Clever Geek Handbook

1. Grup-IB. Perlindungan jaringan yang komprehensif. Arsitektur TDS





Selamat siang, rekan! Hari ini kami memulai serangkaian artikel baru yang didedikasikan untuk solusi keamanan informasi dari Group-IB. Perusahaan telah bekerja di pasar keamanan informasi selama lebih dari 17 tahun dan selama ini telah memperoleh kompetensi yang sangat signifikan, melaksanakan proyek tidak hanya di Rusia dan negara-negara CIS, tetapi juga di pasar internasional. Area perlindungan infrastruktur dari serangan target yang kompleks menutup kompleks Sistem Deteksi Ancaman Grup-IB (TDS), yang terdiri dari beberapa modul berbeda. Solusinya mengkhususkan diri dalam melindungi jaringan perusahaan dan industri dan terutama ditujukan khusus untuk melawan serangan modern. Pada artikel ini, kami akan mempertimbangkan arsitektur dan fungsionalitas seluruh kompleks.



Sistem Deteksi Ancaman Group-IB (TDS) terdiri dari beberapa modul:



  • Sensor TDS;
  • TDS Decryptor;
  • Industri Sensor TDS;
  • Poligon TDS;
  • TDS Huntpoint;
  • TDS Huntbox.






Setiap modul menjalankan fungsi tertentu, pertimbangkan tugas utama Sistem Deteksi Ancaman.



Arsitektur solusi





Sistem ini dirancang untuk meningkatkan keamanan informasi suatu perusahaan: perlindungan segmen korporat dan teknologi. Teknologi yang digunakan oleh sistem TDS memungkinkan untuk secara efektif mendeteksi ancaman pada berbagai fase matriks MITRE ATT & CK :



  1. Ancaman zero-day;
  2. Eksploitasi, trojan, pintu belakang, skrip berbahaya untuk desktop, server, dan platform seluler;
  3. Saluran transmisi data tersembunyi;
  4. Serangan menggunakan alat yang sah (tinggal di luar negeri).


Penting untuk dicatat bahwa keuntungan kuat dari kompleks Group-IB TDS adalah pendekatan terintegrasi untuk perlindungan jaringan: dari satu pusat kendali dimungkinkan untuk mengelola semua modul yang dipasang baik di segmen korporat maupun di segmen teknologi. Solusi kelas ini sangat sesuai untuk melindungi perusahaan dan organisasi tempat ICS digunakan. Semua sertifikat yang diwajibkan di Rusia untuk mematuhi Undang-undang Federal 187 telah diterima oleh produk.



Tetapi ini tidak berarti bahwa sistem tersebut hanya disesuaikan untuk lalu lintas industri. Awalnya, sistem ini dikembangkan untuk pemeriksaan lalu lintas di jaringan perusahaan - surat, penyimpanan file, arus lalu lintas pengguna. Dan semua ini bukan pada perimeter, tetapi di dalam jaringan , yang memungkinkan Anda untuk mendeteksi dan mencegah insiden keamanan informasi yang sangat penting:



  1. fakta bahwa pengguna mengunduh file yang terinfeksi;
  2. penyebaran infeksi malware pada PC pengguna di domain;
  3. upaya untuk mengeksploitasi kerentanan oleh penyusup di dalam jaringan;
  4. gerakan horizontal penyusup dalam jaringan.


Perangkat perimeter sangat tidak mungkin untuk mendeteksi insiden yang dijelaskan di atas jika mereka telah memasuki jaringan. Namun, seperti di tempat lain, semuanya tergantung pada pengaturan. Modul Group-IB TDS harus berada di tempat yang benar dan dikonfigurasi dengan benar, oleh karena itu, di bawah ini kami akan memberikan penjelasan singkat tentang fitur kompleks dan fungsinya.



Sensor TDS







TDS Sensor adalah modul untuk analisis mendalam lalu lintas jaringan dan deteksi ancaman di tingkat jaringan, serta integrasi dengan berbagai subsistem. Sensor memungkinkan Anda untuk mengidentifikasi:



  1. Interaksi perangkat yang terinfeksi dengan pusat komando penjahat dunia maya;
  2. ;
  3. .


Database internal tanda tangan dan mesin ML dikembangkan oleh Group-IB. Tanda tangan serangan diklasifikasikan dan dikorelasikan oleh spesialis intelijen siber Grup-IB dan analis CERT, dan pengklasifikasi ML dikembangkan dalam kerja sama erat dengan pakar forensik dan analis dari semua layanan utama, setelah itu diperbarui ke TDS, ini memungkinkan respons tepat waktu terhadap serangan bertarget modern. Ini juga mendeteksi anomali untuk mengidentifikasi terowongan tersembunyi dalam protokol tingkat tinggi dan kemungkinan penyebaran ancaman di infrastruktur internal dan antar segmen. Integrasi produk dengan sistem pihak ketiga dimungkinkan: dengan surat, ICAP, dengan penyimpanan file, SIEM, dll.



