1. Group-IB. Комплексная защита сети. Архитектура TDS
Добрый день, коллеги! Сегодня начинаем новый цикл статей, посвященный решениям информационной безопасности от компании Group-IB. Компания работает на рынке информационной безопасности уже более 17 лет и за это время обросла весьма существенными компетенциями, выполняя проекты не только на территории России и стран СНГ, но и на международном рынке. Направление по защите инфраструктуры от сложных целевых атак закрывает комплекс Group-IB Threat Detection System (TDS), состоящий из нескольких различных модулей. Решение специализируется на защите корпоративной и технологической сетей и, главным образом, нацелено именно на противодействие современным атакам. В данной статье рассмотрим архитектуру и функциональные возможности всего комплекса.
Group-IB Threat Detection System (TDS) состоит из нескольких модулей:
Каждый модуль выполняет определенные функции, рассмотрим основные задачи Threat Detection System.
Архитектура решения
Система предназначена для повышения информационной безопасности предприятия: защиты корпоративного и технологического сегментов. Технологии, используемые системой TDS, позволяют эффективно детектировать угрозы на различных фазах матрицы MITRE ATT&CK:
Но это не значит, что система заточена только под промышленный трафик. Изначально система разрабатывалась для инспекции трафика в корпоративных сетях — почта, файловые хранилища, потоки пользовательского трафика. И все это не на периметре, а внутри сети, что позволяет обнаружить и предотвратить особо критичные инциденты ИБ:
TDS Sensor
TDS Sensor — модуль для глубокого анализа сетевого трафика и выявления угроз на сетевом уровне, а также интеграции с различными подсистемами. Sensor позволяет выявить:
Устройство работает в режиме зеркалирования, поэтому решение не может влиять на процессы, задействованные в легитимном трафике.
TDS Decryptor
Логично возникает вопрос: раз TDS Sensor работает на зеркалированном трафике, то, как работать с https соединениями, без инспекции которых невозможно говорить о состоянии защищенности инфраструктуры? В данном случае необходимо будет встраивать в инфраструктуру модуль TDS Decryptor — программно-аппаратный комплекс, предназначенный для вскрытия и анализа содержимого шифрованных сессий, позволяющий повышать видимость и уровень контроля трафика защищаемой инфраструктуры, а также качество обнаружения целевых атак. TDS Decryptor работает в разрыве, подменяет сертификаты, а расшифрованную сессию отправляет на TDS Sensor.
TDS Sensor Industrial
Для детектирования атак в технологическом сегменте предприятия, компания Group-IB совсем недавно разработала модуль TDS Sensor Industrial. Анализируя пакеты данных технологических протоколов собственными поведенческими правилами, TDS Sensor Industrial позволяет выявлять передачу нелегитимных команд управления между уровнями АСУ ТП, обнаруживать использование служебных команд АСУ ТП с целью перепрошивки ПЛК, подмены программы управления, остановки технологических процессов, и другие нарушения.
Модуль поддерживает как открытые протоколы — CIP, DNP3, IEC 60870-5-104, IEC 61850-MMS, Modbus TCP, OPC-DA, OPC-UA, MQT, так и некоторые проприетарные — Siemens, Schneider Electric, Rockwell Automation, Emerson. Если нужного протокола нет в списке совместимости, специалисты Group-IB готовы его добавить в течение нескольких недель.
TDS Sensor Industrial никаким образом не влияет на технологические процессы, все работает в режиме зеркалирования. Хорошим дополнением к системе будет использование модуля TDS Huntpoint на APM операторов и инженеров, что позволит фиксировать действия на особо важных машинах внутри.
TDS Polygon
Использование одного модуля TDS Sensor может быть недостаточно для обнаружения атак, необходимо также проверять файлы, которые распространяются по сети. Этот функционал обеспечивает TDS Polygon. Данный модуль предназначен для поведенческого анализа подозрительных объектов в изолированной виртуальной среде. TDS Sensor извлекает файлы из сетевого трафика на SPAN порте или берет их с файловых хранилищ и отправляет в TDS Polygon на анализ. Также можно настроить интеграцию почтового сервера и TDS Sensor, в результате чего все письма с вложениями и ссылками будут проверяться продуктом.
