Спецпроекты

Simple внедрила решение Group-IB TDS

Безопасность Интеграция Внедрения Ритейл Розница

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, и группа компаний Simple, импортер и дистрибьютор алкогольной продукции на российском рынке, сообщили об успешном внедрении комплекса для проактивного обнаружения киберугроз — Threat Detection System (TDS). Благодаря TDS Simple уже на этапе тестирования смог защититься от вредоносной рассылки под видом письма от ФНС России и вычислил в своей инфраструктуре троян-майнер Coinminer, который не обнаружили стандартные средства защиты: антивирусы, межсетевые экраны и системы предотвращения вторжений.

Ритейл является одной из наиболее чувствительных к киберинцидентам отраслей — один день простоя производства может грозить компаниям потерями нескольких сотен миллионов рублей. Основными киберугрозами для ритейла, по данным аналитиков Threat Intelligence, в настоящее время являются вирусы-шифровальщики, программы-майнеры, а также взлом и хищение денег со счетов или персональных данных клиентов.

По данным CERT-GIB в первом квартале 2020 г. подавляющее большинство кибератак начинались с почтовых рассылок, которые содержали «на борту» программы-шпионы (43%), загрузчики (17%), бэкдоры (16%) и банковские трояны (15%). Шифровальщики не исчезли со сцены — просто хакеры уже не прячут их непосредственно в архив письма, а устанавливают сначала на машину жертвы бэкдор или банковский троян, проводят разведку, захватывают сеть, и только потом распространяют шифровальщик на компьютеры в сети.

В ходе тестирования у Simple TDS Group-IB продемонстрировала преимущество перед другими решениями. Летом 2020 г. Polygon TDS успешно задетектировала и заблокировала почтовую рассылку якобы от ФНС России, которая содержала вредоносные вложения. Файл представлял из себя программу RMS (Remote Manipulator System). Хотя данная утилита и является легальным инструментом для удалённого управления компьютером, разработанная российской компанией TektonIT, злоумышленники модифицировали программу таким образом, что при запуске они получали полный удаленный контроль над атакованным компьютером. Письма, направленные в адрес клиентов, были классифицированы TDS как вредоносные и успешно заблокированы.

«Технология глубокого анализа файлов и детонации вредоносных нагрузок Group-IB Polygon позволяет существенно поднять защищенность любого предприятия по ключевым векторам начального проникновения, — сказал Никита Кислицин, руководитель департамента сетевой безопасности Group-IB. — Мы очень рады, что наша технология и формат ее поставки в виде облачного сервиса Polygon Cloud были по достоинству оценены и приняты на вооружение таким интересным клиентом как Simple Group».

Еще один эпизод, связанный с обнаружением трояна-майнера, произошел непосредственно в самом начале тестирования. Сразу после установки TDS Sensor модуль сигнатурного анализа трафика и выявления сетевых аномалий зафиксировал подозрительную активность, квалифицированную как троян-майнер Coinminer. Опасность в том, что майнинг (криптоджекинг) — это не только прямые финансовые потери вследствие повышенных затрат на электричество, но и угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств.

Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами крупнейших российских и европейских производителей, но задетектировать активность с помощью обычных антивирусных программ не удалось. TDS Sensor позволил вычислить, откуда исходила угроза. Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов лаборатории компьютерной криминалистики Group-IB, ликвидировал опасность.

«Мы иногда даже забываем, что у нас стоит система TDS, так мало ложных срабатываний, — сказал Владимир Бондарев, руководитель управления инфраструктуры и поддержки, дирекция информационных технологий Simple Group. — Пользовательский интерфейс максимально продуман. Не нужно много ресурсов, чтобы научиться полноценно управлять системой, всё интуитивно понятно и на своём месте. В результате внедрения TDS у нас значительно увеличилось время ИБ-специалистов, которое, наконец, они могут потратить на развитие всей инфраструктуры, внедрение новых технологий, обучению и повышению квалификации».

Семейство продуктов Group-IB Threat Detection System — это комплексное решение для защиты от сложных киберугроз, основанное на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.

Group-IB TDS Polygon – система раннего выявления кибератак. Group-IB TDS Polygon выносит вердикт о степени опасности объекта на основании классификатора, формируемого системой поведенческого анализа.

TDS Sensor выявляет коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств. Кроме того, TDS Sensor извлекает потенциально опасные объекты, передаваемые по сети организации, для анализа в системе TDS Polygon.

За управление инфраструктурой и анализ данных отвечает TDS Huntbox. Новый модуль в составе семейства TDS обеспечивает внутренний и внешний Threat Hunting (охота за угрозами), агрегирует и хранит все данные с других модулей, позволяя осуществлять ретроспективный анализ атаки, корреляцию и исследование различных событий, а также атрибуцию до конкретной группы атакующих. Запатентованные технологии продуктов используют передовую экспертизу и эксклюзивную разведывательную информацию Group IB Threat Hunting Intelligence.

Все компоненты Group-IB TDS тесно интегрируются друг с другом. Наличие единой консоли управления TDS Huntbox, круглосуточный мониторинг событий силами специалистов СERT-Group-IB, а также аналитическая поддержка специалистов при инцидентах информационной безопасности, обеспечивают надежную превентивную защиту бизнеса от киберугроз.