад, відносяться: організації з офіційним статусом CERT (Group-IB також є такою), Інерпол і Європол, різні спільноти та об'єднання.

Виявлення загроз за допомогою Sensor здійснюється, нагадаємо, на основі власної бази сигнатур, яку в поточній версії ніяк не можна поправити вручну або вибірково відключити. За запевненням розробників, це пов'язано з тим, що втручання неспеціаліста у вузькій сфері threat hunting і без досвіду тонкої настройки і формального опису сигнатур може привести до серйозного падіння ефективності роботи всієї системи. Однак архітектурно механізм імпорту з використанням YARA-правил у вирішенні закладений, його використання буде використовуватися у таких релізах і очікується вже в поточному році.

Для оцінки шкодочинності файлів необхідно, виходячи з технологічних можливостей і оцінки застосовності, вибрати один з трьох способів мережевий інтеграції Sensor:

1. Пасивний збір файлів з трафіку. Необхідно подати копію внутрішнього трафіку (до NAT і / або Proxy), наприклад, по SPAN. Дозволяє не перебудовувати мережеву інфраструктуру і реалізується мінімальною кількістю налаштувань. Мінус полягає в тому, що при виборі даного способу існує ризик втрати файлів через негарантованої передачі всіх пакетів. При великому навантаженні можливі втрати пакетів даних, часом в обсязі 6-10% від загального числа.
2. ICAP-інтеграція. Необхідно окремо налаштовувати перенаправлення трафіку з проксі чи інших серверів. Плюсом є куди більш висока надійність в плані гарантованої перевірки всіх файлів.
3. Web-API (в ручному режимі, з деякими обмеженнями). З метою персональної інтеграції з деякими рішеннями клієнта може бути використана відкрита Web-API. Спосіб є самим ресурсовитратності і явно не годиться при розгортанні пілотних проектів. Цей варіант розрахований на великі впровадження на складній інфраструктурі.

Крім того, для поведінкового аналізу вкладень до листів, Sensor повинен бути інтегрований з поштовою системою підприємства одним з таких способів:

1. Пасивний збір листів з трафіку. Як ми вже відзначали вище, трафік, одержуваний по SPAN, може бути неповним, що істотно підвищує ймовірність ненадходження на Sensor прикладеного до листа файлу. Саме тому для поштової інтеграції зазвичай використовується один з двох інших механізмів.
2. Отримання листів по POP3 / IMAP. Передбачає створення на поштовому сервері окремого ящика для прихованого копіювання всіх вхідних листів в нього. Далі Sensor по POP3 або IMAP автоматично забирає всю пошту з нього, а потім очищає вже проаналізовані листи за собою.
3. Отримання листів по SMTP. Найбільш популярний спосіб, полягає в налаштуванні правила зеркалирования листів по 25 порту, вимагає окремої настройки обладнання замовника.

Крім перерахованого, існує спосіб аналізу файлів при підключенні системи в inline-режимі. У випадку з поштової інтеграцією встановлюється два Sensor, між якими піднімається VRRP-канал для відмовостійкості. На поштовому сервері IP цих пристроїв вказуються як MTA (Mail Transfer Agent). Для аналізу файлів в web-трафіку при такій інсталяції використовується Proxy з ICAP, сконфігуровані не передавати файли в мережу, поки їх не перевірить комплекс TDS.

Sensor інтегрується з системою поведінкового аналізу TDS Polygon і налаштовується на передачу інформації про виявлені інциденти в SOC Group-IB з безпечного каналу з додатковою можливістю відправки подій по Syslog в будь-яку внутрішню корпоративну систему, наприклад в SIEM.

Локальний інтерфейс, доступний на Sensor, не відрізняється високим рівнем юзабіліті і більше підійде досвідченим, люблячим «поколупатися» (наприклад, Wireshark і іншими подібними інструментами) фахівцям з розслідування інцидентів ІБ. Крім описаного, при виконаної попередньої інтеграції з Polygon, локальний інтерфейс управління Sensor дозволить переглянути оброблені файли і листи з висновком про шкідливість, а також прийняти самостійне рішення про пропуск або не пропускаючи заблокованих елементів з карантину до робочих станцій користувачів. Детальніше про те, як працює режим блокування, піде мова в наступному розділі.