Файлы проверяются на нескольких виртуальных машинах — Windows XP, Windows 7, Windows 10 в двух вариантах разрядности – x32/x64, а также с использованием двух языков системы – русский/английский. Причём система сама определяет необходимость использования той или иной разрядности или версии в случае, если вредоносные признаки объекта были занижены или не обнаружены. Система оснащена функционалом сокрытия виртуализации и обнаруживает попытки обхода средств защиты вредоносным файлом. Например, если вредоносное ПО создает отложенную задачу, TDS Polygon будет «ускорять» системное время, чтобы сдетонировать зловред. Или если злоумышленники отправили письмо с пустой ссылкой, TDS Polygon будет «ходить» за файлом, пока его там не обнаружит (такой тип атаки довольно распространен). Возможны и более сложные примеры детонации ВПО (реакции на перезагрузку ОС, закрытие вспомогательного ПО и т.д.). Модуль также активно применяет машинное обучение и описанные ранее сигнатуры для выявления вредоносной активности.
В дополнение, удобным сервисом является подключение решения к центру обеспечения безопасности Group-IB – CERT-GIB, специалисты которого в режиме реального времени отслеживают и анализируют события, выявленные TDS Sensor и TDS Polygon. Эксперты CERT-GIB немедленно уведомляют специалистов организации о критичных угрозах по электронной почте и телефону, а также дают рекомендации по их устранению и сопровождают пользователей до полной эскалации. Поддержка работает 24*7, 365 дней в году.
TDS Huntpoint
Не всегда вредоносное ПО распространяется по всей сети, иногда достаточно заразить только одну нужную рабочую станцию. Или же зловред вообще миновал сеть и проникло на устройство с помощью съемных носителей. Поэтому могут быть ситуации, когдаTDS Sensor не обнаружит никаких событий. В данном случае компания Group-IB предлагает использование агентского решения TDS Huntpoint.
TDS Huntpoint — это модуль продукта Group-IB Threat Detection System (TDS), позволяющий проводить фиксацию хронологии поведения пользователя, отслеживать процессы, происходящие на системе для выявления вредоносной активности, а также проводить сбор дополнительной контекстной информации для выявления вредоносного поведения на хосте.
Как и TDS Sensor, TDS Huntpoint будет отправлять файлы на анализ в TDS Polygon. И в случае проникновения вредоносного ПО на ПК, TDS Huntpoint, по команде из командного центра TDS, изолирует этот хост от сети. В рамках данного модуля компанией реализуются такие направления как компьютерная криминалистика, реагирование на хостах и threat hunting.
TDS Huntbox
TDS Huntbox — это центр управления, мониторинга, хранения событий и обновлений, устанавливаемый внутри инфраструктуры заказчика. TDS Huntbox интегрируется с другими компонентами комплекса TDS (Sensor, Polygon, Huntpoint) и значительно расширяет функционал решения за счет новых возможностей.
Типовая схема работы всех модулей Group-IB
Если суммировать, весь комплекс работает на зеркалированном трафике, кроме интеграций с почтой или с файловым хранилищем. Активную блокировку прохождения трафика можно организовать, если настроить Sensor как ICAP сервер или поставить в разрыв для почтового трафика. TDS Decryptor необходим для расшифровывания https трафика. Для контроля особо важных пользовательских машин рекомендуется использование TDS Huntpoint. Исходя из этой информации, становится понятно, что основная работа специалиста ИБ должна идти по мониторингу событий и алертов, причем это работа должна происходить постоянно. В случае появления события, специалист, получая информацию из события, должен проверить конечную точку и принять меры по противодействию угрозе. Это значит, что должны быть сотрудники, которые будут активно мониторить текущие события и серьезно подходить к вопросу использования системы.
Со своей стороны Group-IB проводит много работ, чтобы максимально сократить события False Positive, тем самым облегчая работу инженера и оставляя только те события, которые несут угрозу, и на которые необходимо проводить реагирование.
Заключение
Group-IB Threat Detection System является серьезным решением для защиты внутренней корпоративной сети, и особый интерес должен вызывать у тех организаций, которым необходима защита технологической сети. Также еще раз стоит упомянуть что решение принадлежит классу anti — APT, а значит, данный функционал может быть существенным дополнением к существующей системе защиты для любой крупной организации, которым требуется постоянно следить за состояние внутренней инфраструктуры.
В будущем мы планируем опубликовать подробные обзоры на каждый модуль TDS отдельно, с различными примерами тестов. Так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog), Яндекс.Дзен.
Управление трафиком: трекер или TDS?
