16 сентября 2021

Трудное окончание «нулевого дня»: «Росгеология» успешно отразила кибератаку с помощью Group-IB Threat Hunting Framework

Group-IB, один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети, совместно с российским геологическим холдингом «Росгеология» объявили о внедрении в промышленную эксплуатацию инновационного решения — Group-IB Threat Hunting Framework Threat Hunting Framework (THF), предназначенного для защиты инфраструктуры предприятий от киберугроз. Решение Group-IB уже позволило остановить и локализовать целевую атаку на госкомпанию со стороны, предположительно, иностранного государства. Ранее Group-IB сообщала, что в первой половине 2021 года, в России было зафиксировано почти в 3 раза больше атак на объекты критической инфраструктуры, чем за весь 2019 год.

«Росгеология» является крупнейшим государственным геологическим холдингом России, предприятиями которого открыто и изучено более тысячи месторождений полезных ископаемых на территории России и десятки — в странах Азии, Африки и Латинской Америки. «Росгеология» обладает разветвленной вычислительной инфраструктурой, выполняющей обработку и интерпретацию данных, полученных при выполнении геофизических и буровых работ на суше и на море.

Цифровизация недропользования — один из основных приоритетов «Росгеологии». Холдинг активно внедряет цифровые технологии, уделяет особое внимание кибербезопасности и защите своей интеллектуальной собственности, связанной с IT-разработками «Росгеологии» и достижениями машиностроения в сфере наземной сейсморазведки и глубоководных геологоразведочных работ. В качестве превентивной меры, позволяющей защитить инфраструктуру от целевых атак, обеспечить непрерывность производственных процессов и защиту оборудования от выхода из строя в результате киберинцидентов, в конце 2020 года госкомпания в «пилотном» режиме установила систему Threat Hunting Framework от Group-IB для проактивной охоты на угрозы (Threat Hunting) как внутри периметра организации, так и за его пределами.

Защищая крупные промышленные объекты, THF позволяет исключить затраты, связанные с простоем предприятия вследствие кибератаки, а также оптимизировать расходы, частично автоматизируя задачи по реагированию и  исследованию инцидентов. За счет корреляции разрозненных оповещений в телеметрии из разных частей инфраструктуры, их автоматического объединения в инциденты, приоритезации, предоставления возможностей оперативного реагирования из единого интерфейса, THF значительно повышает эффективность работы команды ИБ.

Кибервраг не пройдет
В марте 2021 года системой THF был зафиксирован подозрительный вход в защищаемый периметр «Росгеологии», данные были переданы в Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB. Специалистами Group-IB было установлено, что киберпреступники проникли на почтовый сервер и пытаются запустить вредоносную программу. Получив необходимую информацию об атаке, служба безопасности «Росгеологии» оперативно локализовала и ликвидировала угрозу.
Напомним, что весной 2021 года около 100 000 компаний и организаций по всему миру стали жертвой атаки с использованием уязвимости «нулевого дня» в почтовых серверах Microsoft Exchange Server. Пройдя аутентификацию на сервере, атакующие могли получить права администратора, установить вредоносную программу, и похитить данные. Сначала подобные атаки совершала иностранная APT-группа Hafnium, позже этот способ атаки начали использовать другие хакерские группы, например, LuckyMouse, Tick и IronTiger.

Появление новых кибергуроз и широкое распространение вредоносного программного обеспечения, ставит перед нами новые задачи в области кибербезопасности. Стабильная и беспрерывная работа холдинга зависит от надежности, в том числе, цифровых рубежей. Сегодня мало просто установить решение по кибербезопасности. Оно должно представлять возможности сбора данных для расследования инцидента, выявления причин его возникновения, связывать атаки с атакующими и определять их мотивы. Благодаря решению Group-IB мы смогли оперативно отразить целевую атаку без значимых последствий для холдинга.

Станислав Игнатов

Департамент информационной безопасности «Росгеологии»

Борьба с современными целевыми атаками требует комплексного подхода, включающего анализ сетевого трафика, поведения злоумышленников и вредоносного ПО, защиту электронной почты, автоматизацию процессов реагирования и проактивного поиска угроз. Мы рады, что наше решение Threat Hunting Framework успешно прошло фазу опытной эксплуатации и внедрено для защиты такого многопрофильного клиента, как "Росгеология". Важно, что холдинг занимает проактивную позицию и регулярно проводит детальный анализ киберугроз, характерных для отрасли.

Никита Кислицин

Никита Кислицин

Руководитель департамента сетевой безопасности Group-IB

Система Group-IB Threat Hunting Framework была выведена на российский рынок осенью прошлого года. Она автоматизировано коррелирует и группирует все сетевые события в инциденты для сокращения времени их обработки службами безопасности, инженерами и ИТ-специалистами. THF анализирует критичность события в сети, помогая выстроить этапы реагирования на инцидент. Технологии, лежащие в основе THF, имеют ряд российских и международных патентов. THF сокращает издержки на закупку, внедрение, интеграцию и сопровождение разрозненных систем безопасности, закрывающих отдельные узкие направления защиты, а также предотвращает многомиллионный ущерб от простоев производства.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте