Group-IB Threat Hunting Framework
(ранее Threat Detection Service, TDS)

Продукт
Разработчики: F.A.C.C.T. (ранее Group-IB в России)
Дата последнего релиза: 2020/11/26
Технологии: ИБ - Антивирусы,  ИБ - Антиспам,  ИБ - Межсетевые экраны,  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Основные статьи:

Threat Hunting Framework (прежние названия: Group-IB Threat Detection Service, Bot-trek Threat Detection Service (TDS)) — это комплексное решение для защиты от сложных киберугроз, основанное на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.

2023: ФСТЭК остановила действия сертификатов ПО F.A.C.C.T. для работы в КИИ

18 декабря 2023 года стало известно о том, что программные комплексы для обеспечения безопасности российской компании F.A.C.C.T. (бывшее подразделение Group-IB в РФ) могут лишиться сертификата Федеральной службы технического и экспортного контроля (ФСТЭК). В результате, использование продуктов на объектах критической информационной инфраструктуры (КИИ) в России станет невозможно. Подробнее здесь.

2021

В составе решения для защиты объектов КИИ

6 июля 2021 года компания Group-IB сообщила о подписании с промышленным холдингом АО «РОТЕК» соглашения о сотрудничестве для обеспечения технологической и кибербезопасности объектов критической инфраструктуры.

В рамках сотрудничества все технологические риски клиентов, связанные с предотвращением аварий, закрывает программно-аппаратный комплекс РОТЕКА — «ПРАНА», а разработка Group-IB Threat Hunting Framework Industrial обеспечивает комплексную защиту всех сегментов предприятий от сложных кибератак различного диапазона; как от прогосударственных хакерских групп, так и финансово мотивированного киберкриминала. Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser 149 т

Программно-аппаратный комплекс РОТЕКа — «ПРАНА» уже получил применение в топливно-энергетическом комплексе: ежегодно на объектах генерации единой энергосистемы регистрируется более 3000 аварий, из них — более 45% на турбинном и котельном оборудовании.

За несколько часов вынужденного простоя из-за аварии или кибератаки компания может понести убытки в десятки миллионов рублей. Совместное решение позволит АСУ и ИБ специалистам наблюдать и заблаговременно принимать меры по предотвращению инцидентов, вызванных как эксплуатационным износом оборудования, так и вследствие кибератак.

Как работает Group-IB Threat Hunting Framework

Как работает Group-IB Threat Hunting Framework — система для защиты от сложных целевых атак и проактивной охоты за угрозами внутри и за пределами сетевого периметра компании в апреле 2021 года TAdviser рассказали в компании Group-IB. Подробнее здесь.

В составе совместного с «Кредо-С» сервиса защиты от киберугроз

19 февраля 2021 года Group-IB, международная компания, специализирующаяся на предотвращении кибератак, и российский системный интегратор «КРЕДО-С» запустили сервис для обнаружения неизвестных ранее угроз и целевых атак в формате Security as a Service (SECaaS). Его технологической основой является Threat Hunting Framework (THF)— решение Group-IB, которое обеспечивает защиту от широкого спектра угроз, среди которых программы-шифровальщики, эксплойты, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных, как внутри, так и за пределами защищенного периметра. В рамках партнерской программы MSSP (Managed Security Service Provider), «КРЕДО-С» и Group-IB будут обеспечивать две линии круглосуточной поддержки и реагирования на киберинциденты для клиентов интегратора. Подробнее здесь.

2020

В основе совместного с «ВымпелКомом» облачного «Сервиса защиты от киберугроз»

16 декабря 2020 года компания Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сообщила, что совместно с "Билайн Бизнес" (структурное подразделение ПАО «ВымпелКом»), запустила «Сервис защиты от киберугроз» - облачный сервис по защите от киберугроз для клиентов оператора из сегмента среднего и крупного бизнеса. Услуга реализована на базе комплексного решения Group-IB Threat Hunting Framework. Подробнее здесь.

Вывод на рынок Threat Hunting Framework

26 ноября 2020 года Group-IB, международная компания, специализирующаяся на предотвращении кибератак, открыла два класса решений для исследования киберугроз и охоты за атакующими — Threat Intelligence & Attribution и Threat Hunting Framework. «Умная» экосистема Group-IB, объединившая запатентованные технологии компании сфере кибербезопасности, впервые была представлена в рамках международной конференции CyberCrimeCon 2020.