Как мы знаем, TDS-ки существуют уже далеко не первый день, но их важность при этом далеко не уменьшалась. И вот, напрашивается вопрос: как именно развивались эти системы на продолжении ХХI века и сквозь какие изменения им пришлось пройти за это время?
Тем не менее, таким системам тоже есть место быть – но при каких обстоятельствах и что они собой представляют?
Давайте попробуем полистать историю, чтобы понять, какие TDS были и есть, для чего их используют и с чем едят.
О некоторых, как, например, Simple TDS, мы просто вспоминаем, одновременно проговаривая прощальную речь, потому что подобной рабочей TDS-ки уже не существует, а об остальных мы еще можем поговорить.
Keitaro TDS и Sutra TDS вполне актуальны и рабочие, но в то же время для большинства арбитражников это уже прошлый век. И все равно давайте чуток остановимся на этом моменте и попробуем разъяснить ситуацию.
Keitaro TDS – что она собой представляет?
Саппорт этой системы, который, кстати, очень отзывчивый, быстро отвечает на заданные вопросы и старается устранить неполадки, уверяет в своей крутости, чего и стоило было ожидать:
Если вы решили испробовать Keitaro TDS, ее представители предоставляет пробный период длинной в 7 дней, чтобы вы смогли сами оценить удобство использования и гибкость этой системы. Цена вопроса от 327 до 654 руб. в месяц в зависимости от длительности лицензии.
О Sutra TDS расписывать подобные вещи нет смысла – присутствуют, конечно, немалые отличия, но функции они исполняют похожие. Саппорт отвечает сутками, да и ответы то не совсем оправдывают ожидания: единственное, на что они способны, это в заверении о своей надежности с причин их старости, но, мне кажется, что мы живем не совсем в том веке, чтобы свежие системы уступали место в транспорте современных технологий старшим. Да и стоимость тут кричит сама за себя: от 200$ до 270$ за все время использования, одним платежом, так сказать, за кота в мешке кэш вываливаешь + добавления какие-то платные.Ну вообщем вы поняли.
Ну что же, к этому вопросу мы еще вернемся, а сейчас для общих сведений давайте раскроем потенциал CPATracker.
Собственно, этот трекер показывает источники переходов и конверсий. С его помощью можно определить вашу прибыль (если в настройках добавить стоимость трафика и лида), ROI и конверсию. Он показывает отчеты по продажам и переходам. Учет конверсий осуществляется по огромному количеству параметров (рекламная сеть, объявление, демография, страна, город, операционная система, для мобильных: оператор и модель телефона) + собственные параметры, которые можно передавать в ссылке.
Но к этому всему неприятных моментов тоже достаточно. Например, CPATracker не всегда верно определяет OS, версию браузера, страну и другие параметры юзера, у них, мягко говоря, не слишком быстрый редирект. Но для использования в той же самой контекстной рекламе или, если вы льете трафик с вк, вполне сойдет. Ну и еще одно: у CPATracker нет путевого мануала.
Но не зря мы говорили о путешествии во времени – сейчас есть более актуальные системы, и мало кому захочется отправится в прошлое, чтобы испробовать менее эффективные TDS, особенно когда вы планируете стать акулой арбитража.
Своеобразным лидером среди трекеров для арбитражников сейчас есть OctoTracker. Этот трекер выполняет свои задачи куда круче вышеназванных TDS.
Во-первых, у них есть две встроенные TDS:
Но это лишь одна из составных частей, помимо которой есть еще гибкая аналитика, система определения ботового трафика по множеству параметров, интеграция с источниками трафика и партнерками.
OctoTracker достаточно сложная система для понимания и дорогая, но для проверки бесплатный месяц использования. OctoTracker владеет и тизерной сетью октобёрд, у них более глубокие настройки. Так что, если речь идет о тизерной рекламе, то вы попали именно туда, куда нужно. Но, конечно же, цена вопроса в данном случае куда выше: 1700-2000 руб. для новичка и 2590-3700 руб. для профи.
Еще одним трекером для арбитража трафика есть Adsbridge.Он не уступает OctoTracker по возможностям глубокой аналитики, но это именно внешний трекер. Здесь и с использованием все проще: поддержка все поможет настроить бесплатно именно с вашей спа сетью, и к тому же 30 дней тестовый период.
Возможностей здесь тоже немало, все это и больше читайте в детальном обзоре.