TDS Polygon

TDS Polygon використовується для поведінкового аналізу підозрілих об'єктів в безпечному середовищі (пісочниці), які з каналу зв'язку і одержуваних від поштової системи і з інших джерел. Отримані по електронній пошті або викачані з інтернету файли перевіряються на предмет шкідливої ​​активності до потрапляння на комп'ютери користувачів. Застосування технологій поведінкового аналізу дозволяє виявити раніше невідомі шкідливі програми без використання сигнатур, а також блокувати їх доставку на кінцеві робочі станції.

Після отримання об'єктів на аналіз Polygon емулює їх запуск і оцінює поведінку (середній час оцінки - 2,5 хвилини, воно може варіюватися в залежності від типу файлу) у власній системі розгорнутих віртуальних машин (використовуються стандартні версії популярних операційних систем на кшталт Windows 7 x86 / x64 , з встановленим офісним софтом). Конфігурація і образи цих машин жорстко зашиті в продукт і недоступні для редагування користувачем системи. Однак на вимогу клієнтів техпідтримка Group-IB готова доповнити стандартну комплектацію Polygon бажаними операційками і настройками оточення, головною умовою тут є надання замовником ліцензій на все необхідне програмне забезпечення.

Цікавою фішкою Polygon є запис перших 6 секунд відео поведінки аналізованого об'єкта, як ніби-то його запускав користувач у себе на робочому місці.

Використовуючи вердикти по об'єктах, отримані в ході поведінкового аналізу від Polygon, систему TDS можна налаштувати в режимі блокування пошти. Ця функція буде особливо корисна тим компаніям, в яких безпека при отриманні листів ставиться вище, ніж їх гарантована доставка до адресата. Для реалізації необхідно інтегрувати Sensor в режимі MTA (Mail Transfer Agent) як SMTP-relay. За запевненнями розробника, затримка в доставці листів при включенні такого режиму не перевищує 5 хвилин, а звичайним користувачам в разі позитивної блокування не спадає ніяких повідомлень. При цьому служба ІБ оперативно інформується про такі інциденти і приймає рішення про подальше пропуску або блокування потрапив в карантин файлу.

SOC Group-IB

Центр моніторингу (Security Operations Center - SOC) складається з власної інфраструктури, розгорнутої в приватному хмарі, і команди фахівців Group-IB, які відстежують і аналізують виявлені системою TDS події (TDS-SOC). Експерти TDS-SOC негайно повідомляють фахівців з безпеки організації про критичних погрози по електронній пошті або телефону, а також дають рекомендації по їх усуненню. Підтримка працює цілодобово, круглий рік без вихідних, а самі зазначені послуги вже включені у вартість всього рішення і окремо не тарифікуються. Зведення про виявлені загрози доступні у вигляді звітів за будь-який період часу. Важливою особливістю всього рішення є те, що даний компонент вкрай важливий для застосування при впровадженні, так як вся аналітична частина системи TDS зав'язана саме на нього. Однак, за заявами розробників, восени 2018 року планується випуск виконання з «відчужується SOC».

У перелік послуг TDS-SOC також входить сервіс моніторингу працездатності всього обладнання, яке експлуатується в рамках системи TDS. Дивно, але за послуги SOC розробник не бере додаткової плати. Більш докладно про пристрій компонента SOC поговоримо безпосередньо в ході тестування рішення трохи нижче.

Особливості впровадження системи

Система TDS може бути розгорнута в компанії і використовуватися в одному з трьох варіантів:

1. Sensor, Polygon встановлюються всередині організації, SOC здійснює зовнішню експертну підтримку.

Малюнок 2. Перший сценарій розгортання системи TDS Group- IB

Такий варіант впровадження TDS є найбільш оптимальним, оскільки забезпечує гарантовану безперебійну роботу всіх модулів системи.

1. Sensor встановлюється всередині організації, Polygon - в хмарі Group-IB, SOC здійснює зовнішню експертну підтримку.

Малюнок 3. Другий сценарій розгортання системи TDS Group- IB

Зазначений підхід можна рекомендувати при пілотних впроваджень або в тій ситуації, коли установка Polygon (поставляється виключно у вигляді програмно-апаратного комплексу) на підприємстві вкрай утруднена або неможлива зовсім.

