Group-IB, 04/06/21
"Острые козырьки” уже не те: из рабочих кварталов Бирмингема, трущоб Гарлема и спортзалов Люблино организованная преступность перебралась в Интернет. И хотя вместо револьверов и кастетов у бандитов теперь руткиты, эксплойты и программы-шифровальщики, их нелегальный онлайн-бизнес по своему размаху давно уже превзошел времена Томаса Шелби. Чтобы противостоять злоумышленникам, важна нулевая терпимость к киберпреступности, подкрепленная инженерными технологиями на уровне Rocket Science.
Нулевая толерантность к криминалу
"Group-IB начиналась как маленькое детективное агентство, но к настоящему времени нами проведено уже более тысячи международных расследований, которые завершились для преступников судебным приговором, – основатель и генеральный директор Group-IB Илья Сачков начал презентацию новой партнерской программы Cyber Defender Partner Program с небольшого экскурса в историю. – Три недавние международные операции с участием Group-IB, Интерпола и Европола – Falcon в Нигерии, Night Fury в Индонезии и Carding Action в Европе показывают нашу нулевую толерантность к преступности. И мы очень рады тем, кто разделяет эту позицию и наши ценности".
В зале Илью Сачкова слушают около сотни гостей из числа первых лиц интеграторов, дистрибьюторов, MSSP и технологических партнеров Group-IB. Еще полторы сотни человек из разных регионов России и стран СНГ смотрят прямую трансляцию.
До 2017 г. Group-IB работала напрямую с заказчиками, но компания росла, для масштабирования бизнеса была сделана ставка на развитие партнерского канала, и компания начала работу с партнерами-интеграторами.
"Гибкость и нестандартный подход к решению задач – одна из особенностей Group-IB", – уверен руководитель направления защиты от направленных атак Центра информационной безопасности компании "Инфосистемы Джет" Александр Русецкий. Он вспоминает кейс, в рамках которого заказчик из телеком-отрасли изначально внедрил только защиту электронной почты от известного иностранного вендора, однако по ходу проекта стало понятно, что требуется мультивендорный подход и глубокий анализ веб-трафика. Александр Русецкий пояснил, что "нужно было подобрать решение, которое работает не только с открытым, но и с зашифрованным трафиком". На "пилот" Group-IB предоставила два модуля Threat Hunting Framework (THF) – Sensor и Polygon, а также облачную систему корреляции и управления событиями безопасности Huntbox. "В итоге именно THF выявил признаки компрометации: обращение к командным центрам, зараженные хосты и сертификаты, которые используют злоумышленники. "Пилот" был признан успешным, и мы стали тиражировать этот опыт для других заказчиков", – вспоминает Александр Русецкий.
В 2019 г. после подписания первого дистрибьюторского контракта c международным профильным дистрибутором RRS у Group-IB появился доступ более чем к 1 тыс. партнеров, продающих решения ИБ-вендоров. "Выбор решений часто зависит от отрасли: банкам больше интересны и актуальны антифрод-решения, предприятиям промышленности – анти-APT, но я заметил одну интересную тенденцию, – делится менеджер по продуктам RRC Security Дмитрий Захаренко, – более зрелые заказчики выбирают не одно решение Group-IB, а полный комплект: защиту почтовых серверов с помощью THF Polygon, анализ веб-трафика через Sensor, управление и корреляция событий безопасности в Huntbox". "Кроме того, – подчеркивает Дмитрий Захаренко, – независимо от отрасли у компаний и предприятий есть потребность в защите своего бренда, Digital Risk Protection, поскольку мошенничество или незаконное использование бренда – это серьезный удар по репутации и финансовые потери для бизнеса".
В том же 2019 г. в портфеле Group-IB появились первые технологические партнеры, а уже в 2020 г. стартовала MSSP-программа. И первым партнером стал КРЕДО-С. Директор по развитию КРЕДО-С Дмитрий Симак отмечает: "Сейчас сервисная модель MSSP является одной из самых востребованных в мире, годовой прирост ее доли на рынке составляет 15%. Доступ к высокотехнологичным решениям получают не только крупные компании, но и представители сегмента среднего и малого бизнеса. Подход Group-IB к партнерам нам кажется очень гибким, а профессионализм команды Group-IB высок".
Group-IB использует четыре варианта сотрудничества
- Дистрибьютор. Это компании с широкой партнерской сетью в РФ или СНГ, покупающие продукты и решения Group-IB для реализации их через свою партнерскую сеть.
- Интегратор. Это компании, реализующие комплексные проекты, внедряющие продукты и решения Group-IB корпоративным заказчикам.
- MSSP-партнер. Это сервисные компании, оказывающие услуги по информационной безопасности на базе продуктов и решений Group-IB.
- Технологический партнер. Это компании – разработчики собственного ПО, с использованием технологий и решений Group-IB.
