Компания Group-IB вывела на рынок два новых класса решений для исследования киберугроз и охоты за атакующими – Threat Intelligence & Attribution и Threat Hunting Framework. «Умная» экосистема Group-IB, объединившая запатентованные технологии компании сфере кибербезопасности, впервые была представлена в рамках международной конференции CyberCrimeCon 2020.

Созданная Group-IB система класса Threat Intelligence & Attribution – по утверждению компании, не имеющая аналогов в мире, способна гибко формировать карту угроз под конкретную компанию, динамически выстраивая связи между разрозненными событиями и атрибутируя атаку до конкретной хакерской группы. TI&A – это новый класс решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры.

Второе решение нового класса – комплексная система Threat Hunting Framework, предназначенная для защиты ИТ и технологических сетей от неизвестных ранее угроз и целевых атак, поиска угроз как внутри, так вне сети, а также расследования инцидентов кибербезопасности и немедленного реагирования на них в целях минимизации последствий.

Разработки Group-IB интегрированы между собой и объединены в «умную» технологическую экосистему, способную автоматизированно останавливать целевые атаки на организацию, предоставляя команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и реагирования на инцидент.

Group-IB Threat Hunting Framework – решение для унифицированной защиты предприятия целиком: от традиционных ИТ-сегментов до рабочих мест удаленных сотрудников и технологических сегментов (ОТ-сетей) производственных предприятий. Интегрированная платформа безопасности, использующая технологии ИИ, задает единые стандарты защиты для разных окружений. Ключевые задачи нового продукта – обнаружение неизвестных ранее угроз и целевых атак, блокировка задетектированных угроз и предоставление автоматизированных инструментов для обнаружения связанных угроз как внутри, так и за пределами защищенного периметра, а также расследование инцидентов кибербезопасности и реагирование на них.

Архитектура Threat Hunting Framework включает несколько основных функциональных модулей. Для выявления угроз на сетевом уровне за счет глубокого анализа сетевого трафика и поддержки сотен сетевых протоколов используется Sensor. Решение выявляет угрозы и зараженные узлы, анализируя сетевой трафик и предоставляет защиту не только традиционным ИТ-сегментам, но и промышленным сетям при помощи Sensor Industrial, обеспечивающего контроль целостности ПО и прошивок узлов АСУ ТП за счет анализа промышленных протоколов и комплексной защиты сети.

Запатентованная Group-IB технология «детонации» вредоносного кода Polygon устанавливает новые отраслевые стандарты для анализа файлов. Она детектирует угрозы за счет поведенческого анализа электронных писем, файлов и содержимого ссылок и запускает вредоносный код в изолированной среде, вызывая его «детонацию» – максимально полное выполнение, позволяющее получить обогащенные индикаторы атаки и выполнить атрибуцию обнаруженной угрозы.

С учетом того, что электронная почта по-прежнему является ключевой системой для начального проникновения киберпреступников в сеть компаний, Group-IB представила облачное решение Atmosphere, цель которого – сделать технологии выявления угроз в электронной почте доступными и простыми во внедрении, оставляя при этом саму технологию частью Threat Hunting Framework и предоставляя не только фильтрацию вредоносных электронных писем, но и все остальные преимущества платформы THF.

Для защиты рабочих станций пользователей предназначен модуль Huntpoint, который фиксирует полную хронологию событий на компьютере сотрудника, делает ее доступной как для наблюдения в реальном времени, так и ретроспективно, обеспечивая обнаружение аномального поведения, блокировку вредоносных файлов, изоляцию атакованных хостов и сбор криминалистически значимых данных для дальнейшего исследования.

За полностью автоматизированный анализ и корреляцию событий в сети отвечает Huntbox. Этот модуль предоставляет полную картину происходящего внутри и вне сети, помогая проактивно охотиться за угрозами и выявлять действия атакующих группировок, направленных конкретно на компанию. Также возможности комплексной платформы Group-IB Threat Hunting Framework усилены за счет функционала модуля Decryptor для расшифровки TLS/SSL-трафика в защищаемой инфраструктуре. Реализована поддержка российских протоколов шифрования по ГОСТ.

Выведя на рынок систему Threat Intelligence & Attribution, оперирующую данными о хакерских группах, их инструментах и инфраструктуре, Group-IB открыла доступ к своим внутренним инструментам слежения за хакерами, до того использовавшимся исключительно ее командами реагирования, хантинга и киберразведки. Как комментируют в компании, появление на рынке TI&A означает открытие нового класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры.

TI&A объединяет уникальные источники данных, опыт расследования высокотехнологичных преступлений и реагирования на сложные многоступенчатые атаки; именно эта система, подчеркивают в Group-IB, во многом «накачивает» данными для хантинга за атакующими и угрозами все остальные продукты компании. Система «хранит» данные о хакерах и их связях, доменах, IP, инфраструктуре за 15 лет, включая и те, которые преступники пытались удалить.

Идеология системы TI&A: выявить не только угрозу, но того, кто за ней стоит. Массивы данных, которыми она оперирует, помогают связывать атаку с группировкой или конкретными персоналиями. TI&A «умеет» анализировать и атрибутировать угрозы, с которыми уже столкнулась компания, обнаруживать утечки и компрометацию пользователей, идентифицировать инсайдеров, торгующих данными компании на андеграудных ресурсах, выявлять и блокировать атаки, нацеленные на компанию и ее клиентов, независимо от отрасли.

С появлением на рынке TI&A каждому специалисту, использующему эту систему, доступны поиск по крупнейшей коллекции данных даркнета, продвинутая модель профилирования хакерских групп, а также полностью автоматизированный графовый анализ, который помогает за секунды провести корреляцию данных и атрибутировать угрозы до конкретной преступной группировки или физического лица.

Таким образом, TI&A позволяет обнаруживать атаки, не покрываемые традиционными средствами защиты, глубже понимать методы работы продвинутых атакующих, а также оценивать, может ли им противостоять защищаемая инфраструктура.