Первой премьерой данного класса стала комплексная система Threat Hunting Framework, предназначенная для защиты ИТ и технологических сетей от неизвестных ранее угроз и целевых атак, поиска угроз как внутри, так вне сети, а также расследования инцидентов кибербезопасности и немедленного реагирования на них в целях минимизации последствий.

TI&A способна гибко формировать карту угроз под конкретную компанию, динамически выстраивая связи между разрозненными событиями и атрибутируя атаку до конкретной хакерской группы. Появление на рынке TI&A знаменует собой открытие иного класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры.

По данным аналитического отчета Hi-Tech Crime Trends 2020-2021, посвященного исследованию высокотехнологичных преступлений в мире, сращивание разных слоев киберкриминального андеграунда привело к появлению угроз, следствием которых стало увеличение ущерба от атак. Так, по самым минимальным подсчетам аналитиков, суммарный ущерб, причиненный компаниям в 45 странах от публично известных атак программ-шифровальщиков составил свыше $1 млрд. Взрывными темпами рос рынок продажи доступов в скомпрометированную инфраструктуру компаний: за год он увеличился в 4 раза и достиг $6 189 388. Количество «продавцов» взлетело до 63, среди них — как представители киберкриминала, так и прогосударственные атакующие. Объем рынка кардинга, связанного с кражей данный банковских карт, вырос на 116% по сравнению с прошлым периодом и вплотную приблизился к $2 млрд. В этих условиях коммерческий сектор и государственные предприятия вынуждены переоценить свои стратегии защиты, делая упор на хантинг за угрозами, релевантными для своей сферы деятельности.

Сложные инженерные разработки Group-IB - продукты для расследования высокотехнологичных преступлений и предотвращения кибератак Threat Hunting Framework и Threat Intelligence & Attribution - интегрированы между собой и объединены в «умную» технологическую экосистему, способную полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и реагирования на инцидент. В их основе – запатентованные технологии и изобретения инженерных команд и аналитиков Group-IB.

На ноябрь 2020 года у Group-IB 33 патента (6 — США, 5 — Нидерланды, 4 — Сингапур, остальные - Россия). Все они выданы на технологические изобретения, составляющие основу TI&А, THF и других инновационных продуктов компании. Кроме того, у Group-IB 55 заявок (14 — США, 5 — Нидерланды, 12 — Сингапур, 10 — международных, 14 — Россия).

«
Динамика развития киберпреступности сигнализирует рынку о том, что основную массу угроз вы должны уметь отражать автоматически, но этого мало, — комментирует Дмитрий Волков, CTO Group-IB, — Злоумышленники, располагающие деньгами, умом и ресурсами, со временем научатся обходить любую автоматизированную систему обнаружения. Нужно быть готовым к этому, наращивая опыт хантинга за угрозами с помощью «заточенных» под это инструментов. В этой борьбе недопустима простая блокировка: завтра вас атакуют с учетом того, как вы остановили угрозу сегодня. Хантинг – это постоянный процесс, построенный на умении использовать огромные массивы данных, начиная от системных событий и мета-данных трафика и заканчивая доменами, хостами и профайлами атакующих группировок. Уметь работать с этим – значит обладать профессией «третхантера» — охотника за киберугрозами и хакерами. Это и есть будущее кибербезопасности.
»

Инженерная команда Group-IB руководствуется несколькими принципами при создании технологий. Во-первых, системы и алгоритмы обнаружения должны «знать» злоумышленников, а специалисты по кибербезопасности — получать либо качественное техническое обоснование, либо полный разведывательный контекст об угрозе: кто атакует, какова мотивация атакующих, какова их тактика, какими инструментами пользуются и что потенциально будут использовать при дальнейших попытках атак. Система защиты должна обнаруживать и немедленно блокировать угрозы, но этого недостаточно. Для построения работающих стратегий кибербезопасности — детектирование лишь начало работы.

Во-вторых, процесс обогащения данными систем защиты должен быть автоматизирован. Для этого механизм анализа выходит за рамки простого обнаружения угрозы: крайне важно извлечь и полностью запустить вредоносный код в безопасной изолированной среде, собрав «урожай» из индикаторов, который помогут в дальнейшем хантинге за угрозами в сети. В-третьих, хантинг приходит на смену поиска угроз для того, чтобы найти то, что могло быть упущено в прошлом и потенциально может быть использовано злоумышленниками в будущем.

Group-IB Threat Hunting Framework – решение для унифицированной защиты предприятия целиком: от традиционных ИТ-сегментов до рабочих мест удаленных сотрудников и технологических сегментов (ОТ-сетей) производственных предприятий.

Ключевыми задачами продукта являются обнаружение неизвестных ранее угроз и целевых атак, блокировка задетектированных угроз и предоставление автоматизированных инструментов для обнаружения связанных угроз как внутри, так и за пределами защищенного периметра, а также расследование инцидентов кибербезопасности и реагирование на них. Архитектура Threat Hunting Framework включает несколько основных функциональных модулей, каждый из которых несет ряд инноваций и по своей функциональности выходит за рамки существующих продуктовых категорий, по сути определяя принципиально другие типы инструментов защиты от кибератак.

Для выявления угроз на сетевом уровне за счет глубокого анализа сетевого трафика и поддержки сотен сетевых протоколов, используется Sensor. Решение выявляет угрозы и зараженные узлы, анализируя сетевой трафик и предоставляет защиту не только традиционным ИТ-сегментам, но и промышленным сетям при помощи своего Sensor Industrial, обеспечивающего контроль целостности программного обеспечения и прошивок узлов АСУ ТП за счет анализа промышленных протоколов и комплексной защиты сети, детектируя угрозы гибко настраиваемыми политиками и специальным классификатором, использующим машинное обучение.

Еще одна инновация Group-IB — запатентованная технология «детонации» вредоносного кода Polygon, устанавливающая отраслевые стандарты для анализа файлов. Она детектирует угрозы за счет поведенческого анализа электронных писем, файлов и содержимого ссылок и запускает вредоносный код в изолированной среде, вызывая его «детонацию» — максимально полное выполнение, позволяющее получить обогащенные индикаторы атаки и выполнить атрибуцию обнаруженной угрозы.

Электронная почта по-прежнему является ключевой системой для начального проникновения киберпреступников в сеть компаний. Это проблема, влияющая на бизнес любого масштаба. Отвечая на этот вызов, Group-IB представила облачное решение для защиты электронной почты Atmosphere, главная цель которого сделать передовые технологии выявления угроз в электронной почте доступными и простыми во внедрении, оставляя при этом саму технологию частью Threat Hunting Framework и предоставляя не только качественную фильтрацию вредоносных электронных писем, но и все остальные преимущества платформы THF: полную детонацию вредоносного кода, атрибуцию атак и интеграцию с другими модулями экосистемы.

Также Group-IB представила инновационную защиту для рабочих станций пользователей — Huntpoint. Этот модуль фиксирует полную хронологию событий на компьютере сотрудника, делает ее доступной как для наблюдения в реальном времени, так и ретроспективно, обеспечивая обнаружение аномального поведения, блокировку вредоносных файлов, мгновенную изоляцию атакованных хостов и сбор криминалистически значимых данных для дальнейшего исследования.

За полностью автоматизированный анализ и корреляцию событий в сети отвечает Huntbox. Этот модуль предоставляет полную картину происходящего внутри и вне сети, помогая проактивно охотиться за угрозами и выявлять действия атакующих группировок, направленных конкретно на компанию. Также возможности комплексной платформы Group-IB Threat Hunting Framework усилены за счет функционала модуля Decryptor для расшифровки TLS/SSL-трафика в защищаемой инфраструктуре. Реализована поддержка российских протоколов шифрования по ГОСТ.

Подробнее о решении Threat Intelligence & Attribution (TI&A) читайте в статье об этом продукте.

2019: Решаемые задачи. Архитектура. Особенности

По информации на июль 2019 года Group-IB TDS обеспечивает решение ключевых задач информационной безопасности:

  • Выявление сложных целевых атак на ранней стадии
  • Предотвращение финансового и репутационного ущерба
  • Защита внутренней сети, почты и файловых хранилищ
  • Оптимизация процессов и затрат на безопасность

Гибкие настройки и схемы интеграции

  • по выбору клиента решение может быть установлено в режиме мониторинга или в режиме блокировки угроз
  • для критических и особых объектов и соответствия требованиям регуляторов все данные могут оставаться внутри периметра
  • для малого и среднего бизнеса эксперты Group-IB помогут установить и настроить работу решения в кратчайшие сроки
  • для крупного бизнеса и сетевых инфраструктур, требующих сложных архитектурных решений, команда Group-IB разрабатывает индивидуальные схемы настройки, учитывающие специфику клиента и отрасли

