Продукты Group-IB

Комплексное решение Group-IB Threat Detection System эффективно защищает от современного вредоносного кода, только попавшего в сеть или уже работающего в ней. Система определяет заражения, которые не замечают стандартные средства защиты: антивирусы, межсетевые экраны, системы предотвращения вторжений.

Работа Group-IB TDS основана на эксклюзивных данных системы мониторинга угроз - Threat Intelligence, которые позволяют выявлять изменения в известных вирусах, новые вредоносные программы, смену тактики атак и адресов командных центров злоумышленников. Обогащение данными Threat Intelligence и выявление скрытой инфраструктуры атакующих позволяют системе детектировать даже самые сложные целевые атаки.

Для выявления угроз используются следующие технические подходы:

• Глубокий анализ сетевого трафика для выявления аномалий и вредоносного трафика;

• Поведенческий анализ файлов и ссылок в изолированных виртуальных средах;

• Выявление аномалий в поведении пользователей и работе программного обеспечения;

• Автоматизированная проверка гипотез наличия неизвестных угроз;

• Использование индикаторов получаемых от Threat Intelligence;

• Корреляция событий, собираемых модулями TDS.

Технологии, используемые при разработке TDS, позволяют эффективно детектировать все ключевые типы угроз, распространяемые и управляемые через компьютерные сети:

• Банковские и мобильные трояны;

• Вредоносное ПО, используемое для осуществления целевых атак в регионе РФ и стран СНГ;

• Средства скрытого удаленного управления;

• Эксплоиты для браузеров и плагинов;

• DDoS- и спам-боты;

• Эксплуатацию уязвимостей в сетевых сервисах и приложениях;

• Другие типы угроз и новые атаки.
  

Благодаря уникальному подходу к обработке событий, их корреляции и обогащению контекстом клиенты получают только проверенную и значимую информацию, необходимую для эффективного реагирования и предотвращения ущерба.

Архитектурно решение состоит из следующих элементов:

Group-IB TDS Sensor – модуль продукта Group-IB TDS, предназначенный для анализа входящих и исходящих пакетов данных. Используя собственные сигнатуры и поведенческие правила Group-IB TDS Sensor позволяет выявлять взаимодействие зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств. Модуль также позволяет извлекать объекты анализа из различных источников для передачи в Group-IB TDS Polygon.

Group-IB TDS Polygon – модуль продукта Group-IB TDS, позволяющий производить поведенческий анализ файлов, извлекаемых из: электронных писем, сетевого трафика, файловых хранилищ, персональных компьютеров и автоматизированных систем, посредством интеграции через API или загружаемых вручную. Group-IB TDS Polygon дополняет функциональность продукта TDS, расширяя возможности по обнаружению вредоносных файлов, нацеленных на защищаемую инфраструктуру.

Group-IB TDS Huntbox – это набор инструментов, необходимых для управления всеми компонентами комплекса, анализа и корреляции событий. В синергии с другими модулями решения осуществляет эффективный процесс проактивного обнаружения угроз - Threat Hunting, централизованное удаленное реагирование на инциденты, автоматический сбор криминалистических данных, ретроспективный анализ и восстановление хронологии атаки. Может служить как дополнительным инструментом SOC, так и его ядром.

Group-IB TDS Huntpoint – модуль продукта Group-IB TDS, который устанавливается на рабочие станции и собирает данные об активности на хостах для выявления аномального поведения и атак. Собранные данные отправляются для анализа, принятия решения и хранения в Group-IB TDS Huntbox, откуда также может быть отдана команда на Group-IB TDS Huntpoint для остановки атаки в реальном времени – изоляция хоста или блокировка вредоносного процесса.

CERT-GIB – специалисты центра мониторинга отслеживают и анализируют события, оперативно уведомляют специалистов организации о критичных угрозах по электронной почте и телефону, а также дают рекомендации по их устранению. Поддержка работает круглосуточно, 365 дней в году. CERT-GIB является партнером IMPACT, аккредитован сообществами FIRST, Trusted Introducer, сертифицирован Университетом Карнеги-Меллона и обладает лицензией на использование товарного знака "CERT".

Дополнительные преимущества решения:

• Удобный веб-интерфейс: управление всеми компонентами комплекса их единого окна, репрезентативная визуализация инцидентов.

• Подробные отчеты: максимальный контекст и глубокий анализ, наглядное отражение по периодам и по типам событий.

