Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Разработка системы обнаружения вредоносного ПО в сети предприятия методом анализа сетевого трафика

Катков И.А.
Выпускник группы MBA CIO 40
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Введение

В современном мире высокие технологии и Интернет несут огромную пользу, значительно улучшая нашу жизнь и открывая новые возможности. Но, к сожалению, они также служат оружием или инфраструктурой для преступности.

Методы, которые используют классические компьютерные преступники, переходят на вооружение организованной преступности и используются для совершения более дерзких преступлений. Инструменты, разработанные киберпреступниками, используются для государственного и промышленного шпионажа, финансовых преступлений и мошенничества.

Для решения обозначенных проблем внутри корпоративного сектора была разработана система обнаружения вредоносного ПО в сети предприятия методом анализа сетевого трафика — Bot-Trek TDS. Все работы производились в рамках рабочей деятельности в компании Group-IB.

Объём ущерба, наносимого с использованием вредоносного ПО

Для того, чтобы оценить целесообразность разработки решения по выявлению вредоносного ПО методом анализа сетевого трафика достаточно рассмотреть объем ущерба, нанесённого вредоносным ПО в последние годы в России. По данным компании Group-IB сумма ущерба в России и СНГ за 2013-2014 годы составила 425 миллионов долларов США. Разрабатываемое решение предоставляет возможность значительно снизить обозначенные показатели ущерба.

Виды угроз

Согласно исследованиям, проведённым компаниями Group-IB, PricewaterhouseCoopers, FireEye, PaloAlto Networks, были выявлены и приняты во внимание с необходимостью обеспечения максимальной степени обнаружения следующие угрозы:

·        Хаотичные атаки на корпоративный сектор;

·        Целевые атаки на государственный сектор;

·        Целевые атаки на банковские и финансовые учреждения;

·        Атаки, направленные на хищение и нелегальный майнинг криптовалют;

·        Мобильные угрозы;

·        Шпионаж.

Описание продукта

Для предотвращение реализации всех описанных угроз, в рамках деятельности компании Group-IB была разработана система обнаружения вредоносного ПО в сети предприятия методом анализа сетевого трафика — Bot-Trek TDS.

Bot-TrekTDS является первым и единственным российским сетевым устройством способным эффективно выявлять угрозы, распространяемые и управляемые через сети электросвязи. Основным назначением решения является своевременное выявление зараженных устройств в сети предприятия с целью предотвращения возможных направленных атак, денежных хищений, шпионажа и несанкционированного доступа к данным.

Новизной является комбинирование возможностей выявления угроз с приоритезацией угроз на основе опыта исследования целевых атак.

Основной проблемой конкурентных решения является, генерация большого количества событий на сетевых сенсорах. Большой объем событий и отсутствие нормальных сведений о выявленной угрозе не позволяют специалистам принимать верные решения о необходимости реагирования. Как правило, в таких ситуациях некоторые правила по которым выявляются угрозы отключаются, что снижает эффективность решения, мониторинг событий не осуществляется и как следствие отсутствует процедура реагирования. В результате, компании, которые приобретают аналогичные решения становятся жертвами атак с многомиллионными убытками.

Для решения описанных проблем была разработана классификация событий по степени критичности, которая позволяет значительно улучшить показатель эффективности по выявлению действительно значимых событий. Кроме того, была реализована модель, по которой события отправляются в облачный Центр анализа инцидентов Group-IB SOC. Эта модель позволяет обеспечить круглосуточный анализ событий с многих сетевых устройств и постоянно оптимизировать процесс приоритезации событий за счет корреляции данных с большого количества сенсоров. Отправка событий в облачный Центр анализа инцидентов Group-IB SOC осуществляется по требованию заказчика. В этом случае заказчик снимает с себя необходимость контролировать событий на оборудовании, а отдать эту рутинную процедуру в руки экспертов, которые делают это постоянно и являются авторами системы Bot-TrekTDS.

Еще одним преимуществом является наличие российского центра исследования на базе компании Group-IB. За счет реагирования на инциденты, участия в совместных мероприятиях с техническими службами МВД и ФСБ РФ, большого потока экспертиз через собственную компьютерно-криминалистическую лабораторию накапливаются уникальные знания об угрозах, методах и тактиках проведения атак.

