Threat Hunting Framework Industrial

Комплексный подход к защите корпоративного
и промышленного сегментов

Threat Hunting Framework Industrial interface

Предотвращение ключевых рисков

Саботаж и умышленная авария на производстве

Человеческие жертвы, экологический, репутационный и финансовый ущерб

Шпионаж и кража интеллектуальной собственности

Прямой финансовый ущерб, потеря конкурентных преимуществ

Целевые атаки и массовые угрозы

Простой технологического процесса, потеря данных

Архитектура Threat Hunting Framework

Архитектура Threat Hunting Framework
Соответствие требованиям 187-ФЗ
Сертификат соответствия ФСТЭК
Единый реестр отечественного ПО

Безопасность корпоративной сети

  • Процесс активного поиска угроз на хостах и в сетевом трафике, используя данные киберразведки
  • Активный поиск угроз как в защищаемом периметре, так и за его пределами
  • Исследование внешней инфраструктуры атакующих
  • Изучение поведения вредоносного кода в изолированных средах
  • Изучение аномалий и обнаружение скрытых каналов в сетевом трафике
  • Выявление аномалий в поведении программ и пользователей на хостах
  • Тестирование сценариев реагирования на известные угрозы
  • Удаленное реагирование и компьютерная криминалистика

Безопасность технологической сети

Проникновение в инфраструктуру
  • Попадание вредоносного ПО в технологическую сеть
  • Переход (злоумышленников) из корпоративной сети в технологическую
Передвижение и закрепление в сети
  • Эксплуатация уязвимостей на подключенных устройствах и в сетевом оборудовании
Исполнение
атаки
  • Модификация алгоритма работы программ
  • Нарушение технологического процесса
Разведка и сбор данных
  • Изучение топологии информационной и технологическое сети
  • Сбор индикаторов (fingerprint) об узлах сети
Мониторинг
сети
  • Непрерывная инвентаризация компонентов и процессов сети;
  • Пассивное определение версий ПО и ПЛК;
  • Активная проверка целостности оборудования.
Выявление аномалий
  • Нестандартная сетевая активность в АСУ ТП;
  • Недокументированные возможности промышленных протоколов.
Отслеживание действий
  • Подключения к технологическому оборудованию;
  • Модификация конфигураций ПЛК;
  • Контроль технологических протоколов согласно правилам.

Поддерживаемые протоколы Threat Hunting Framework

Сетевые протоколы:
  • DNS
  • FTP
  • HTTP
  • RDP
  • SMB
  • SMTP
  • SSH
Открытые промышленные протоколы:
  • CIP
  • DNP3
  • IEC 60870-5-104
  • IEC 61850-MMS
  • Modbus TCP
  • OPC-DA
  • OPC-UA
  • MQTT
Проприетарные протоколы производителей оборудования АСУ ТП:
  • Siemens
  • Schneider Electric
  • Rockwell Automation
  • Emerson

Как работает Threat Hunting Framework

  • Трафик
  • Файлы
  • Рабочая станция
  • Другие сетевые объекты
Обнаружение
  • Вредоносное ПО
  • Тактики, техники, процедуры
  • Злоумышленник
  • Инфраструктура атакующих
  • Индикаторы
Хантинг
  • Аномалии
  • Ретроспектива
  • Перемещения внутри сети
  • Глобальные графы
  • Связка в инциденты
Расследование
  • Изоляция
  • Блокировка файлов и процессов
  • Услуги по мониторингу и реагированию с CERT-GIB
  • Интеграция с системами управления и реагирования ИБ (SIEM/SOAR)
Реагирование
Group-IB Threat Intelligence & Attribution
Group-IB Threat Hunting Framework
Huntpoint

Анализ событий APM, выявление угроз и реагирование на хосте

Industrial

Анализ промышленных систем управления на уровне сети

Sensor

Анализ сетевого трафика, выявление аномалий и заражений

Polygon

Поведенческий анализ объектов в изолированной среде

Huntbox

Реагирование, хранение данных и корреляция событий

Decryptor

Расшифровка SSL-шифрованного трафика

CERT-GIB

Мониторинг событий
Аналитика по запросу
Обнаружение угроз (Threat Hunting)
Удаленное реагирование
Управление инцидентами
Разбор критичных угроз

Протестируйте решение
Threat Hunting Framework Industrial

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте