Информация о TDS


Общая информация

Group-IB Threat Detection System (TDS) - комплексное решение предназначено для выявления современных высокотехнологичных атак на ранней стадии. Оно определяет заражения, которые пропускают стандартные средства защиты: антивирусы, межсетевые экраны, системы предотвращения вторжений. Применение TDS существенно снижает риски организации, помогая вовремя выявить и предотвратить хищения, финансовые мошенничества, попытки шпионажа, утечку конфиденциальной информации и другие инциденты. Решение TDS разработано российской компанией Group-IB и является частью системы раннего предупреждения киберугроз, построенной на общей технологической платформе Threat Intelligence. В нем используются эксклюзивные данные киберразведки о действиях злоумышленников, в том числе информация о появлении новых вредоносных программ и адресов командных центров, изменениях известных вирусов, смене тактики атак. В настоящее время решение используют более 200 финансовых, промышленных и государственных организаций. Для выявления угроз используются следующие технические подходы:

  • Глубокий анализ сетевого трафика для выявления аномалий и вредоносного трафика;
  • Поведенческий анализ файлов и ссылок в изолированных песочницах;
  • Выявление аномалий в поведении пользователей и программ на компьютерах;
  • Автоматизированная охота за неизвестными угрозами;
  • Проверка индикаторов, полученных от Threat Intelligence;
  • Корреляция событий, собираемых комплексом TDS.

Технологии, используемые при разработке TDS , позволяют эффективно детектировать угрозы на различных фазах ATT&CK Matrix:

  • Угрозы нулевого дня;
  • Эксплойты, трояны, бэкдоры, вредоносные скрипты под десктопные, серверные и мобильные платформы;
  • Скрытые каналы передачи данных;
  • Бестелесные угрозы;
  • Атаки с использование легитимных инструментов (living-off-the-land).

 

Архитектура

Архитектурно решение состоит из следующих модулей:

  • TDS Sensor

Сенсор предназначен для анализа входящих и исходящих пакетов данных. Он позволяет выявить взаимодействие зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств. Для работы сенсор использует собственные сигнатуры и поведенческие правила.

Особенности системы:

  • Анализ трафика до 10 Гбит/с;
  • Постоянно обновляемые базы сигнатур и ML-моделей – исходя из расследований криминалистов и на основе информации из систем киберразведки;
  • Интерфейс с тикет-системой в SOC Group-IB (опционально);
  • Внутренний классификатор угроз;
  • Интеграция с почтой*;
  • Интеграция с ICAP-прокси/DLP*;
  • Интеграция с файловыми хранилищами*;
  • Различные варианты развертывания SW/HW/Virtual;
  • Интеграция с SIEM и другими системами.

*Используется для поведенческого анализа артефактов совместно с TDS Polygon.


Размеры и другие базовые свойства устройств из продуктовой линейки TDS Sensor приведены в таблице 1.

 

Таблица 1. Параметры оборудования TDS Sensor.

  TDS-250 TDS-1000 TDS-5000
Форм-фактор 1U 1U 1U
Размеры (ВхШхГ), мм 43 х 434 х 552 43 х 434 х 552 43 х 434 х 768
Блок питания переменного тока (Вт) 1x 250W 1x 250W 2x 550W
Максимальная потребляемая мощность (Вт) 235 235 517
Сетевые интерфейсы для приема трафика 1x 1000BASE-T 4x 1000BASE-T и/или SFP 4x 1000BASE-T и/или SFP
Пиковая производительность, Мбит/сек 250 1000 5000

 

  • TDS Polygon

Данная система предназначена для поведенческого анализа подозрительных объектов в безопасной среде. Полученные по электронной почте или скачанные из интернета файлы проверяются до попадания на компьютеры пользователей. Применение технологий машинного обучения позволяет выявить ранее неизвестные вредоносные программы без использования сигнатур, а также блокировать их доставку пользователям.

Особенности системы:

  • Покрытие основных каналов распространения угроз – почта, интернет, заражение официальных сайтов, а также инсайдеры и USB носители;
  • Постоянно обновляемые базы индикаторов компрометации и классификатора – исходя из расследований криминалистов и на основе информации из систем киберразведки;
  • Высокий уровень выявления угроз за счет собственного низкоуровневого монитора и системы сокрытия виртуализации от вредоносного ПО.
  • Выявление социально-инженерного воздействия – обнаружение попыток обхода средств anti-APT решений вредоносным файлом в процессе поведенческого анализа;
  • Мультиверсионный анализ – Windows XP, Windows 7, Windows 10 в двух вариантах разрядности –x32/x64, а также с использованием двух языков системы – русский/английский.
  • Обнаружение отложенных атак – использование ретроспективного анализа при интеграции с различными системами защищаемой инфраструктуры;
  • Обнаружение вредоносного ПО в почтовых сообщениях, файловых хранилищах, а также при скачивании из сети Интернет с возможностью блокировки*.
  • Полная конфиденциальность анализа файлов – обработка и анализ файлов осуществляется внутри контура безопасности заказчика, непосредственно на устройстве TDS Polygon.
  • Интерфейс с тикет-системой в SOC Group-IB (опционально);
  • Внутренний классификатор угроз;
  • Различные варианты развертывания SW/HW/Cloud;

*Необходимо взаимодействие с TDS Sensor и интеграция его в соответствующие системы защищаемой инфраструктуры.

