Враг не пройдет: «эшелон» Тинькофф Банка усилен за счет Group-IB TDS Polygon

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, и Тинькофф Банк, инновационный онлайн-провайдер финансовых услуг, сообщают об успешном внедрении эшелонированной системы кибербезопасности, основанной на комплексе продуктов для выявления угроз «нулевого» дня и предотвращения целевых атак. Важным элементом системы стал флагманский продукт Group-IB Threat Detection System Polygon (TDS). «Пилотный» проект в Тинькофф банке подтвердил качество поведенческих отчетов TDS, позволяющих оценить степень критичности угрозы для банка, а также показал высокую эффективность при выявлении ранее неизвестных векторов хакерских атак.

Тинькофф Банк первый и единственный в России полностью онлайн-банк, обслуживающий свыше семи миллионов клиентов дистанционно через онлайн-каналы и контакт-центр. Уникальная структура банка накладывает высокие требования к уровню информационной безопасности как внутренних ИТ-систем, так и финансовых продуктов и сервисов. В этом контексте ключевыми приоритетами для Тинькофф Банка являются стабильное бесперебойное функционирование операционных процессов и превентивная защита от широкого спектра киберугроз, несущих потенциальные риски для ежедневной работы банка.

Несмотря на широкое распространение антивирусных средств, зачастую они оказываются бессильны перед целевыми атаками хакерских групп, эпидемиями вирусов-шифровальщиков, атаками на платежную инфраструктуру с использованием методов социальной инженерии, нелегитимным использованием ресурсов компаний для криптомайнинга и др. Ключевую роль в выявлении угроз, относящихся к категории «нулевого дня» (т.е. ранее неизвестных) играют продукты класса Anti-APT (англ. Advanced Persistent Threat «развитая устойчивая угроза», целевая кибератака), позволяющие проводить многосторонний анализ вредоносных файлов в, так называемой, «песочнице» изолированной от основной сети банка среде.

В качестве такой «песочницы» в Тинькофф Банке использовалось решение одного из ведущих международных вендоров. Однако, практика показала, что существующей конфигурации недостаточно. Банк принял решение усилить качество детектирования, сделав ставку на эшелонированную защиту, основу которой составили сразу несколько «песочниц». По итогам продолжительного тестирования различных продуктов в стэк решено было включить высокотехнологичную систему раннего выявления кибератак Group-IB Threat Detection System Polygon.

Нам важно заранее узнавать о появлении новых типов угроз и оперативно реагировать на них, минимизируя возможные риски. Мы решили развернуть „эшелон песочниц“, сделав упор на обнаружение, прежде всего, угроз „нулевого дня“. Именно они являются наиболее опасными и могут быть выявлены только умными системами поведенческого анализа, позволяющими изучить файл до того, как он попадет на компьютер пользователя. В рамках тестирования TDS Polygon показал высокую эффективность работы и правильность выбранной нами стратегии. Сейчас продукт успешно используется в „боевом“ режиме.

Дмитрий Гадарь

Руководитель Департамента информационной безопасности Тинькофф Банка

По оценке Group-IB в ближайшее время большинство российских банков придет к необходимости использования эшелонированной защиты с использованием наиболее функционального и надежного «конструктора», как минимум из двух Anti-APT, одно из которых умеет «разговаривать» с угрозами на языке страны-источника, а второе ориентировано на детектирование широкого спектра вредоносной активности.

В Group-IB подчеркивают, что синтетические, «выдуманные» кейсы для тестирования качества «песочниц» не дадут практического результата. Именно поэтому совместно со специалистами Tинькофф Банка было инициировано пилотное тестирование Group-IB Threat Detection System Polygon исключительно на реальных данных, с учетом специфики банка, объемов обрабатываемой информации, типичных сценариев работы и других характеристик реального ИТ-ландшафта компании.

Эффективные Anti-APT решения должны не просто осуществлять статический и динамический анализ файлов, но и противостоять множеству техник, позволяющих злоумышленникам обнаруживать виртуализацию ОС и обходить технологию детектирования угроз другими, довольно разнообразными, способами. Дьявол всегда в деталях: даже такие, казалось бы, простые вопросы как анализ ссылок, поддержка сотен форматов файлов, изменяющие во времени свое состояние ссылки, все это серьезный вызов для вендоров, разрабатывающих продукты этого класса. Немаловажна и полнота предоставляемых поведенческих отчетов: детальный разбор действий объекта анализа и наступающих в системе изменений позволяют аналитику, работающему с системой, сделать свой экспертный независимый вывод о правильности вердикта и степени угрозы, который несет данный файл. Эти задачи решает TDS Polygon, что и было продемонстрировано в ходе успешного пилота на реальных кейсах Тинькофф Банка.

Никита Кислицин

Руководитель Департамента сетевой безопасности Group-IB

О компании

F.A.С.С.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.С.С.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.С.С.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.С.С.T. входят в Реестр Отечественного ПО.