26 ноября 2020

Квантовый скачок в кибербезопасности: Group-IB вывела на рынок новый класс решений для охоты за хакерами и предотвращения кибератак

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, раскрыла результаты многолетней разработки собственных высокотехнологичных продуктов для исследования киберугроз и охоты за атакующими — Threat Intelligence & Attribution и Threat Hunting Framework. Умная экосистема Group-IB, объединившая инновационные запатентованные технологии компании в сфере кибербезопасности, впервые была представлена в рамках международной конференции CyberCrimeCon 2020.

Group-IB первой в мире создала систему нового класса Threat Intelligence & Attribution, способную гибко формировать карту угроз под конкретную компанию, динамически выстраивая связи между разрозненными событиями и атрибутируя атаку до конкретной хакерской группы. Она стала результатом многолетней передовой разработки собственных технологий Group-IB для исследования киберугроз и охоты за атакующими. Появление на рынке TI&A знаменует собой открытие нового класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры. Аналогов TI&A сегодня на мировом рынке нет.

Второй инновационной премьерой нового класса стала комплексная система Threat Hunting Framework, предназначенная для защиты ИТ и технологических сетей от неизвестных ранее угроз и целевых атак, поиска угроз как внутри, так и вне сети, а также расследования инцидентов кибербезопасности и немедленного реагирования на них в целях минимизации последствий.

По данным аналитического отчета Hi-Tech Crime Trends 2020-2021, посвященного исследованию высокотехнологичных преступлений в мире, сращивание разных слоев киберкриминального андеграунда привело к появлению новых угроз, следствием которых стало увеличение ущерба от атак. Так, по самым минимальным подсчетам аналитиков, суммарный ущерб, причиненный компаниям в 45 странах от публично известных атак программ-шифровальщиков составил свыше $1 млрд. Взрывными темпами рос рынок продажи доступов в скомпрометированную инфраструктуру компаний: за год он увеличился в 4 раза и достиг $6 189 388. Количество «продавцов» взлетело до 63, среди них — как представители киберкриминала, так и прогосударственные атакующие. Объем рынка кардинга, связанного с кражей данных банковских карт, вырос на 116% по сравнению с прошлым периодом и вплотную приблизился к $2 млрд. В этих условиях коммерческий сектор и государственные предприятия вынуждены переоценить свои стратегии защиты, делая упор на хантинг за угрозами, релевантными для своей сферы деятельности.

Сегодня Group-IB впервые представила результаты эволюционного развития собственных продуктов для расследования высокотехнологичных преступлений и предотвращения кибератак Threat Hunting Framework и Threat Intelligence & Attribution. Сложные инженерные разработки Group-IB интегрированы между собой и объединены в умную технологическую экосистему, способную полностью автоматизированно останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и реагирования на инцидент. В их основе — запатентованные технологии и изобретения инженерных команд и аналитиков Group-IB.

Динамика развития киберпреступности сигнализирует рынку о том, что основную массу угроз вы должны уметь отражать автоматически, но этого мало. Злоумышленники, располагающие деньгами, умом и ресурсами, со временем научатся обходить любую автоматизированную систему обнаружения. Нужно быть готовым к этому, наращивая опыт хантинга за угрозами с помощью заточенных под это инструментов. В этой борьбе недопустима простая блокировка: завтра вас атакуют с учетом того, как вы остановили угрозу сегодня. Хантинг — это постоянный процесс, построенный на умении использовать огромные массивы данных, начиная от системных событий и мета-данных трафика и заканчивая доменами, хостами и профайлами атакующих группировок. Уметь работать с этим — значит обладать профессией „третхантера“ — охотника за киберугрозами и хакерами. Это и есть будущее кибербезопасности.

Дмитрий Волков

Дмитрий Волков

CTO Group-IB

Инженерная команда Group-IB руководствуется несколькими принципами при создании технологий. Во-первых, системы и алгоритмы обнаружения должны «знать» злоумышленников, а специалисты по кибербезопасности — получать либо качественное техническое обоснование, либо полный разведывательный контекст об угрозе: кто атакует, какова мотивация атакующих, какова их тактика, какими инструментами пользуются и что потенциально будут использовать при дальнейших попытках атак. Система защиты должна эффективно обнаруживать и немедленно блокировать угрозы, но сегодня этого недостаточно. Для построения работающих стратегий кибербезопасности детектирование  —лишь начало работы.

Во-вторых, процесс обогащения данными систем защиты должен быть автоматизирован. Для этого механизм анализа выходит за рамки простого обнаружения угрозы: крайне важно извлечь и полностью запустить вредоносный код в безопасной изолированной среде, собрав «урожай» из индикаторов, которые помогут в дальнейшем хантинге за угрозами в сети. В-третьих, хантинг приходит на смену поиска угроз для того, чтобы найти то, что могло быть упущено в прошлом и потенциально может быть использовано злоумышленниками в будущем.

Обнаружить угрозу — недостаточно

Group-IB Threat Hunting Framework — инновационное решение для унифицированной защиты предприятия целиком: от традиционных IT-сегментов до рабочих мест удаленных сотрудников и технологических сегментов (ОТ-сетей) производственных предприятий. Единая платформа безопасности и единые стандарты защиты для таких разных окружений — несомненная инновация для рынка информационной безопасности, меняющая привычный расклад в индустрии. Единственная в своем классе интегрированная платформа безопасности, использующая технологии искусственного интеллекта, определяет единые стандарты защиты для таких разных окружений — это «квантовый скачок» рынка информационной безопасности, меняющий привычный расклад в индустрии.

