Киберразведка по подписке — выявление угроз, утечек, взломов и хакерской активности до того, как они смогут вам навредить.
Комплексное решение Group-IB Threat Detection System эффективно защищает от современного вредоносного кода, только попавшего в сеть или уже работающего в ней. Система определяет заражения, которые не замечают стандартные средства защиты: антивирусы, межсетевые экраны, системы предотвращения вторжений.
Работа Group-IB TDS основана на эксклюзивных данных системы мониторинга угроз - Threat Intelligence, которые позволяют выявлять изменения в известных вирусах, новые вредоносные программы, смену тактики атак и адресов командных центров злоумышленников. Обогащение данными Threat Intelligence и выявление скрытой инфраструктуры атакующих позволяют системе детектировать даже самые сложные целевые атаки.
Для выявления угроз используются следующие технические подходы:
-
Глубокий анализ сетевого трафика для выявления аномалий и вредоносного трафика;
-
Поведенческий анализ файлов и ссылок в изолированных виртуальных средах;
-
Выявление аномалий в поведении пользователей и работе программного обеспечения;
-
Автоматизированная проверка гипотез наличия неизвестных угроз;
-
Использование индикаторов получаемых от Threat Intelligence;
-
Корреляция событий, собираемых модулями TDS.
Технологии, используемые при разработке TDS, позволяют эффективно детектировать все ключевые типы угроз, распространяемые и управляемые через компьютерные сети:
-
Банковские и мобильные трояны;
-
Вредоносное ПО, используемое для осуществления целевых атак в регионе РФ и стран СНГ;
-
Средства скрытого удаленного управления;
-
Эксплоиты для браузеров и плагинов;
-
DDoS- и спам-боты;
-
Эксплуатацию уязвимостей в сетевых сервисах и приложениях;
-
Другие типы угроз и новые атаки.
Благодаря уникальному подходу к обработке событий, их корреляции и обогащению контекстом клиенты получают только проверенную и значимую информацию, необходимую для эффективного реагирования и предотвращения ущерба.
Архитектурно решение состоит из следующих элементов:
Group-IB TDS Sensor – модуль продукта Group-IB TDS, предназначенный для анализа входящих и исходящих пакетов данных. Используя собственные сигнатуры и поведенческие правила Group-IB TDS Sensor позволяет выявлять взаимодействие зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств. Модуль также позволяет извлекать объекты анализа из различных источников для передачи в Group-IB TDS Polygon.
Group-IB TDS Polygon – модуль продукта Group-IB TDS, позволяющий производить поведенческий анализ файлов, извлекаемых из: электронных писем, сетевого трафика, файловых хранилищ, персональных компьютеров и автоматизированных систем, посредством интеграции через API или загружаемых вручную. Group-IB TDS Polygon дополняет функциональность продукта TDS, расширяя возможности по обнаружению вредоносных файлов, нацеленных на защищаемую инфраструктуру.
Group-IB TDS Huntbox – это набор инструментов, необходимых для управления всеми компонентами комплекса, анализа и корреляции событий. В синергии с другими модулями решения осуществляет эффективный процесс проактивного обнаружения угроз - Threat Hunting, централизованное удаленное реагирование на инциденты, автоматический сбор криминалистических данных, ретроспективный анализ и восстановление хронологии атаки. Может служить как дополнительным инструментом SOC, так и его ядром.
Group-IB TDS Huntpoint – модуль продукта Group-IB TDS, который устанавливается на рабочие станции и собирает данные об активности на хостах для выявления аномального поведения и атак. Собранные данные отправляются для анализа, принятия решения и хранения в Group-IB TDS Huntbox, откуда также может быть отдана команда на Group-IB TDS Huntpoint для остановки атаки в реальном времени – изоляция хоста или блокировка вредоносного процесса.
CERT-GIB – специалисты центра мониторинга отслеживают и анализируют события, оперативно уведомляют специалистов организации о критичных угрозах по электронной почте и телефону, а также дают рекомендации по их устранению. Поддержка работает круглосуточно, 365 дней в году. CERT-GIB является партнером IMPACT, аккредитован сообществами FIRST, Trusted Introducer, сертифицирован Университетом Карнеги-Меллона и обладает лицензией на использование товарного знака "CERT".
Дополнительные преимущества решения:
-
Удобный веб-интерфейс: управление всеми компонентами комплекса их единого окна, репрезентативная визуализация инцидентов.
-
Подробные отчеты: максимальный контекст и глубокий анализ, наглядное отражение по периодам и по типам событий.
-
Эффективные коммуникации: полная русскоязычная поддержка, большая часть вопросов решается за 10 мин.
-
Гибкие варианты развертывания и простота использования.
-
Включенное страхование инцидентов от международных страховых компаний.