3. История компании
Год основания
Group-IB
2003
Выход на международный
рынок
2009 2010
Создан CERT-GIB —
круглосуточный центр
реагирования
на инциденты ИБ
2011
160+
сотрудников
GROUP-IB.RU
2015
Разработаны системы
раннего обнаружения
мошенничества для
платежных систем
(Bot-Trek Secure Bank)
и интернет-ресурсов
(Bot-Trek Secure Portal)
2012
Создана система
киберразведки
Bot-Trek Intelligence
2014
На рынок вышел первый
продукт GIB на базе
системы киберразведки–
детектор угроз в
корпоративной сети
Bot-Trek TDS
Лаборатория
компьютерной
криминалистики GIB
стала крупнейшей
в Восточной Европе
3
2016
Представлено решение
по защите от
неизвестного
вредоносного кода TDS
Polygon, основанное на
технологиях машинного
обучения
4. Как узнать об угрозах, которые будут
актуальны в 2017 году?
GROUP-IB.COM 4
2016
Скачать: www.group-ib.ru/2016-report.html
2014 2015
Каждый год мы публикуем отчет о тенденциях
высокотехнологичных преступлений и прогнозы
их развития - прогнозы, которые сбываются
8. Уникальная ресурсная база,
накопленная за 14 лет работы
GROUP-IB.RU
ИНФРАСТРУКТУРА
Распределенная сеть мониторинга
и HoneyNet-ловушек
Аналитика бот-сетей
Трекеры сетевых атак
Мониторинг хакерских форумов
и закрытых сетевых сообществ
Данные сенсоров Bot-Trek TDS
HUMAN INTELLIGENCE
Результаты криминалистических
экспертиз Лаборатории Group-IB
Материалы расследований
Мониторинг и анализ
вредоносных программ
База обращений и практика
реагирования на инциденты CERT-GIB
Результаты аудита
Целевая аналитика Group-IB
ОБМЕН ДАННЫМИ
Команды реагирования CERT
Регистраторы и хостинг-провайдеры
Производители средств защиты
Организации и объединения
по противодействию киберугрозам
Europol, Interpol
и правоохранительные органы
Сбор данных об угрозах в ключевых регионах происхождения
Россия и Восточная Европа, Юго-Восточная Азия, Ближний Восток
8
9. GROUP-IB.RU
Bot-Trek Intelligence –
киберразведка по подписке
Bot-Trek Intelligence
широкий спектр разведданных для прогнозирования угроз,
принятия решений и настройки средств защиты
Тактические индикаторы,
минимизирующие время
реагирования на инцидент
Оперативные данные
для подготовки к атакам
и настройки систем защиты
Стратегическая информация
для взвешенной оценки рисков
и приоритизации угроз
———————————————
Competitive Landscape: Threat Intelligence Services, Worldwide, 2015
«Базируясь в Восточной Европе, Group-IB лучше понимает угрозы, рождающиеся в регионе,
и глубже внедрена в локальные хакерские сообщества. Участие в расследовании особо
важных высокотехнологичных преступлений позволяет Group-IB получать эксклюзивную
информацию
о киберпреступниках, их взаимосвязях и другие разведданные».
В 2015 году исследовательская компания Gartner включила Group-IB
в число 7 лучших поставщиков threat intelligence в мире
9
10. Диапазон реагирования:
От нескольких минут до нескольких дней.
Как это использовать:
• Установить компьютер, с которого хакер перехватил логин и пароль.
• Установить к каким еще внутренним системам был получен доступ
• Установить все хосты, к которым атакующий получил доступ.
• Поставить на пристальный мониторинг учетную запись, если
скомпрометирован логин и пароль от внешних сервисов для клиентов.
• Уведомить клиента и дать правильные рекомендации по другим данным
пользователя
Интеграция со внутренними системами:
• IAM/IDM
• IDS/IPS
• SIEM
• Antifraud
Скомпрометированные учетные записи
11. Диапазон реагирования:
от нескольких дней до нескольких месяцев.
Как это использовать:
• Правильная оценка собственных рисков с учетом инцидентов в других
компаниях
• Выработка актуальной стратегии безопасности
• Использование индикаторов для выявления активности определенной
преступной группы или вредоносной программы.
Интеграция со внутренними системами:
• Firewall,
• Proxy server
• AntiSPAM
• IDS/IPS
• SIEM
Угрозы и профайлинги
12. Фишинг и DDOS-Атаки
Диапазон реагирования:
От нескольких минут до нескольких дней.
Как это использовать:
• Блокировка фишинговой страницы немедленно после обнаружения
• Анализ связи фишинговой кампании с инцидентами
• Уведомление сотрудников и клиентов, чтобы повысить их
осведомленность и снизить уровень успешных атак.
• Провести расследование DDOS-атки, собрать доказательную базу,
установить атакующего и его мотивы.
• Использовать информацию о способах ипотенциальной мощности DDoS
атак для оценки рисков
Интеграция со внутренними системами:
• IDS/IPS
• Web proxy
• SIEM
13. Хактивизм
Диапазон реагирования:
от нескольких минут до нескольких дней
Как это использовать:
• Быть готовыми к активному противостоянию и информационным вбросам.
• Отслеживать операции и списки целей
• Отслеживать участников операций и их специализацию.
• Знать к каким ресурсам и как был получен доступ при атаке.
Интеграция со внутренними системами:
• SIEM
• Antifraud
14. Подозрительные IP
Диапазон реагирования:
от нескольких минут до нескольких дней.
Как это использовать:
• Отслеживать последовательность подключений с подозрительных
адресов на уровне сетевого оборудования или Веб-сервера.
• Дополнительно оценивать риски в Antifraud-системах
Интеграция со внутренними системами:
• Web server,
• Firewalls
• IDS/IPS
• SIEM
• Antifraud
15. Вредононые программы
Диапазон реагирования:
от нескольких минут до нескольких дней
Как это использовать:
• Инвентаризация и выявления сайтов или проектов запущенных
компанией, но о которых по каким-то причинам не было известно службе
безопасности.
• Выявление новых фишинговых и мошеннических сайтов.
• Отслеживание контекстной рекламы в поисковых системах.
• Отслеживание мобильных приложений
Интеграция со внутренними системами:
SIEM
16. Нарушение бренда
Диапазон реагирования:
от нескольких минут до нескольких дней
Как это использовать:
• Инвентаризация и выявления сайтов или проектов запущенных
компанией, но о которых по каким-то причинам не было известно службе
безопасности.
• Выявление новых фишинговых и мошеннических сайтов.
• Отслеживание контекстной рекламы в поисковых системах.
• Отслеживание мобильных приложений
Интеграция со внутренними системами:
SIEM
17. GROUP-IB.RU
Результаты использования
Bot-Trek Intelligence
Аналитики и
Incident Response
команды
Качественная приоритизация
инцидентов на основании
threat intelligence данных
Ускорение процессов Incident
Response
Погружение в
детализированный контекст
угроз, знание тактик и
инструментов преступных
групп, потенциально
интересующихся компанией
CISO
Построение стратегии
информационной
безопасности
на основании глубокого
понимания эволюции
киберугроз и анализе
реальных атак в вашем
секторе
Взвешенный выбор
технологических решений для
защиты от актуальных угроз
Увеличение эффективности и
возможностей аналитиков и
Incident Response команд
CEO и топ-
менеджмент
Максимизация ROI от
инвестиций
в системы безопасности,
Incident Response команды и
аналитиков
Получение информации об
угрозах, влияющей на
принятие управленческих
решений
Предотвращение
использования бренда
компании в преступных
целях, снижение
репутационных рисков
17
——— ——— ———