Perangkat beroperasi dalam mode pencerminan , sehingga solusinya tidak dapat memengaruhi proses yang terlibat dalam lalu lintas yang sah.



TDS Decryptor



Pertanyaan yang muncul secara logis: karena TDS Sensor beroperasi pada lalu lintas cermin, lalu bagaimana bekerja dengan koneksi https, tanpa pemeriksaan yang tidak mungkin untuk berbicara tentang keadaan keamanan infrastruktur? Dalam hal ini, perlu untuk mengintegrasikan modul TDS Decryptor ke dalam infrastruktur - kompleks perangkat lunak dan perangkat keras yang dirancang untuk membuka dan menganalisis konten sesi terenkripsi, yang memungkinkan untuk meningkatkan visibilitas dan tingkat kontrol lalu lintas infrastruktur yang dilindungi, serta kualitas deteksi serangan yang ditargetkan. TDS Decryptor bekerja dalam diskontinuitas, menggantikan sertifikat, dan mengirimkan sesi yang didekripsi ke TDS Sensor.



Industri Sensor TDS



Untuk mendeteksi serangan di segmen teknologi perusahaan, Group-IB baru-baru ini mengembangkan modul TDS Sensor Industrial. Dengan menganalisis paket data dari protokol teknologi dengan aturan perilakunya sendiri, TDS Sensor Industrial memungkinkan pendeteksian transfer perintah kontrol yang tidak sah antara level APCS, mendeteksi penggunaan perintah layanan APCS untuk tujuan mem-flash PLC, mengganti program kontrol, menghentikan proses teknologi, dan pelanggaran lainnya.



Modul ini mendukung kedua protokol terbuka - CIP, DNP3, IEC 60870-5-104, IEC 61850-MMS, Modbus TCP, OPC-DA, OPC-UA, MQT, dan beberapa kepemilikan - Siemens, Schneider Electric, Rockwell Automation, Emerson. Jika protokol yang diperlukan tidak ada dalam daftar kompatibilitas, pakar Grup-IB siap menambahkannya dalam beberapa minggu.



TDS Sensor Industrial tidak mempengaruhi proses teknologi dengan cara apapun, semuanya bekerja dalam mode cermin. Tambahan yang baik untuk sistem ini adalah penggunaan modul TDS Huntpoint pada APM operator dan insinyur, yang akan merekam tindakan pada mesin kritis di dalamnya.



Poligon TDS







Menggunakan modul Sensor TDS tunggal mungkin tidak cukup untuk mendeteksi serangan, Anda juga harus memeriksa file yang didistribusikan melalui jaringan. Fungsionalitas ini disediakan oleh TDS Polygon. Modul ini ditujukan untuk analisis perilaku objek yang mencurigakan di lingkungan virtual yang terisolasi. TDS Sensor mengekstrak file dari lalu lintas jaringan di port SPAN atau mengambilnya dari penyimpanan file dan mengirimkannya ke TDS Polygon untuk dianalisis. Anda juga dapat mengonfigurasi integrasi server email dan Sensor TDS, sehingga semua email dengan lampiran dan tautan akan dipindai oleh produk.



File dipindai pada beberapa mesin virtual - Windows XP, Windows 7, Windows 10 dalam dua versi bit - x32 / x64, serta menggunakan dua bahasa sistem - Rusia / Inggris. Selain itu, sistem itu sendiri menentukan kebutuhan untuk menggunakan satu atau beberapa bit atau versi jika fitur berbahaya dari objek diremehkan atau tidak terdeteksi. Sistem ini dilengkapi dengan fungsi penyembunyian virtualisasi dan mendeteksi upaya untuk melewati sarana perlindungan dengan file berbahaya. Misalnya, jika malware membuat tugas yang tertunda, TDS Polygon akan "mempercepat" waktu sistem untuk meledakkan malware. Atau, jika penyerang mengirim email dengan link kosong, TDS Polygon akan โ€œmengikutiโ€ file tersebut hingga ditemukan di sana (jenis serangan ini cukup umum). Contoh yang lebih kompleks dari peledakan HPO juga dimungkinkan (reaksi terhadap boot ulang OS,menutup perangkat lunak tambahan, dll.). Modul ini juga secara aktif menggunakan pembelajaran mesin dan tanda tangan yang telah dijelaskan sebelumnya untuk mendeteksi aktivitas berbahaya.



Selain itu, layanan yang nyaman adalah koneksi solusi ke pusat keamanan Group-IB - CERT-GIB, yang spesialisnya memantau dan menganalisis peristiwa yang terdeteksi oleh TDS Sensor dan TDS Polygon secara real time. Pakar CERT-GIB segera memberi tahu spesialis organisasi tentang ancaman kritis melalui email dan telepon, serta memberikan rekomendasi untuk eliminasi mereka dan menemani pengguna sampai mereka benar-benar ditingkatkan. Dukungan bekerja 24 * 7, 365 hari setahun.