Основными технико-аналитическим конкурентными преимуществами являются:

    - Знание локальных угроз и актуальные именно для РФ сигнатуры, созданные на основе уникального опыта Group-IB;

    - Аутсорсинг анализа логов и ручное высеивание самых важных событий специалистами Group-IB;

    - Консультации по конкретным инцидентам и выявленным угрозам через тикет-систему;

    - Анализ канала до 1 Гбит/сек базовым решением.

Архитектурно Bot-Trek TDS состоит из двух частей:

1.      Сенсор анализа данных

Сенсор TDS является физическим устройством, выполненным в форм-факторе 1U-сервера. Сенсор подключается к зеркальной копии анализируемого трафика, в результате чего установка является довольно простой и быстрой процедурой.

2.      Group-IB SOC

Удаленная инфраструктура Group-IB, которая обеспечивает своевременное обновление программного обеспечения сенсора, набора сигнатур и решающих правил, а также реализует интерфейс работы с выявленными сетевыми событиями, а также поддержку со стороны специалистов Центра анализа инцидентов Group-IB SOC.

В базовой комплектации сенсор имеет 2 сетевых интерфейса: для управления устройством и для захвата сетевого трафика. Для обновления сигнатур и обмена информацией о сетевых инцидентах через порт управления сенсора должны быть доступны подключения к центральному серверу управления и мониторинга Group-IB SOC. К порту захвата трафика подключается кабель с сетевым трафиком, подлежащим анализу.

Обзор рынка продукта

Согласно исследованию Group-IB основным конкурентом именно на российском рынке является компания Check Point. Эти сведения полученные в результате пилотных проектов в различных компаниях, где выбор осуществляется между Check Point и Bot-Trek TDS. Российский разработчик средств защиты "Лаборатория Касперского" провела семинар для клиентов Kaspersky Security Day, на котором рассказала, что в начале следующего года они выпустят продукт для защиты от целенаправленных атак под условным названием Kaspersky Anti-APT.

Основные предполагаемые потребители:

•       Банки и платежные системы;

•       Компании ТЭК;

•       Другим компании, которые когда-то становились объектами таких атак и заказывали исследования в компании Group-IB.

Основными странами, где планируется осуществлять продажу по приоритетам являются:

•       Россия;

•       Казахстан;

•       Аргентина;

•       Бразилия;

•       ОАЭ.

Учитывая геополитическую обстановку продавать решение по обеспечению информационной безопасности на зарубежных рынках будет сложной задачей. Однако, описанная ситуация относится только к рынкам США, Канады и Европы. Остальные рынки открыты для российских компаний и потребность в решениях для выявления зараженных узлов в сети предприятия, предотвращения целевых атак и промышленного шпионажа растет.

Финансовые показатели и финансовый план

Продукт Bot-Trek TDS был анонсирован в ноябре 2014 года на конференции «AntiFraud Russia – 2014» и сразу вызвал большой интерес у ее участников. В итоге до конца года было продано 3 сенсора. Стоит отметить, что Bot-Trek TDS не был заложен в бюджеты купивших клиентов. Менее, чем за год после выпуска, выручка от продажи решения превышает 20 миллионов рублей.

План основных экономических показателей к концу 2019 года:

Расходы на производство – 27 000 000 рублей;

Прибыль – 70 386 000 рублей;

Чистая прибыль – 66 906 000 рублей;

Рентабельность выпускаемого продукта – 32%.

Основной риск: цена на комплектующие (сервера) находится в прямой зависимости от курса доллара. При существенном изменении курса доллара количество приобретаемых серверов будет снижено.

Заключение

Современные средства антивирусной защиты, межсетевые экраны, DLP-системы не могут предотвратить серьезные атаки, особенно когда речь идет о хорошо подготовленных преступных группах и современных вредоносных программах.

Для эффективного управления рисками реализации обозначенных угроз целесообразно использовать описанное в данной работе решение — Bot-Trek TDS. Этопозволит эффективно противостоять современным киберугрозам, своевременно обнаруживать и предотвращать мошенничества с использованием новейших технологий.

Рубрика: 
Информационная безопасность
Ваша оценка: Пусто Средняя: 9.5 (2 голосов)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009