Знакомство с системой обнаружения целевых атак TDS от Group-IB

Знакомство с системой обнаружения целевых атак TDS от Group-IB

В статье рассматривается система обнаружения целевых атак TDS от компании Group-IB. Здесь мы постарались представить общее понимание о системе, ее возможностях, а также указали отличительные особенности, которые выделяют ее на рынке информационной безопасности.

 

 

 

 

 

1. Введение

2. Что такое TDS?

3. TDS Sensor

4. Центр обновлений и хранения событий

5. TDS Polygon

6. Как работает TDS?

6.1. Обработка данных в Group-IB

6.2. Самостоятельная обработка данных

7. Страхование киберрисков

8. Выводы

 

 

 

Введение

В последнее время все большую популярность набирают целевые атаки, количество и сложность которых постоянно растут. Они становятся головной болью подразделений по информационной безопасности различных организаций, которые рано или поздно могут стать очередной целью.

Отличительной чертой целевых атак является их уникальность и направленность на конкретный объект атаки. В качестве таких объектов могут выступать отдельные отрасли экономики, группы компаний или конкретные организации. Таким образом, цель подобных атак — не найти и скомпрометировать слабо защищенную информационную систему, а направленно взломать выбранную информационную систему, принадлежащую конкретной организации.

Традиционные средства защиты информации не способны справляться с такими типами атак, здесь уже требуется комплекс различных средств защиты или специализированные решения, способные дополнять выстроенные рубежи защиты информации.

Проблематика целевых атак и существующие на мировом и российском рынке решения для борьбы с ними были рассмотрены нами ранее в статье «Обзор рынка защиты от целевых атак».

В данном обзоре мы расскажем о системе TDS от Group-IB — одной из ведущих международных компаний по предотвращению и расследованию компьютерных преступлений и мошенничеств с использованием высоких технологий.  

Group-IB работает на рынке с 2003 года. Изначально компания предоставляла услуги по информационной безопасности в сфере компьютерной криминалистики, консалтинга и аудита систем ИБ. С 2012 года Group-IB активно развивает продуктовую линейку по раннему обнаружению угроз, функционирующую на основе системы Threat Intelligence компании, признанной агентствами Gartner и Forrester одной из лучших в мире. Данные продукты могут использоваться клиентами как самостоятельные решения, так и в совокупности с различными услугами от Group-IB (реагирование на инциденты, расследование высокотехнологичных преступлений и др.).

В представленных на рынке продуктах широко использован 14-летний опыт компании в расследовании компьютерных преступлений. Одним из таких продуктов является система обнаружения целевых атак TDS.

 

Что такое TDS?

Система обнаружения целевых атак и угроз в корпоративной сети TDS позволяет выявлять компьютерные атаки на информационные системы организаций на сетевом уровне, основываясь на передовой экспертизе и эксклюзивной разведывательной информации Group-IB. Решение способно обнаружить в сети клиента все виды вредоносных программ, в том числе:

  • целевые угрозы;
  • вредоносные документы;
  • банковские трояны;
  • шпионские программы;
  • мобильные трояны;
  • инструменты удаленного доступа;
  • бэкдоры.

Система TDS состоит из нескольких модулей, она может развертываться и использоваться полностью локально на территории клиента или же в смешанном варианте: то есть часть модулей размещается локально у клиента, а остальные модули предоставляются Group‑IB как сервис.

В своей работе для обнаружения злонамеренной активности в сети клиента система использует несколько методов, а именно:

  • сигнатурный анализ трафика;
  • выявление сетевых аномалий при помощи алгоритмов машинного анализа;
  • поведенческий анализ файлов, передаваемых по сети или получаемых от почтовой системы.

Одним из ключевых преимуществ системы является использование уникальных источников данных об угрозах, а именно:

  • эксклюзивные данные Group-IB Threat Intelligence о новых вредоносных программах и инструментах атак, изменениях в известных вирусах и поведении преступных групп;
  • полные данные об инструментах актуальных целевых атак от аналитиков Лаборатории компьютерной криминалистики Group-IB, участвующих в их расследовании;
  • выявление ранее неизвестных вредоносных объектов с помощью технологии Machine Mind, основанной на современных алгоритмах поведенческого анализа и машинного обучения.