Архитектура

Архитектурно решение состоит из следующих элементов:

  • TDS Sensor — анализирует сетевой трафик, выявляет заражения, извлекает вредоносные ссылки и файлы для анализа в TDS Polygon. Анализируя входящие и исходящие пакеты данных, сенсор выявляет взаимодействие зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств. Для анализа сенсор использует сигнатуры и поведенческие правила из эксклюзивной системы данных об угрозах.
  • TDS Polygon — «песочница» проводит поведенческий анализ объектов в изолированной среде для выявления ранее неизвестных угроз. Этот модуль осуществляет анализ файлов, полученных по электронной почте, скачиваемых из интернета, размещенных на файловых хранилищах или загружаемых аналитиками вручную. Файлы анализируются до того, как они попадают на компьютеры пользователей, что дает возможность блокировать их доставку и предотвращать заражение.
  • TDS Huntbox — единая платформа управляет всеми компонентами комплекса, анализирует и коррелирует события. В синергии с другими модулями решения осуществляет процесс проактивного выявления угроз — Threat Hunting, централизованное удаленное реагирование на инциденты, автоматический сбор криминалистических данных, ретроспективный анализ и восстановление хронологии атаки.
  • TDS Endpoint — агент на рабочих станциях (EDR) собирает данные об активности на хостах для выявления аномального поведения и атак. Собранные данные отправляются для анализа, принятия решения и хранения в Huntbox. Из единого интерфейса Huntbox также может быть отдана команда на EDR для остановки атаки в реальном времени — изоляция хоста или блокировка вредоносного процесса.
  • SOC Group-IB — специалисты центра мониторинга отслеживают и анализируют события, оперативно уведомляют специалистов организации о критичных угрозах по электронной почте и телефону, а также дают рекомендации по их устранению. Поддержка работает круглосуточно, 365 дней в году.

Дополнительные особенности решения Group-IB TDS:

  • Удобный веб-интерфейс: управление всеми компонентами комплекса их единого окна, репрезентативная визуализация инцидентов.
  • Подробные отчеты: максимальный контекст и глубокий анализ, наглядное отражение по периодам и по типам событий.
  • Коммуникации: полная русскоязычная поддержка, большая часть вопросов решается за 10 мин.

2018: Выпуск совместного с «AMT-Груп» решения

Компания Group-IB, специализирующаяся на предотвращении кибератак, совместно с «AMT-Груп», системным интегратором и разработчиком, в январе 2018 года объявила о выводе на рынок совместного решения для обеспечения информационной безопасности и защиты от киберугроз внутри изолированных сегментов сетей крупных корпораций, промышленных предприятий, объектов ТЭК и финансовых организаций.

В рамках технологического сотрудничества партнеры интегрировали продукты Group-IB Threat Detection System (TDS) и InfoDiode от «AMT-Груп». По итогам многоэтапного нагрузочного тестирования — как в лаборатории Group-IB, так и в «боевом» режиме — на выделенных участках сети компаний — подтверждено качество работы совместного решения и обеспечение всех заявленных показателей по производительности и интеграции. Подробнее здесь.

2014: Описание Bot-trek Threat Detection Service

Bot-trek Threat Detection Service (TDS) — инструмент аутсорсинга процессов по анализу логов, классификации событий, выделению критически важных инцидентов и реагированию на выявленные угрозы.

Bot-trek Threat Detection Service, 2014

Разработка оптимальной схемы включения сенсоров в сеть предприятия, поставка оборудования и консультации по установке.

Система обеспечивает и поддерживает:

  • администрирование сенсора и оперативное обновление сигнатур силами сотрудников Group-IB

  • ручной анализ и классификация выявленных событий информационной безопасности с выделением самого важного

  • доступ к web-интерфейсу системы Group-IB SOC для удобной работы с информацией о выявленных инцидентах
  • автоматические уведомления о выявленных угрозах
  • 24-часовую поддержку через тикет-систему и консультации по устранению выявленных угроз

Схема работы системы, 2014





Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (3, 4)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (1, 2)
  Другие (0, 0)