TDS Huntpoint







Malware tidak selalu menyebar ke seluruh jaringan; terkadang cukup menginfeksi hanya satu workstation yang diinginkan. Atau, malware sepenuhnya melewati jaringan dan memasuki perangkat menggunakan media yang dapat dilepas. Oleh karena itu, mungkin ada situasi ketika Sensor TDS tidak mendeteksi kejadian apa pun. Dalam hal ini, Group-IB menawarkan penggunaan solusi agen TDS Huntpoint.



TDS Huntpoint adalah modul produk Group-IB Threat Detection System (TDS) yang memungkinkan Anda merekam riwayat perilaku pengguna , melacak proses yang terjadi di sistem untuk mendeteksi aktivitas berbahaya, dan mengumpulkan informasi kontekstual tambahan untuk mendeteksi perilaku berbahaya di host.

Seperti TDS Sensor, TDS Huntpoint akan mengirim file ke TDS Polygon untuk dianalisis. Dan jika ada malware yang menyusup ke PC, TDS Huntpoint, atas perintah dari pusat perintah TDS, mengisolasi host tersebut dari jaringan. Sebagai bagian dari modul ini, perusahaan mengimplementasikan area seperti forensik komputer, respons terhadap host, dan perburuan ancaman.



TDS Huntbox







TDS Huntbox adalah pusat kendali , pemantauan, penyimpanan peristiwa dan pembaruan, dipasang di dalam infrastruktur pelanggan. TDS Huntbox terintegrasi dengan komponen lain dari kompleks TDS (Sensor, Polygon, Huntpoint) dan secara signifikan memperluas fungsionalitas solusi melalui fitur-fitur baru.



Fitur sistem:



  1. Manajemen Infrastruktur Deteksi;
  2. Orkestrasi semua komponen dan manajemen TDS dari satu antarmuka;
  3. Analisis data besar, identifikasi alat dan infrastruktur baru penyerang;
  4. Penyimpanan log dan informasi analitis tentang insiden;
  5. Visualisasi insiden pada tahap awal serangan;
  6. Membangun grafik jaringan;
  7. Respon jarak jauh di stasiun akhir (TDS Huntpoint);
  8. Berburu ancaman.


Untuk spesialis keamanan informasi yang akan bekerja dengan produk ini, platform ini adalah yang utama, karena di situlah semua insiden keamanan informasi yang terdeteksi dianalisis.



Operasi tipikal dari semua modul Group-IB







Singkatnya, seluruh kompleks beroperasi pada lalu lintas cermin, kecuali untuk integrasi dengan penyimpanan email atau file. Pemblokiran lalu lintas aktif dapat diatur dengan mengkonfigurasi Sensor sebagai server ICAP atau dengan meletakkannya di celah untuk lalu lintas email. TDS Decryptor diperlukan untuk mendekripsi lalu lintas https. Penggunaan TDS Huntpoint direkomendasikan untuk memantau mesin pengguna yang kritis. Berdasarkan informasi ini, menjadi jelas bahwa pekerjaan utama seorang spesialis keamanan informasi harus terus memantau kejadian dan peringatan, dan pekerjaan ini harus berlangsung terus-menerus. Jika suatu peristiwa terjadi, seorang spesialis, yang menerima informasi dari peristiwa tersebut, harus memeriksa titik akhir dan mengambil tindakan untuk melawan ancaman tersebut. Artinya, harus ada karyawan yang akan secara aktif memantau kejadian terkini dan menganggap serius masalah penggunaan sistem.



Pada bagiannya, Grup-IB melakukan banyak pekerjaan untuk meminimalkan kejadian Positif Palsu, dengan demikian memfasilitasi pekerjaan seorang insinyur dan hanya menyisakan kejadian yang menimbulkan ancaman dan yang perlu ditanggapi.



Kesimpulan



Sistem Deteksi Ancaman Grup-IB adalah solusi serius untuk melindungi jaringan internal perusahaan, dan harus menjadi perhatian khusus bagi organisasi yang perlu melindungi jaringan industri. Perlu juga disebutkan sekali lagi bahwa solusi tersebut termasuk dalam kelas anti-APT, yang berarti bahwa fungsi ini dapat menjadi tambahan yang signifikan untuk sistem perlindungan yang ada untuk organisasi besar mana pun yang perlu terus memantau keadaan infrastruktur internal.



Di masa mendatang, kami berencana untuk menerbitkan ulasan rinci untuk setiap modul TDS secara terpisah, dengan berbagai contoh pengujian. Jadi pantau terus ( Telegram , Facebook , VK , TS Solution Blog ), Yandex.Zen .


More articles:


All Articles