Рынок кибербезопасности в России растет на 10% ежегодно, но рост финансовых потерь от киберинцидентов за тот же период составляет 30%, причем 74% атакованных организаций не были готовы к кибератакам.
Технологии на уровне Rocket Science
Флагманский продукт Group-IB – система Threat Intelligence & Attribution кроме информации о скомпрометированных данных банковских карт и учетных записях открыла клиентам доступ к утекшим базам данных, которые злоумышленники выкладывают в даркнете.
Теперь можно самостоятельно провести поиск по всему массиву данных и не только искать информацию, которая относится к собственной организации, но и проверить, не скомпрометирован ли партнер, клиенты или личные данные первых лиц компании.
"Подчеркну, речь идет о публичных утечках, которые мы находим на хакерских форумах. Так было в случае с Facebook, где утекли данных о 500 млн пользователей, и наши клиенты могут узнать, присутствуют ли их данные в этой утечке, насколько критична проблема и какие риски для бизнеса она несет", – замечает технический директор Group-IB Дмитрий Волков.
С хакерских форумов киберпреступность уходит в Telegram и Discord, где теперь проводятся обсуждения, кого и как атаковать, происходит обмен опытом и выкладываются утекшие данные. Group-IB Threat Intelligence & Attribution мониторит уже более 500 тыс. различных каналов и групп и в ближайшее время откроет доступ к большому массиву данных из различных мессенджеров и соцсетей.
Подписчики Threat Intelligence & Attribution могут работать с матрицей MITRE ATT&CK, публичной базой данных, в которой собраны применяемые различными киберпреступными группами тактики целевых атак.
"Мы давно уже делаем мапинг атак, анализ технических и тактических данных атакующих, полный таймлайн описания техник и тактик, но иногда клиенты сами хотят исследовать образ действия злоумышленников: фильтровать атаки по времени, индустрии, регионам, смотрят, использует ли эти техники одна группа или несколько", – замечает Дмитрий Волков.
Экосистема продуктов и сервисов Group-IB
В решении Threat Hunting Framework для унифицированной защиты произошла трансформация модулей продукта в облачную доставку: если раньше надо было привезти оборудование, собрать его, протестировать, то облачная доставка заметно упрощает процесс.
"Благодаря облачным технологиям упрощается процесс реагирования на инцидент, – продолжает Дмитрий Волков. – Если раньше для реагирования на инцидент под ключ приходилось отправлять команду с оборудованием, то сейчас можно решить проблему и в удаленном режиме: агентское решение от Group-IB Hotpoint позволяет дистанционно реагировать, собирать криминалистические артефакты, управлять настройками и запускать форензик-программы".
"Threat Hunting Framework позволяет эффективно обнаруживать все актуальные виды киберугроз – программы-шифровальщики, эксплойты, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных как внутри, так и за пределами защищенного периметра, – рассказывает начальник отдела безопасности сетевых технологий компании "Информзащита" Павел Меркурьев. – Для одного из наших заказчиков из числа крупных банков мы составили перечень вендоров, провели тестирование систем и выбрали THF для мониторинга сетевого трафика, а Huntbox как облачную систему управления. В результате заказчику удалось снизить время реакции на инциденты и значительно уменьшить площадь потенциальной атаки, максимально использовав опыт и экспертизу специалистов Group-IB для выявления и расследования инцидентов безопасности".
"По нашему опыту, мошенники часто меняют устройства, но теперь это им не поможет скрыться с наших радаров, – уверен технический директор Дмитрий Волков. – Благодаря новому идентификатору Cloud-ID в системе для борьбы с мошенничеством Fraud Hunting Platform мы можем следить за действиями злоумышленника независимо от того, сколько устройств он сменил". Другая важная история – выявление нелегальных транзакций, которые торговцы наркотиками, пираты или нелегальные онлайн-казино проводят через банки и электронные кошельки. "Мы знаем, кто проводит грязные деньги, и можем блокировать такой трафик – пока это уникальное предложение на рынке", – дополняет Дмитрий Волков.
"Сейчас финансовому сектору уже недостаточно классического антифрода. Один наш клиент попросил провести интеграцию Fraud Hunting Platform с ДБО, чтобы обезопасить именно корпоративный сегмент, – рассказывает директор департамента систем безопасности компании BSS Виктор Гулевич. – Для банка было критично, чтобы никто не перехватил управление на компьютере, например, главного бухгалтера в тот момент, когда он формирует денежный перевод. Кроме того, важно быть уверенным, что в интернет-банк заходит настоящий владелец смартфона, а не мошенник или бот".
Академия для партнеров
Group-IB развивается не только в технологическом плане, но и плане партнерских взаимоотношений.
"Мы считаем, что без сильных партнеров невозможно успешное развитие, – уточняет руководитель обучающих проектов Group-IB Антон Чумаков. – Именно поэтому мы запустили партнерскую академию, предоставляя нашим партнерам бесплатную возможность развиваться в сфере информационной безопасности и узнавать актуальную информацию из первых рук".
