TDS

Китайское шпионское ПО, трояны Corkow, Anunak и Buhtrap, более 100 видов вредоносных программ под мобильные платформы — все эти угрозы агрессивно атакуют российский бизнес и компании государственного сектора, несмотря на повсеместное распространение антивирусных средств.

TDS позволяет организовать объективный контроль сетевого трафика и вовремя выявлять ключевые угрозы на сетевом уровне, основываясь на передовой экспертизе и эксклюзивной разведывательной информации Group‑IB.

Как работает TDS

Модули

TDS Sensor:

• Выявляет коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств
• Извлекает потенциально опасные объекты, передаваемые по сети организации, для анализа в системе Polygon

TDS Polygon

Позволяет предотвратить заражения в результате:

• Вредоносных почтовых рассылок
• Атак на браузер
• Атак с использованием ранее неизвестных вредоносных программ и инструментов.Вердикт о степени опасности объекта выносится на основании классификатора, формируемого системой машинного анализа.

SOC Group-IB:

• Собирает информацию о событиях ИБ для демонстрации в удобном web-интерфейсе;
• В круглосуточном режиме анализирует и классифицирует инциденты руками опытных аналитиков;
• Отвечает на любые вопросы с помощью тикет-системы

Обработка данных

TDS является физическим сервером, на котором установлено DPI-решение для анализа всех входящих и исходящих пакетов данных.

Набор сигнатур, посредством которых определяется зловредная активность, «черный список» адресов контроллеров бот-сетей, а также правила фильтрации автоматически обновляются ежедневно.

Сенсор по безопасному каналу осуществляет передачу информации о выявленных инцидентах в облачный центр обработки данных Group‑IB.

Polygon запускает файлы, полученные от TDS Sensor, в изолированной среде, анализирует их поведение на низком уровне и выносит заключение об их степени опасности. Обработка и анализ файлов производится внутри вашего контура безопасности, обеспечивая полную конфиденциальность.

SOC (центр обработки данных) собирает, коррелирует и классифицирует всю информацию о зарегистрированных событиях ИБ в сети компании.

События группируются по типу и анализируются специалистами Group-IB вручную. Анализ данных ведется круглосуточно, без выходных.

Все данные об угрозах и результаты анализа инцидентов доступны в web-интерфейсе. Вы можете уточнить или запросить дополнительную информацию у аналитиков через удобную тикет-систему.

Самостоятельная обработка данных

Сенсор TDS является физическим сервером, на котором установлено DPI-решение для анализа всех входящих и исходящих пакетов данных.

Набор сигнатур, посредством которых определяется зловредная активность, «черный список» адресов контроллеров бот-сетей, а так же правила фильтрации автоматически обновляются ежедневно.

Решение может поставляться с локальным web-интерфейсом, позволяющим вести самостоятельную обработку регистрируемых событий без их передачи в Group-IB.

Polygon запускает файлы, полученные от TDS Sensor, в изолированной среде, анализирует их поведение на низком уровне и выносит заключение об их степени опасности. Обработка и анализ файлов производится внутри вашего контура безопасности, обеспечивая полную конфиденциальность.

Поток событий, фиксируемых сенсором, может быть автоматически направлен в любую SIEM или систему хранения логов через стандартный механизм syslog.

На базе локального web-интерфейса возможно организовать внутреннюю тикет-систему для взаимодействия с коллегами, учета инцидентов и реагирования на них.

При желании, внутри инфраструктуры заказчика можно организовать и центр обновлений, в результате чего сенсор будет полностью изолирован от интернета, при этом база сигнатур будет поддерживаться в актуальном состоянии.