 

Размеры и другие базовые свойства устройств из продуктовой линейки TDS Polygon приведены в таблице 2.

 

Таблица 2. Параметры оборудования TDS Polygon
  TDS Polygon Cloud TDS Polygon Standard TDS Polygon Enterprise
Форм-фактор Cloud 1U 1U
Размеры (ВхШхГ), мм  -  43 x 434 x 678 43 x 434 x 678
Блок питания переменного тока (Вт)  -  2x 550W 2x 550W
Максимальная потребляемая мощность (Вт)   -  517 517
Пиковая производительность, Файлов/день  -  9000 19000

 

  • Центр управления, мониторинга, хранения событий и обновления

Специалисты Центра управления мониторинга Group-IB (TDS-SOC) отслеживают и анализируют события, выявленные TDS Sensor и TDS Polygon. Эксперты TDS-SOC немедленно уведомляют специалистов организации о критичных угрозах по электронной почте и телефону, а также дают рекомендации по их устранению. Поддержка работает круглосуточно, 365 дней в году. По умолчанию используется TDS-SOC Group-IB. Центр Управления также может быть развернут внутри сети заказчика в виде TDS Huntbox.

 

  • TDS Huntbox

Центр управления, мониторинга, хранения событий и обновлений, устанавливаемый внутри инфраструктуры заказчика. TDS Huntbox интегрируется с другими компонентами комплекса TDS (Sensor, Polygon, Huntpoint) и значительно расширяет функционал решения за счет новых возможностей:

Особенности системы

  • Оркестрация всех компонентов TDS и управлением ими из единого интерфейса
  • Анализ больших данных, выявление новых инструментов и инфраструктуры атакующих
  • Хранение логов и аналитической информации по инцидентам
  • Визуализация инцидента на ранней стадии атаки
  • Удаленное реагирование на конечных станциях (roadmap, Huntpoint)
  • Внутренний Threat Hunting по логам (roadmap, Huntpoint)
  • Сбор криминалистических данных для расследования инцидентов (roadmap)

 

  • Гибкая схема установки

 

  • TDS Huntpoint

TDS Huntpoint - модуль продукта Group-IB Threat Detection System (TDS), позволяющий проводить фиксацию хронологии поведения пользователя, отслеживать процессы, происходящие на системе для выявления вредоносной активности, а также проводить сбор дополнительной контекстной информации для выявления вредоносного поведения на хосте.

 

  • TDS Decryptor

TDS Decryptor - дополнительный опциональный модуль продукта Group-IB Threat Detection System (TDS), представляющий собой программно-аппаратный комплекс, предназначенный для вскрытия и анализа* содержимого шифрованных сессий, позволяющий повышать видимость и уровень контроля трафика защищаемой инфраструктуры, а также качество обнаружения целевых атак.

 

Интеграция с сетевым трафиком

Система обеспечивает анализ трафика, подаваемого на оборудование TDS Sensor из разных источников:

  • SPAN/RSPAN трафик
  • SPAN/RSPAN трафик в GRE-туннеле
  • ICAP (файлы из трафика)

При интеграции по ICAP возможно настроить режим блокировки - вредоносные вложения не будут доступны для загрузки пользователям.

 

Интеграция с почтовой системой

Поддерживаются несколько различных способов получения писем для поведенческого анализа:

  • Получение писем по SMTP
  • Получение писем с помощью механизма скрытой копии (BCC) через POP3/IMAP

Поддерживается возможность блокировки вредоносных писем посредством интеграции TDS Sensor в режиме MTA (Mail Transfer Agent). Внутренний MTA режим обеспечивает возможность настройки почтовой инфраструктуры любой сложности - с любым количеством почтовых серверов и настройкой различных правил пересылки. При этом обеспечивается отказоустойчивость и балансировка нагрузки.

 

Типовые схемы подключения

Режим анализа копии трафика и файлов из трафикa

 

Анализ копии трафика и файлов из трафика. Работа через TDS SOC

 

Анализ копии трафика и файлов из трафика. Работа через TDS Huntbox

 

В этом режиме TDS Polygon осуществляет пассивный мониторинг файлов из трафика. Объекты анализа поступают от TDS Sensor и отправляются в TDS Polygon.