Архитектурно система TDS состоит из следующих модулей, взаимодействующих между собой и которые могут использоваться в различных вариантах исполнения в зависимости от пожеланий заказчика:

  • Сенсор анализа данных (TDS Sensor) — является обязательным элементом системы, поставляется только как аппаратное устройство.
  • Центр обновлений и хранения событий — является обязательным элементом системы; может быть предоставлен как удаленный центр SOC Group-IB или как внутренний модуль (отдельный продукт TDS-SOC).
  • Модуль поведенческого анализа (TDS Polygon) — не является обязательным элементом системы, расширяет функциональность в части детектирования неизвестных ранее угроз и целевых атак; может предоставляться как аппаратное устройство или в качестве облачного сервиса.

Для работы с системой предоставлено два пользовательских интерфейса, отличающихся только местом его физического расположения:

  • облачный интерфейс, предоставляемый компанией Group-IB;
  • локальный веб-интерфейс, разворачиваемый на сенсоре TDS.

 

Рисунок 1. Пользовательский интерфейс TDS

Пользовательский интерфейс TDS

 

TDS Sensor

TDS Sensor (сенсор анализа трафика) является физическим сервером, представленным в различных вариантах исполнения. Сенсор подключается к зеркальной копии анализируемого трафика и никак не влияет на работоспособность инфраструктуры.

 

Таблица 1. Варианты оборудования TDS Sensor

Параметры Наименование
TDS-50 TDS-250 TDS-500 TDS-1000
Форм-фактор Mini-ITX 1U 1U 1U
Размеры (ВхШхГ), мм 43x190x165 42,4х434х394,3 42,4х434х394,3 42,8x434x625.2
Питание 1 x 95W 1 x 250W 1 x 250W 2 x 350W
Сетевые интерфейсы для приема трафика 1 x 1000BASE-T 1 x 1000BASE-T 2 x 1000BASE-T 4 x 1000BASE-T
Пиковая производительность, Мбит/сек 50 250 500 1000

 

Сенсор выполняет анализ входящих и исходящих пакетов данных с использованием сигнатур и правил, основанных на эксклюзивных данных об угрозах. Набор сигнатур, посредством которых определяется зловредная активность, черный список адресов контроллеров бот-сетей, а также правила фильтрации автоматически обновляются ежедневно. В частности, сенсор позволяет выполнить следующее:

  • выявить зараженные узлы, устанавливая их взаимодействия с командными центрами;
  • детектировать сетевые аномалии, генерируемые вредоносными программами, при помощи алгоритмов машинного анализа;
  • интеграцию с системой поведенческого анализа Polygon для выявления ранее неизвестного вредоносного кода;
  • передачу информации о выявленных инцидентах в SOC Group-IB или внутреннюю систему учета логов.

В зависимости от выбранного клиентом типа обработки данных (обработка данных Group- IB либо самостоятельная обработка данных) сенсор TDS позволяет:

  • осуществлять передачу информации по безопасному каналу о выявленных инцидентах в облачный SOC Group-IB;
  • осуществлять на базе локального веб-интерфейса самостоятельную обработку регистрируемых событий без их передачи в Group-IB.

 

Рисунок 2. Список событий, выявленных эвристическим механизмом классификации трафика на TDS Sensor

Список событий, выявленных эвристическим механизмом классификации трафика на TDS Sensor

 

Центр обновлений и хранения событий

Центр обновлений и хранения событий по умолчанию предоставляется как удаленный центр SOC Group-IB и отвечает за обновление эксплуатируемых устройств и сбор регистрируемых данных. По желанию клиента доступна организация доставки обновлений и хранение регистрируемых событий внутри его инфраструктуры (в данном случае внедряется дополнительный продукт TDS-SOC).

Кроме того, для клиента могут быть предоставлены дополнительные услуги от SOC Group-IB. SOC Group-IB представляет собой дополнительный сервис и позволяет обрабатывать сведения об инцидентах, полученные от TDS Sensor и TDS Polygon. Полученные сведения анализируются квалифицированными специалистами Group-IB индивидуально в ручном режиме.