1. Sensor і Polygon встановлюється всередині організації, SOC не вдалося підключитися (такий варіант впровадження доступний вже з осені 2018).

Малюнок 4. Третій сценарій розгортання системи TDS Group- IB

Головною особливістю TDS є технологічна концепція Group-IB, згідно з якою велика частина функцій з управління та експлуатації всієї системи віддається в руки і на сторону експертів SOC. У такій структурі Sensor TDS є DPI-рішенням для аналізу всіх вхідних і вихідних пакетів даних, на якому встановлено набір сигнатур, за допомогою яких визначається шкідлива активність, чорний список адрес контролерів бот-мереж, а також оновлювані щодня правила фільтрації. Якщо в компанії є SIEM-система, Sensor вміє відправляти події в неї, використовуючи syslog. Описаний випадок застосування є єдиним, який дозволяє вести самостійну обробку подій безпеки без їх передачі в Group-IB. Для організацій з підвищеними вимогами до рівня ізоляції внутрішньої інфраструктури вендор пропонує розгорнути локальний центр оновлень (наприклад, в DMZ), в результаті чого Sensor буде повністю ізольований від зовнішнього світу, при цьому базу сигнатур можна підтримувати в актуальному стані.

Установка і системні вимоги

Згідно із загальним підходом компанії Group-IB, при поставці системи TDS фахівці розробника або авторизованого партнера підключаються і допомагають на кожному з етапів впровадження і інтеграції з мережевою інфраструктурою, через що процес самостійної установки як такої практично відсутня.

Sensor може поставлятися як програмно-апаратний комплекс, так і у вигляді софта для установки на залізо або віртуальну машину клієнта. Можливі варіанти і параметри обладнання наведені нижче.

Малюнок 5. Зовнішній вигляд обладнання Sensor системи TDS Group- IB

Таблиця 1. Характеристики обладнання Sensor системи TDS Group- IB

TDS-50 TDS-250 TDS -1000 TDS-5000 Форм-фактор Mini-ITX 1U 1U 1U Розміри (ВхШхГ), мм 43x190x165 42,4х434х394,3 42,4х434х394,3 42,8x482,4x607 Харчування 1 x 90W 1 x 250W 1 x 250W 2x550W Мережеві інтерфейси для прийому трафіку 1 x 1000BASE-T 1 x 1000BASE-T 4 x 1000BASE-T і / або SFP 4 x 1000BASE-T і / або SFP Пікова продуктивність, Мбіт / сек 50 250 1000 5000

Системні вимоги до сервера клієнта або віртуальній машині для установки софта Sensor:

• Процесор - 4 ядра.
• Оперативна пам'ять - 16 Гб.
• Жорсткий диск - 360 Гб.
• Мережеві порти - мінімум 2 шт .: для порту управління і для прийому зеркаліруемого трафіку.

У класичному, «необлачном» виконанні Polygon поставляється замовникам тільки у вигляді програмно-апаратного комплексу. Можливі варіанти і параметри обладнання наведені нижче.

Малюнок 6. Зовнішній вигляд обладнання Polygon системи TDS Group- IB

Таблиця 2. Характеристики обладнання Polygon системи TDS Group- IB

TDS POLYGON STANDART TDS POLYGON ENTERPRISE Форм-фактор 1U 1U Розміри 42,8x482,4x607 42,8x482,4x607 Харчування 2x550W 2x550W Гарантована продуктивність, об'єктів / добу 5000 10000

В силу того, що управління і всі аналітичні можливості вирішення цілком зосереджені в хмарі Group-IB, вимоги, що пред'являються до робочого місця адміністратора, вкрай прості і формальні: будь-який пристрій з встановленим браузером і доступ в інтернет.

Робота з продуктом

После Виконання необхідніх процедур относительно інтеграції системи TDS в корпоративну інфраструктуру компании-клієнта віділяється обліковій Запис від особістом кабінету на Закритому порталі управління системою. Нагадаємо, що в рамках тестування продукту Group-IB надала нам доступ до підготовленої тестової середовищі з уже розгорнутими компонентами TDS.

Ситуаційний центр і управління повідомленнями

На головному екрані користувачеві доступна загальна інформаційна зведення по виявленим системою загрозам, стан сенсора, статистика щодо подій і завантаження каналу. Дизайн інтерфейсів виконаний в класичному стилі, призначення дашборда і графіків інтуїтивно зрозуміло. Всі елементи клікабельні і дозволяють отримати деталізовану інформацію.