Так что, котаны, выбор всегда за вами, и, надеюсь, после прочитанного вы сможете сделать правильные выводы. Советы здесь лишние – тут и так все понятно. А от меня – лучшие пожелания в работе, пользуйтесь на здоровье!
TDS-системы: ТОП-15 лучших трекеров для арбитража трафика
Keitaro TDS предоставляет систему распределения входящего трафика. Можно решить множество задач, связанных с трафиком. Работать с системой приятно. Лучший выбор в соотношении цена / качество!
TDS — система распределения трафика. При совпадении определенных правил отправляет посетителя на нужные вам страницы. TDS распределяет трафик в соответствии с заданными параметрами. В этой статье разберем лучшие TDS системы и сравним их функционал.
ТАБЛИЦА
Клоакинг
Хранение данных
Максимальное число кликов
KEITARO – Перейти на сайт
Keitaro TDS предоставляет рекламодателям, веб-мастерам и арбитражникам систему распределения входящего трафика. Можно решить множество задач, связанных с web или wap трафиком. Это простой TDS, но функционал не очень широк. Работать с системой приятно. Возможно, лучший выбор в соотношении цена / качество.
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 5
BINOM – Перейти на сайт
Binom — трекер, увеличивающий скорость обработки кликов и предоставляющий детализированную статистику. Обещает скорость обработки клика за 7 мс. при любых объёмах трафика.
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 5
VOLUUM – Перейти на сайт
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 5
ADSBRIDGE – Перейти на сайт
AdsBridge предлагает арбитражникам начать бизнес, используя систему Смартлинк. Это одна ссылка, на которую нужно лить трафик. Чтобы достичь максимальной конверсии, система в режиме реального времени анализирует каждого посетителя, который перешёл по смартлинку, и направляет на подходящий оффер.
Характеристики
Плюсы
Минусы
Тарифы
От 29 долларов в минус.
Рейтинг 5
TRK.AS – Перейти на сайт
С помощью ClickMeter вы можете найти наиболее эффективные кампании и сосредоточиться только на наиболее эффективных.
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 4
LIBKTRACKR – Перейти на сайт
LinkTrackr - эффективная система для отслеживания рекламных кампаний и партнерских ссылок. Сервис помогает определить наиболее эффективные методы продвижения и привлечения трафика.
Характеристики
Плюсы
Минусы
Тарифы
От 7$ на стартовом пакете.
Рейтинг 4
OCTOTRACKER – Перейти на сайт
OctoTracker – мощный инструмент для анализа и распределения трафика. В наличии настройки для лучших партнерок со всего мира. Есть подсчет прибыли в разных валютах и мощная аналитика.
Характеристики
Плюсы
Минусы
Тарифы
От 2400 рублей в месяц.
Рейтинг 5
BEMOB – Перейти на сайт
BeMob – трекер, помогающий управлять трафиком. Данные хранятся в облаке, есть тестирование лендингов и парковка домена.
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 5
PEERCLICK – Перейти на сайт
Peerclick — трекер и система распределения трафика для оценки и аналитики рекламных кампаний в одном кабинете. Трекер оснащён технологией смарт флоу, позволяющий обрабатывать любые объёмы данных.
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 5
KEEN – Перейти на сайт
Иностранный сервис для отслеживания трафика с рядом дополнительных функций.
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 4
TRACKINGDESK – Перейти на сайт
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 5
ARBALET WILDO – Перейти на сайт
Arbalet – универсальный сервис для арбитражников. Есть трекер и TDS для трафика, поиск офферов, копирование лендингов и иные необходимые функции.
Характеристики
Плюсы
Минусы
Тарифы
От 1450 рублей в месяц.
Рейтинг 5
CPATRACKER – Перейти на сайт
Один из старейших трекеров. Отлично подходит для новичков в арбитраже.
Характеристики
Плюсы
Минусы
Тарифы
От 2500 рублей в месяц.
Рейтинг 3
ZTDS – Перейти на сайт
zTDS – бесплатная система распределения трафика. Позволяет без лишних затрат провести сплит-тестирование, распределить трафик по типу устройства, гео, использовать разнообразные фильтры и настройки.
Характеристики
Возможности сортировки трафика:
Плюсы
Минусы
Тарифы
Рейтинг 3
REDTRACK – Перейти на сайт
Облачный CPA-трекер RedTrack.io предоставляет серверные инструменты для сбора статистических данных о событиях конверсий и оптимизации потоков трафика.
Характеристики
Плюсы
Минусы
Тарифы
Рейтинг 4