 

TDS Polygon

TDS Polygon (модуль поведенческого анализа — песочница) может быть как физическим сервером, представленным в различных вариантах исполнения, так и облачным сервисом (в этом случае установка дополнительного оборудования в существующую инфраструктуру не требуется). Кроме того, данный модуль может быть использован как самостоятельный продукт (отдельно от TDS Sensor) для организации внутренней песочницы, в которой осуществляется поведенческий анализ файлов, поступающих из различных внутренних информационных систем.

 

Таблица 2. Варианты оборудования TDS Polygon

Параметры Наименование
Polygon-2500S Polygon-5000S Polygon-10000S
Форм-фактор 1U 1U 1U
Размеры (ВхШхГ), мм 42,8x482,4x607 42,8x482,4x607 42,8x482,4x607
Питание 2x450W 2x550W 2x550W
Гарантированная производительность, объектов в сутки 2500 5000 10000

 

TDS Polygon позволяет выявлять ранее неизвестный вредоносный код посредством использования передовых алгоритмов машинного обучения.

TDS Polygon запускает файлы, полученные от сенсора TDS, в изолированной среде, анализирует их поведение на низком уровне и выносит заключение об их степени опасности. Таким образом, представленный компонент позволяет обнаруживать ранее неизвестный вредоносный код:

  • вредоносные файлы, получаемые пользователями через почтовую систему в ходе целевых атак и применения социальной инженерии;
  • объекты, скачиваемые пользователями и их компьютерами при атаке на их браузеры;
  • вредоносное программное обеспечение, нацеленное на конкретную инфраструктуру клиента (целевые атаки);
  • другие ранее неизвестные вредоносные объекты, не определяемые средствами антивирусной защиты по сигнатурам.

Обработка и анализ файлов производится внутри контура безопасности клиента, обеспечивая полную их конфиденциальность.

В рамках функционирования TDS Polygon применяются следующие технологии:

  • ферма виртуальных машин, позволяющая запускать вредоносные файлы в безопасной тестовой среде (песочнице);
  • низкоуровневый системный монитор, позволяющий отслеживать поведение вредоносных объектов на самом низком уровне;
  • регулярно обновляемый классификатор, на основании которого выносится вердикт об опасности объекта (классификатор формируется с помощью технологии Machine Mind).

 

Рисунок 3. Список событий, выявленных при поведенческом анализе файлов в TDS Sensor

Список событий, выявленных при поведенческом анализе файлов в TDS Sensor

 

Как работает TDS?

Система TDS поставляется клиентам в двух вариантах:

  1. Система TDS, в которой обработка данных осуществляется квалифицированным персоналом Group-IB.
  2. Решение TDS с самостоятельной обработкой данных.

Как мы писали выше, продукт может использоваться в нескольких вариациях: как полностью самостоятельный программно-аппаратный комплекс или же как сервис, когда используются совместно программно-аппаратные устройства, установленные у клиента, и услуги специалистов Group-IB по мониторингу сетевых событий.

Обработка данных в Group-IB

При таком варианте исполнения предлагается использование сервиса SOC Group-IB. Соответственно, ручной анализ логов, выделение критически важных инцидентов и поддержка реагирования осуществляются специалистами Group-IB в режиме 24/7/365.

Архитектура такой организации работы TDS представлена на рисунке ниже.

 

Рисунок 4. Архитектура системы TDS с обработкой данных в Group-IB

Архитектура системы TDSс обработкой данных в Group-IB

 

В рамках представленного сервиса SOC (центр обработки данных) осуществляется сбор, корреляция и классификация всей информации о зарегистрированных событиях информационной безопасности в сети клиента. События группируются по типу и анализируются специалистами Group-IB вручную.

Все данные об угрозах и результаты анализа инцидентов доступны клиенту в веб-интерфейсе. Кроме того, клиенту предоставляется возможность запросить дополнительную информацию у аналитиков Group-IB через специальную тикет-систему.