• Эффективные коммуникации: полная русскоязычная поддержка, большая часть вопросов решается за 10 мин.

• Гибкие варианты развертывания и простота использования.

• Включенное страхование инцидентов от международных страховых компаний.

Работа Group-IB TDS основана на эксклюзивных данных системы мониторинга угроз - Threat Intelligence, которые позволяют выявлять изменения в известных вирусах, новые вредоносные программы, смену тактики атак и адресов командных центров злоумышленников. Обогащение данными Threat Intelligence и выявление скрытой инфраструктуры атакующих позволяют системе детектировать даже самые сложные целевые атаки.

Для выявления угроз используются следующие технические подходы:

• Глубокий анализ сетевого трафика для выявления аномалий и вредоносного трафика;

• Поведенческий анализ файлов и ссылок в изолированных виртуальных средах;

• Выявление аномалий в поведении пользователей и работе программного обеспечения;

• Автоматизированная проверка гипотез наличия неизвестных угроз;

• Использование индикаторов получаемых от Threat Intelligence;

• Корреляция событий, собираемых модулями TDS.

Технологии, используемые при разработке TDS, позволяют эффективно детектировать все ключевые типы угроз, распространяемые и управляемые через компьютерные сети:

• Банковские и мобильные трояны;

• Вредоносное ПО, используемое для осуществления целевых атак в регионе РФ и стран СНГ;

• Средства скрытого удаленного управления;

• Эксплоиты для браузеров и плагинов;

• DDoS- и спам-боты;

• Эксплуатацию уязвимостей в сетевых сервисах и приложениях;

• Другие типы угроз и новые атаки.

Благодаря уникальному подходу к обработке событий, их корреляции и обогащению контекстом клиенты получают только проверенную и значимую информацию, необходимую для эффективного реагирования и предотвращения ущерба.

Архитектурно решение состоит из следующих элементов:

Group-IB TDS Sensor – модуль продукта Group-IB TDS, предназначенный для анализа входящих и исходящих пакетов данных. Используя собственные сигнатуры и поведенческие правила Group-IB TDS Sensor позволяет выявлять взаимодействие зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств. Модуль также позволяет извлекать объекты анализа из различных источников для передачи в Group-IB TDS Polygon.

Group-IB TDS Polygon – модуль продукта Group-IB TDS, позволяющий производить поведенческий анализ файлов, извлекаемых из: электронных писем, сетевого трафика, файловых хранилищ, персональных компьютеров и автоматизированных систем, посредством интеграции через API или загружаемых вручную. Group-IB TDS Polygon дополняет функциональность продукта TDS, расширяя возможности по обнаружению вредоносных файлов, нацеленных на защищаемую инфраструктуру.

Group-IB TDS Huntbox - это набор инструментов, необходимых для управления всеми компонентами комплекса, анализа и корреляции событий. В синергии с другими модулями решения осуществляет эффективный процесс проактивного обнаружения угроз - Threat Hunting, централизованное удаленное реагирование на инциденты, автоматический сбор криминалистических данных, ретроспективный анализ и восстановление хронологии атаки. Может служить как дополнительным инструментом SOC, так и его ядром.

Group-IB TDS Huntpoint - модуль продукта Group-IB TDS, который устанавливается на рабочие станции и собирает данные об активности на хостах для выявления аномального поведения и атак. Собранные данные отправляются для анализа, принятия решения и хранения в Group-IB TDS Huntbox, откуда также может быть отдана команда на Group-IB TDS Huntpoint для остановки атаки в реальном времени – изоляция хоста или блокировка вредоносного процесса.

CERT-GIB – специалисты центра мониторинга отслеживают и анализируют события, оперативно уведомляют специалистов организации о критичных угрозах по электронной почте и телефону, а также дают рекомендации по их устранению. Поддержка работает круглосуточно, 365 дней в году. CERT-GIB является партнером IMPACT, аккредитован сообществами FIRST, Trusted Introducer, сертифицирован Университетом Карнеги-Меллона и обладает лицензией на использование товарного знака "CERT".

Дополнительные преимущества решения:

• Удобный веб-интерфейс: управление всеми компонентами комплекса их единого окна, репрезентативная визуализация инцидентов.

• Подробные отчеты: максимальный контекст и глубокий анализ, наглядное отражение по периодам и по типам событий.

• Эффективные коммуникации: полная русскоязычная поддержка, большая часть вопросов решается за 10 мин.

• Гибкие варианты развертывания и простота использования.