Малюнок 7. Центральна консоль управління системи TDS Group- IB

Єдиний, мабуть, мінус в тому, що головний екран не настроюється, поки елементи не можна прибрати, додати або посувати, ніж ми вже розпещені в багатьох інших продуктах. Але і цю опцію розробник обіцяє додати вже цієї осені. Зараз для вибору варіантів відображення набору подій передбачений вибір часового інтервалу, а також 3 режими:

• Параноїдальний - виводяться абсолютно все детектив.
• Збалансований - відображаються події середнього рівня і вище.
• Дзен-режим - показуються виключно критичні спрацювання.

З верхньої частини інтерфейсу завжди можна перейти до відображення і управління повідомленнями. Саме цей розділ менеджмент-панелі є основним каналом оперативної комунікації між безпечники компанії і фахівцями SOC Group-IB. Тут заводяться і обробляються тікети, по кожному з яких доступна деталізація і коментарі учасників.

Малюнок 8. Робота з повідомленнями в системі TDS Group- IB

Виявлення загроз по сигнатурам

Для детального розбору зареєстрованої системою TDS шкідливої ​​активності використовується розділ Події, в який можна також «провалитися» прямо з дашборда на головному екрані. Для зручності сприйняття всі події об'єднані в ланцюжки, пов'язані між собою в рамках одного кейса. Найзручніше тут - це інтелектуальна рядок пошуку. Вона дозволяє швидко фільтрувати непотрібні дані, використовуючи простий і зрозумілий синтаксис, довідка щодо застосування якого також під рукою.

Малюнок 9. Пошук по ланцюжках подій в системі TDS Group- IB

Відшукавши потрібну шкідливу активність, отримуємо повну розкладку по ній. Якщо виводиться на екран докладної інформації про джерело і жертві виявилося недостатньо, можна скачати PCAP-файл із записом трафіку в «сирому» вигляді і відтворити її для проведення більш детального розслідування (наприклад, за допомогою утиліти Wireshark). Відзначимо, що інформація про те, що відбувається на конкретних хостах - цілях атаки, не наводиться, це прерогатива вже суміжних рішень, наприклад EDR (Endpoint Detection and Response). Group-IB активно працює в цьому напрямку і обіцяє випустити пілотні версії рішення подібного класу вже в цьому році.

Малюнок 10. Деталізація подій в системі TDS Group- IB

Чи не втомлюємося повторювати, що основні компетенції Group-IB пов'язані з областю Threat Intelligence і розслідуванням кіберзлочинів, саме тому знайомство з детальною інформацією по конкретній спрацювала сигнатуре для нас було самим довгоочікуваним. Отже, крім словесного опису характеру шкідливого впливу, доступна інформація про функціональність, модулях, адреси керівників центрів і навіть приведена деталізація по відомим деструктивних дій, таким як модифікація файлів або гілок реєстру операційної системи. Як вже зазначалося раніше, ніякі дані, пов'язані з IOC (індикаторами компрометації) загрози, користувачеві змінювати не можна.

Малюнок 11. Дослідження загрози в системі TDS Group- IB

Аналіз мережевих аномалій

Принцип розбору детектованих системою TDS мережевих аномалій в цілому аналогічний роботі з сигнатурним аналізом і передбачає роботу з такою ж зручною пошуковим рядком. Алгоритми визначення шкідливої ​​активності збудовані згідно з концепцією DGA (Domain Generation Algorithms). Цікаво, що по кожній виявленій потенційну загрозу відображається скоринг шкодочинності, який в ході всього нашого тестування не помилявся, показуючи по всьому спрацювання ймовірність, близьку до 100%.

Малюнок 12. Аналіз мережевих аномалій в системі TDS Group- IB

Поведінковий аналіз файлів

Переходячи до розслідування, пов'язаного з поведінковим аналізом об'єктів модулем Polygon, опустимо опис вже звичної роботи з ланцюжками подій. Вибираємо серед них цікавить файл, дивимося інформаційну зведення по ньому. Відзначимо, що детальний звіт по кожному такому шкідливий можна вивантажити в вигляді красивого pdf-документа. Цікаво, що ніколи не будучи антивірусним вендором, Group-IB тільки з поведінкового аналізу може збирати таку велику кількість реально корисної інформації і файлах, та ще й зі 100% вірогідністю визначати його шкідливість.