Самостоятельная обработка данных

При таком варианте использования предполагается, что обработка данных, собранных в TDS, осуществляется силами службы информационной безопасности самого клиента (см. рисунок 5).

Поток событий, фиксируемых сенсором TDS, может быть автоматически направлен в любую SIEM или систему хранения логов через стандартный механизм syslog.

На базе локального веб-интерфейса возможно организовать внутреннюю тикет-систему для взаимодействия с коллегами, учета инцидентов и реагирования на них.

 

Рисунок 5. Архитектура системы TDS с самостоятельной обработкой данных

Архитектура системы TDSс самостоятельной обработкой данных

 

Страхование киберрисков

Отдельно стоит отметить уникальную для российского рынка услугу по страхованию киберрисков. С продуктом TDS клиент бесплатно получает страховой полис от крупнейшей страховой компании AIG (American International Group), распространяющийся на риски утечки корпоративных или клиентских данных и нарушения безопасности компьютерной системы, вызванные заражением или повреждением информации.

Таким образом, в дополнение к функционалу TDS клиенту предлагается компенсация возможных потерь из-за произошедших утечек с целью минимизировать их последствия.

В рамках предоставляемого страхового полиса покрываются различные убытки клиентов, а именно:

  • убытки, связанные с нарушениями данных (коммерческая тайна, иная информация ограниченного доступа) и безопасности информационной системы;
  • расходы, связанные с расследованием в результате нарушения законодательства или иных нормативно-правовых актов;
  • расходы, связанные с вопросами реагирования при нарушении данных.

 

Выводы

Система TDS представляет собой комплексное решение, которое может включать в себя аппаратное устройство, облачное хранилище и услуги от компании Group-IB. В зависимости от потребностей и пожеланий клиентов система может использоваться в разных вариациях от полностью локального программно-аппаратного решения до полноценного сервиса по мониторингу сетевого трафика (здесь реализован полный цикл работ с сетевыми событиями и взаимодействия со специалистами Group-IB).

В целом, решение TDS является актуальным на сегодняшний день, так как современный злоумышленник все больше ориентируется не на массовый сегмент конечных пользователей с извлечением возможной прибыли, а на конкретные предприятия и монетизацию таких целевых атак. Используемые классические средства защиты информации (антивирусные решения, средства межсетевого экранирования и т. д.) явно не справляются с целевыми атаками, количество и сложность которых растет, что требует соответствующих мер, способных им противостоять. Кроме того, как показывает практика, не всегда классические средства защиты могут отразить и массовые вирусные нападения. Примером такой масштабной атаки являются недавние события международного масштаба, связанные вирусами-шифровальщиками WannaCry/WannaCrypt (о котором мы писали ранее в нашей статье «WannaCry/WannaCrypt: личное дело») и Win32/Diskcoder.C Trojan (Petya.С). Благодаря работе TDS клиенты Group-IB не были затронуты последствиями этих вирусных атак.

Рассмотренная система TDS является достойным представителем класса средств защиты от целевых атак. Она способна обнаруживать зловредную сетевую активность в сети клиента, связанную как с известными угрозами, так и ранее неизвестными. Кроме того, многолетний опыт компании Group-IB и накопленные ими данные позиционируются самой компанией как преимущество перед другими решениями данного класса, позволяющее быстрее и точнее детектировать атаки, распространяющиеся в нашей стране.

К преимуществам системы TDS, которые выделяют ее на фоне классических средств защиты информации, можно отнести следующие:

  • уникальные и постоянно обновляемые источники данных об угрозах, основанные практическом опыте Group-IB в сфере противостояния различным киберугрозам;
  • взаимодействие с экспертами SOC Group-IB, что позволяет повысить общий уровень информационной безопасности за счет их компетенций;
  • уникальная для российского рынка услуга по страхованию киберрисков от AIG, предоставляемая бесплатно в комплекте с TDS.

Таким образом, клиентам предоставляется возможность за небольшую стоимость базового решения получить доступ к уникальным компетенциям по противостоянию киберугрозам.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любых продуктов или сервисов по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.