• Включенное страхование инцидентов от международных страховых компаний.

Продукт Group-IB Secure Bank реализован как SaaS-решение: обеспечивает нацеленную и прозрачную защиту от атак на систему онлайн-платежей непосредственно на клиентской стороне.

Функционал Group-IB Secure Bank в части защиты веб-приложений:  

• идентификация устройства пользователя (device fingerprinting);

• выявление мошеннических внедрений в систему онлайн-платежей на стороне клиента (веб-инъекции);

• обеспечение защиты от фишинг/фарминг-атак;

• выявление несанкционированных удаленных подключений к клиентскому устройству;

• выявление фактов несанкционированного использования учетных данных клиентов;

• выявления автоматического создания или подмены реквизитов платежа;

• определение работы клиента через TOR, proxy и "анонимайзеры";

• мониторинг обращений из браузера клиента к зловредным доменам;

• выявление мошенничества с использованием техник социальной инженерии;

• выявление юридических лиц, занимающихся отмыванием дохода и финансированием терроризма (115-ФЗ);

• предоставление дополнительных вердиктов и скоринговых оценок в систему противодействия мошенничества Заказчика в целях снижения уровня ложно положительных выявлений мошенничества;

• проведение косвенной идентификации пользователя на основе его поведения и характерных особенностей его работы в целевом веб-приложении;

• выявление и блокировка бот-активности;

• выявление доступа со скомпрометированных выделенных серверов или устройств компаний, предоставляющих услуги хостинга и коллокации;

• предоставление дополнительных вердиктов и скоринговых оценок в систему противодействия мошенничества Заказчика в целях снижения уровня ложно положительных выявлений мошенничества;

• выявление новых типов мошеннических атак на клиента.

Функционал SB в части защиты мобильных приложений:

• идентификация мобильного устройства;

• выявление мобильных зловредных приложений;

• выявление смены SIM-карты клиента;

• выявление запуска приложения на эмуляторе мобильного устройства или на неофициальной версии мобильной платформы (рутованное устройство);

• выявление и защита мобильного API от использования "ботов" или сторонних мобильных приложений.

• Group-IB является официальным партнером Interpol и Europol, что позволяет эффективно выявлять и обрабатывать инциденты, источники которых могут находиться в любой точке мира.

• Веб-модуль и мобильный SDK Group-IB Secure Bank работают по общей схеме сетевого взаимодействия, что позволяет снизить расходы на сопровождение инфраструктуры.

• Анализ приложений и поведения клиента производится не на стороне клиента, а на серверной инфраструктуре Group-IB Secure Bank, что позволяет не нагружать устройство клиента.
  

• Анализ поведения пользователя происходит до прохождения авторизации, что позволяет выявлять мошенничество на самых ранних этапах.

• Group-IB Secure Bank использует не только сигнатурный подход, но и алгоритмы поведенческого анализа приложений и пользователя для выявления троянов и схем мошенничества.

Без установки дополнительного программного обеспечения на устройства клиентов Secure Portal в режиме реального времени выявляет:

• несанкционированный доступ к личным кабинетам и персональным данным;
• сбор данных о платежных картах и использование ворованных карт;
• взлом бонусных счетов;
• хищение инвентаря в онлайн-играх;
• использование ботов (для подбора паролей, накрутки голосов, размещения отзывов);
• показ предложений конкурентов на страницах портала;
• совместное использование платной подписки;

и другие схемы мошенничества.

Уникальные источники данных об угрозах

Высокотехнологичная инфраструктура сбора данных об активности киберпреступников дает нам возможность следить за появлением новых тактик мошенничества и оперативно обновлять маркеры подготовки преступных схем.

Киберразведка

Сведения о скомпрометированных банковских картах и учетных записях позволяют предотвращать их использование злоумышленниками, а ежедневно обновляющиеся данные о TOR-узлах, SOCKS-proxy и других подозрительных IP дают возможность быстрее детектировать мошенническую активность.

Криминалистика

Заключения Лаборатории компьютерной криминалистики и исследования вредоносного кода позволяют с высокой точностью устанавливать признаки работы новых программ, используемых для реализации мошеннических схем.

Машинный интеллект

Обрабатывая большой объем данных о поведении клиентов, машины выявляют отклонения и другие аномалии. Аналитики Group-IB выделяют те из них, которые могут свидетельствовать о подготовке и реализации преступной схемы, обучая машины находить ранее неизвестные маркеры мошеннических схем.