Малюнок 13. Детектування шкідливих файлів модулем Polygon в системі TDS Group- IB

Для докладного вивчення крім загальної інформації доступний аж ніяк не маленький список поведінкових маркерів, ранжируваних за загальним вагового внеску в підсумковий вердикт (особливо шкідливі, шкідливі, інші). Все спіймані небезпечні об'єкти можна скачати для самостійного вивчення в лабораторних умовах. Якщо вкладення прийшло по електронній пошті, система також розбирає структуру письма і дозволяє завантажити його цілком або витягнути окремо адреси та посилання.

Малюнок 14. Розбір поведінкових маркерів шкідливих файлів в системі TDS Group- IB

Для отримання інформації про те, до яких потенційно небезпечних ресурсів спробував звернутися об'єкт, доступні відомості по його мережеву активність.

Малюнок 15. Аналіз мережеву активність шкідливих файлів в системі TDS Group- IB

Корисним також може стати вивчення дерева процесів, так чи інакше задіяних або новостворюваних шкідливим файлом. За всім зібраним доказам стає зрозумілою загальна картина і вся послідовність дій небезпечного об'єкта так, як ніби-то його запускав у себе на робочий станції користувач. Якщо і цього виявиться недостатньо, можна подивитися 6-секундне відео про те, що відбувається з емуліруемой системою після зараження.

Малюнок 16. Вивчення дерева процесів шкідливого файлу в системі TDS Group- IB

Робота з базою знань і створення звітів

Покінчивши з виявленням загроз і провівши розслідування всіх цікавлять шкідливих активностей, відзначимо ряд додаткових можливостей системи TDS. Крім стандартних налаштувань користувачів і інших деталей, одна з таких - централізована база знань про погрози.

Малюнок 17. Робота з базою знань в системі TDS Group- IB

По кожній з відомих Group-IB масових атак, гучних заражень, бот-мереж і інших шкідливих активностей, є вичерпний опис, аналогів якому за ступенем подробиці і глибини подачі матеріалу в світі, як нам здається, не так вже й багато. В ході тестування ми не змогли пройти повз і ще раз ознайомилися з деякими гучними вірусними епідеміями. Відзначимо, що крім довідкових даних наводяться конкретні рекомендації щодо зниження ймовірності зараження, що включають як технічні заходи, так і стратегію захисту.

Малюнок 18. Інформація по відомим заражень в системі TDS Group- IB

Запорука успішного і показового застосування будь-яких засобів захисту - продумана система побудови звітів. Система TDS дозволяє вивантажувати технічну зведення по одному з чотирьох попередньо встановлених шаблонів в форматах pdf, csv, xlsx, які недоступні до редагування.

Малюнок 19. Створення звітів в системі TDS Group- IB

Окремо відзначимо, що експерти Group-IB в рамках обслуговування і надання модуля SOC за запитом готують спеціалізовані бізнес-звіти про стан інформаційної безпеки на підприємстві для керівництва (наприклад, на щоквартальній основі).

Технічна підтримка та додаткові сервіси

Крім вже описаного величезного пакета послуг (включаючи цілодобову техпідтримку) в рамках SOC, що входить в комплексну систему TDS, Group-IB пропонує своїм клієнтам широкий спектр додаткових сервісів. В основному вони пов'язані з традиційним для компанії бізнесом, таким як моніторинг атак, реагування на інциденти і розслідування кіберзлочинів. Крім того, фахівці Group-IB можуть провести аудити безпеки, організувати захист бренду в мережі, а також ICO- і блокчейн-проектів.

В рамках даного огляду окремо варто зупинитися на страховці від кіберрісков. Пріобрeтая TDS, клієнти Group-IB отримують те, про що всі давно мріяли - можливість реального матеріального відшкодування в разі, якщо реалізувалася та чи інша загроза, а система не спрацювала. Поліс надається партнером - великої міжнародної страховою компанією AIG (American International Group) і поширюється на ризики витоку корпоративних або персональних даних та порушень безпеки комп'ютерної системи, викликаних зараженням або пошкодженням інформації, в тому числі з використанням як шкідливих програм, так і методів соціальної інженерії ( обман, підкуп співробітників і т. п.). Обмовимося, що поліс покриває заздалегідь обумовлені страхові випадки, а саме:

• збитки, пов'язані з порушеннями даних і безпеки інформаційних систем;
• витрати, пов'язані з розслідуванням скоєних злочинів в комп'ютерній сфері;
• витрати, пов'язані з питаннями реагування на описані вище інциденти.

Висновки

Ми ознайомилися з функціями, особливостями впровадження і протестували на практиці cистему раннього попередження кіберзагроз TDS від Group-IB. Поза всякими сумнівами, підходи до реалізації рішення міцно закріплять за ним славу «захисту від цілеспрямованих атак з хмарним інтерфейсом» і «SOC в комплекті». Вигідне використання своїх кращих компетенцій при розвитку і просуванні продукту виглядає щонайменше цікавим, а по факту - вкрай професійним по відношенню до замовника.

Як продукт, Group-IB TDS дуже простий у використанні, має зрозумілий і зручний інтерфейс. В умовах гострої нестачі фахівців вузьких компетенцій на ринку інформаційної безпеки допомогу в експлуатації складного рішення для захисту від цілеспрямованих атак з боку професіоналів дуже актуальна. TDS можна вважати скоріше сервісом з встановлюваним додатковим обладнанням на стороні клієнта, ніж навпаки. Важливим плюсом рішення є також те, що при відсутності автоматизованої реакції на інциденти система TDS надає максимально докладні рекомендації по нейтралізації виявлених загроз, що включають як технічні, так і організаційні методи протидії.

Оскільки структура самого бізнесу Group-IB побудована інакше, ніж у інших вендорів аналогічних TDS рішень, важливим плюсом продукту є доступ продукту до різних джерел даних, агрегіруемих як on-site-способом (то, що збирається в ході аналізу трафіку і файлів на стороні клієнта), так і видобуваються в ході реагувань на інциденти інформаційної безпеки (Incident Response), розслідувань кіберзлочинів, комп'ютерної криміналістики, кіберрозвідку.

Незважаючи на давно з'явився на ринку клас рішень по боротьбі з цілеспрямованими атаками і включення в процес іменитих (в тому числі вітчизняних) розробників, ця тема по-справжньому поки так і не вистрілила. Сьогодні ми переживаємо новий виток інтересу до таких систем, пов'язаний не стільки з «продажем страху», а й з двома основними технологічними факторами. Перший - розвиток напрямку реагування (в тому числі в рамках EDR-рішень), обумовлене загальним розумінням, що з виявленими складними погрозами в результаті потрібно щось робити, бажано давши при цьому реальний інструмент в руки користувачеві. Другий - нарощування аналітичних можливостей і підвищення ступеня автоматизації, пов'язані з бажанням наблизитися до тієї самої «однієї кнопки», яка і рішення буде приймати сама, і знешкоджувати атаки зі стовідсотковою точністю. Таким чином, по обом пунктам у системи TDS від Group-IB існують чіткі перспективи для розвитку, і якщо з другим все і так зрозуміло, то за першим ведеться робота в правильному напрямку - вендор обіцяє випустити повноцінне EDR-рішення, перша версія якого (поки в пасивному режимі) запланована вже на 2018 рік.

Преимущества

• Простота використання і зручність інтерфейсу.
• Безкоштовна обробка виявлених інцидентів фахівцями SOC Group-IB.
• Виявлення мережевих атак по сигнатурам, виявлення мережевих аномалій і мережева пісочниця в одному продукті.
• Моніторинг загроз та інфраструктури завжди в режимі 24/7/365.
• Повнота наданих поведінкових звітів.
• Вичерпна деталізація по загрозам, векторах атак, заражень.

Недоліки

• Немає можливості відключати, правити, додавати свої сигнатури (передбачається додати її в 2018 році).
• Відсутня компонент моніторингу робочих місць вбудованого реагування (EDR) (очікується до кінця 2018 року).
• Ні сертифікатів ФСТЕК Росії, ФСБ Росії на продукти, відсутність в реєстрі вітчизняного ПО (процес сертифікації повинен завершитися в 2018 році).