 

Режим анализа копии трафика и файлов из трафика в GRE туннеле

Анализ копии трафика и файлов из трафика в GRE. Работа через TDS SOC

 

 

Анализ копии трафика и файлов из трафика в GRE. Работа через TDS Huntbox

 

TDS Sensor поддерживает возможность организации GRE-туннеля. Когда нет возможности напрямую подать SPAN/RSPAN, поскольку между сенсором и зеркалирующим оборудованием находится L3 оборудование, либо необходимо получить трафик с фермы виртуальных машин, можно использовать GRE-инкапсуляцию, для передачи SPAN трафика в TDS.

 

Режим анализа почты

Поддерживается несколько различных способов получения писем для поведенческого анализа:

  • получение писем по SMTP;
  • получение писем с помощью механизма скрытой копии (BCC)

Получение писем по SMTP

При данной интеграции TDS Sensor выступает как MTA (или SMTP Relay), получая копию всей входящей почты через SMTP. Единственное отличие этого режима, от режима с блокировкой в том, что письма тут не пересылаются дальше, а только анализируются.

 

Анализ копии трафика, копии почты и файлов из канала связи TDS Sensor + TDS Polygon

 

 

Анализ копии трафика, копии почты и файлов из канала связи через TDS Sensor + TDS Polygon Cloud

 

 

Анализ копии трафика, копии почты и файлов из канала связи через TDS Sensor + TDS Polygon + TDS Huntbox

 

 

Анализ копии трафика, копии почты и файлов из канала связи через TDS Sensor + TDS Polygon Cloud + TDS Huntbox

 

Получение писем с помощью механизма скрытой копии (BCC)

При данной интеграции создается дополнительный почтовый ящик, в который осуществляется копирование всей входящей почты. TDS Sensor подключается к подготовленному ящику и забирает письма для анализа.

 

Анализ копии трафика, копии почты и файлов из канала связи через TDS Sensor + TDS Polygon

 

 

Анализ копии трафика, копии почты и файлов из канала связи через TDS Sensor + TDS Polygon Cloud

 

 

Анализ копии трафика, копии почты и файлов из канала связи через TDS Sensor + TDS Polygon + TDS Huntbox

 

 

Анализ копии трафика, копии почты и файлов из канала связи TDS Sensor + TDS Polygon Cloud + TDS Huntbox

 

Получение писем по SMTP с блокировкой (inline-режим)

Основной режим интеграции с почтой, когда почта приходитт через TDS Sensor как через SMTP Relay, и доставлятся дальше после анализа. Соответственно вредоносные письма блокируются. Отказоустойчивость обеспечивается либо на уровне DNS,  либо на уровне SMTP-сервера, где настраивается несколько реле, либо на уровне VRRP, когда несколько устройств делят виртуальный IP-адрес.

 

Анализ почты с блокировкой вредоносных объектов через TDS Sensor + TDS Polygon Cloud

 

 

Анализ почты с блокировкой вредоносных объектов через TDS Sensor + TDS Polygon

 

 

Анализ почты с блокировкой объектов и работой через TDS Huntbox

 

 

Анализ почты с блокировкой объектов и работой через TDS Huntbox + TDS Sensor + TDS Polygon Cloud

 

Режим анализа файловых хранилищ

Режим подразумевает поведенческий анализ хранимых и/ или изменяемых файлов внутри файловых хранилищ с помощью TDS Polgon. Подключение к хранилищу реализуется с помощью модуля TDS Sensor и поддерживает два варианта работы с файловыми объектами:

  • сканирование всех хранящихся обектов и в  том числе изменяемых или объектов, к которым запрашивается доступ;
  • сканиирование только изменяемых объектов или объектов, к которым запрашивается доступ - с момента интеграции.

Перед измененнием объекта иили перед отправкой данного объекта по запросу пользователю, TDS Sensor скачивает файл и передает на анализ в TDS Polygon. По факту получения вердикта проанализированный объъект либо смещается обратно в файловое хранилище, либо, если получен полжительный вердикт (файл является ВПО) объект удаляется.

В настоящее время подерживаются следующие протоколы интеграции:

  • WebDav;
  • SMB;
  • FTP;
  • NFS;
  • SSHFS.

 

Анализ содержимого файлового хранилища через +TDS Sensor + TDS Polygon

 

 

Анализ содержимого файлового хранилища через TDS Huntbox + TDS Sensor + TDS Polygon

 

 

Режим фильтрации файловых хранилищ с перемещением на другой ресурс

В допонение к описанному выше режиму имеется возможноость автоматического переноса проанализированных файлов в другую сетевую папку или файловое хранилище для организации общего сетевого ресурса проверки файлов.

В данном режиме после завершения анализа файл (в случае получения отрицательного вердикта - файл не является ВПО) перемещается в другой сетевой ресурс, а обнаруженное ВПО блокируется.

 

Фильтрация содержимого файлового хранилища через TDS Huntbox + TDS Sensor + TDS Polygon

 

 

Фильтрация содержимого файлового хранилища через TDS Sensor + TDS Polygon Cloud