Ключевыми задачами нового продукта являются обнаружение неизвестных ранее угроз и целевых атак, блокировка задетектированных угроз и предоставление автоматизированных инструментов для обнаружения связанных угроз как внутри, так и за пределами защищенного периметра, а также расследование инцидентов кибербезопасности и реагирование на них. Архитектура Threat Hunting Framework включает несколько основных функциональных модулей, каждый из которых несет ряд инноваций и по своей функциональности выходит за рамки существующих продуктовых категорий, по сути определяя принципиально новые типы инструментов защиты от кибератак.

Для выявления угроз на сетевом уровне за счет глубокого анализа сетевого трафика и поддержки сотен сетевых протоколов используется Sensor. Решение выявляет угрозы и зараженные узлы, анализируя сетевой трафик, и предоставляет защиту не только традиционным IT-сегментам, но и промышленным сетям при помощи своего Sensor Industrial, обеспечивающего контроль целостности программного обеспечения и прошивок узлов АСУ ТП за счет анализа промышленных протоколов и комплексной защиты сети, детектируя угрозы гибко настраиваемыми политиками и специальным классификатором, использующим машинное обучение.

Еще одна инновация Group-IB — технология анализа файлов Polygon, устанавливающая новые отраслевые стандарты для анализа файлов. Эта платформа создана для «детонации» вредоносного кода. Она детектирует угрозы за счет поведенческого анализа электронных писем, файлов и содержимого ссылок и запускает вредоносный код в изолированной среде, вызывая его «детонацию» — максимально полное выполнение, позволяющее получить обогащенные индикаторы атаки и выполнить атрибуцию обнаруженной угрозы.

Электронная почта по-прежнему является ключевой системой для начального проникновения киберпреступников в сеть компаний. Это проблема, влияющая на бизнес любого масштаба. Отвечая на этот вызов, Group-IB впервые представила облачное решение для защиты электронной почты Atmosphere, главная цель которого сделать передовые технологии выявления угроз в электронной почте доступными и простыми во внедрении, оставляя при этом саму технологию частью Threat Hunting Framework и предоставляя не только качественную фильтрацию вредоносных электронных писем, но и все остальные преимущества платформы THF: полную детонацию вредоносного кода, атрибуцию атак и интеграцию с другими модулями экосистемы.

Также Group-IB представила инновационную защиту для рабочих станций пользователей — Huntpoint. Этот модуль фиксирует полную хронологию событий на компьютере сотрудника, делает ее доступной как для наблюдения в реальном времени, так и ретроспективно, обеспечивая обнаружение аномального поведения, блокировку вредоносных файлов,
мгновенную изоляцию атакованных хостов и сбор криминалистически значимых данных для дальнейшего исследования.

За полностью автоматизированный анализ и корреляцию событий в сети отвечает Huntbox. Этот модуль предоставляет полную картину происходящего внутри и вне сети, помогая проактивно охотиться за угрозами и выявлять действия атакующих группировок, направленных конкретно на компанию. Также возможности комплексной платформы Group-IB Threat Hunting Framework усилены за счет функционала модуля Decryptor для расшифровки TLS/SSL-трафика в защищаемой инфраструктуре. Реализована поддержка российских протоколов шифрования по ГОСТ.

Group-IB открывает доступ к своим внутренним инструментам слежения за хакерами

Одна из самых высоконагруженных систем Group-IB, оперирующая данными о хакерских группах, их инструментах и инфраструктуре, Threat Intelligence & Attribution, шагнула на несколько уровней вверх. Появление на рынке TI&A знаменует собой открытие нового класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры.

Объединяя в себе уникальные источники данных, опыт расследования высокотехнологичных преступлений и реагирования на сложные многоступенчатые атаки по всему миру, именно TI&A во многом «накачивает» данными для хантинга за атакующими и угрозами все остальные продукты Group-IB. Система хранит данные о хакерах и их связях, доменах, IP, инфраструктуре за 15 лет, включая те, что преступники пытались удалить. Обширный функционал позволяет настраивать ее под ландшафт угроз не только отдельной отрасли, но и отдельной компании в конкретной стране.

В центре внимания новой TI&A — атакующие. Вокруг них выстроена вся идеология системы: выявить не только угрозу, но того, кто за ней стоит. Массивы данных, которыми она оперирует, помогают оперативно связывать атаку с группировкой или конкретными персоналиями. TI&A умеет анализировать и атрибутировать угрозы, с которыми уже столкнулась компания, обнаруживать утечки и компрометацию пользователей, идентифицировать инсайдеров, торгующих данными компании на андеграудных ресурсах, выявлять и блокировать атаки, нацеленные на компанию и ее клиентов, независимо от отрасли.

Вывод на рынок TI&A открывает доступ к внутренним инструментам Group-IB, до этого времени использовавшимся исключительно командами реагирования, хантинга и киберразведки компании. Теперь каждому специалисту, использующему TI&A, доступен поиск по крупнейшей коллекции данных даркнета, продвинутая модель профилирования хакерских групп, а также полностью автоматизированный графовый анализ, который за секунды помогает провести корреляцию данных и атрибутировать угрозы до конкретной преступной группировки или физического лица.

Таким образом, TI&A позволяет обнаруживать атаки, не покрываемые традиционными средствами защиты, глубже понимать методы работы продвинутых атакующих, а также оценивать, может ли им противостоять защищаемая инфраструктура. Такой подход помогает мотивировать и совершенствовать внутренние команды кибербезопасности, а также усиливать их экспертизу за счет глубокого понимания ландшафта угроз для защищаемой инфраструктуры.

TI&A — сложная инженерная разработка Group-IB, интегрированная в умную технологическую экосистему, способную полностью автоматизированно останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и немедленного реагирования на инцидент.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 18-летний опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте