TDS — система раннего предупреждения киберугроз. Выявляет зараженные узлы, предотвращая проникновения, утечки, целевые атаки и промышленный шпионаж
Зачем нужен TDS
Китайское шпионское ПО, трояны Corkow, Anunak и Buhtrap, более 100 видов вредоносных программ под мобильные платформы — все эти угрозы агрессивно атакуют российский бизнес и компании государственного сектора, несмотря на повсеместное распространение антивирусных средств.
TDS позволяет организовать объективный контроль сетевого трафика и вовремя выявлять ключевые угрозы на сетевом уровне, основываясь на передовой экспертизе и эксклюзивной разведывательной информации Group‑IB.
Как работает TDS
Модули
TDS Sensor:
- Выявляет коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств
- Извлекает потенциально опасные объекты, передаваемые по сети организации, для анализа в системе Polygon
TDS Polygon
Позволяет предотвратить заражения в результате:
- Вредоносных почтовых рассылок
- Атак на браузер
- Атак с использованием ранее неизвестных вредоносных программ и инструментов.Вердикт о степени опасности объекта выносится на основании классификатора, формируемого системой машинного анализа.
SOC Group-IB:
- Собирает информацию о событиях ИБ для демонстрации в удобном web-интерфейсе;
- В круглосуточном режиме анализирует и классифицирует инциденты руками опытных аналитиков;
- Отвечает на любые вопросы с помощью тикет-системы
Обработка данных
TDS является физическим сервером, на котором установлено DPI-решение для анализа всех входящих и исходящих пакетов данных.
Набор сигнатур, посредством которых определяется зловредная активность, «черный список» адресов контроллеров бот-сетей, а также правила фильтрации автоматически обновляются ежедневно.
Сенсор по безопасному каналу осуществляет передачу информации о выявленных инцидентах в облачный центр обработки данных Group‑IB.
Polygon запускает файлы, полученные от TDS Sensor, в изолированной среде, анализирует их поведение на низком уровне и выносит заключение об их степени опасности. Обработка и анализ файлов производится внутри вашего контура безопасности, обеспечивая полную конфиденциальность.
SOC (центр обработки данных) собирает, коррелирует и классифицирует всю информацию о зарегистрированных событиях ИБ в сети компании.
События группируются по типу и анализируются специалистами Group-IB вручную. Анализ данных ведется круглосуточно, без выходных.
Все данные об угрозах и результаты анализа инцидентов доступны в web-интерфейсе. Вы можете уточнить или запросить дополнительную информацию у аналитиков через удобную тикет-систему.
Самостоятельная обработка данных
Сенсор TDS является физическим сервером, на котором установлено DPI-решение для анализа всех входящих и исходящих пакетов данных.
Набор сигнатур, посредством которых определяется зловредная активность, «черный список» адресов контроллеров бот-сетей, а так же правила фильтрации автоматически обновляются ежедневно.
Решение может поставляться с локальным web-интерфейсом, позволяющим вести самостоятельную обработку регистрируемых событий без их передачи в Group-IB.
Polygon запускает файлы, полученные от TDS Sensor, в изолированной среде, анализирует их поведение на низком уровне и выносит заключение об их степени опасности. Обработка и анализ файлов производится внутри вашего контура безопасности, обеспечивая полную конфиденциальность.
Поток событий, фиксируемых сенсором, может быть автоматически направлен в любую SIEM или систему хранения логов через стандартный механизм syslog.
На базе локального web-интерфейса возможно организовать внутреннюю тикет-систему для взаимодействия с коллегами, учета инцидентов и реагирования на них.
При желании, внутри инфраструктуры заказчика можно организовать и центр обновлений, в результате чего сенсор будет полностью изолирован от интернета, при этом база сигнатур будет поддерживаться в актуальном состоянии.
Преимущества TDS
TDS является частью единой системы раннего обнаружения угроз Group-IB. Данные анализируются сенсором с учетом информации, поступающей из системы Threat Intelligence, позволившей компании дважды войти в отчеты Gartner в категории “Threat Intelligence”. В результате в отличие от зарубежных аналогов TDS достигает наибольшей эффективности в детектировании локальных угроз и сигнатур, актуальных именно для российского рынка.
Если вашу компанию будут атаковать, Group-IB предоставит услуги по реагированию и расследованию инцидента, и оформит цифровую доказательную базу в соответствии с требованиями законодательства.
- Оперативные уведомления о выявленных угрозах через почту и SMS
- Удобный веб-интерфейс для работы с информацией об инцидентах
- Интеграция с SIEM и системами хранения событий и логов
- Автоматическая генерация отчетов по типам атак и временным периодам