Проект

Group-IB внедрила технологию межсетевого экрана для подготовки экспертизы

Заказчики: F.A.C.C.T. (ранее Group-IB в России)

Москва; Информационная безопасность

Подрядчики: Positive Technologies (Позитив Текнолоджиз)

Продукт: PT Application Firewall

Дата проекта: 2016/03 — 2016/05

Технология: ИБ - Межсетевые экраны

подрядчики - 386
проекты - 1452

системы - 728
вендоры - 263

12 июля 2016 года компания Positive Technologies сообщила о внедрении ПО PT Application Firewall в ИТ-инфраструктуру Group-IB в режиме Forensic для расследования инцидентов.

Задачи проекта

Для детальных расследований атак на веб-ресурсы, экспертам Group-IB потребовался удобный инструмент пассивного анализа журналов атакованных серверов. Специалисты компании остановили свой выбор на защитном экране уровня приложений PT Application Firewall.

Интервью с техническим директором Positive Technologies, (2014)

Детальное расследование инцидентов, связанных с атаками на веб-ресурсы организации, — это сложная и кропотливая работа, требующая немалых усилий даже от квалифицированных ИБ-специалистов. PT Application Firewall помогает ощутимо снизить трудозатраты команды экспертов — при одновременном сохранении (а в некоторых случаях и повышении) эффективности. Он не только выявляет и блокирует атаки на веб-ресурсы в режиме реального времени, но и осуществляет их ретроспективный анализ. На технологическом уровне это возможно благодаря режиму Forensic, который позволяет автоматически анализировать журналы событий с потенциально скомпрометированных веб-серверов и приложений.

Андрей Бершадский, директор центра компетенций Positive Technologies

Итог проекта

PT Application Firewall в режиме Forensic помогает Group-IB по запросу загружать журналы событий атакованных веб-серверов для автоматизированного анализа и готовить заключения о причинах инцидентов. Раньше анализ таких журналов эксперты Group-IB проводили вручную, с использованием инструментов собственной разработки, но первые испытания показали, что PT Application Firewall сокращает время расследования инцидента и позволяет экспертам принимать оперативные меры по предотвращению развития инцидентов.

Среди наших клиентов есть компании с потоком сетевого трафика, измеряемым сотнями гигабит. В прошлом, когда такие клиенты становились объектом атаки, нам приходилось тратить очень много времени на анализ данных и восстановление хронологии событий. А ведь скорость и точность — это главные составляющие эффективного реагирования на инциденты. Использование PT Application Firewall при проведении расследований позволило нам оперативно остановить развитие инцидента, в три раза сократить время анализа и успешно идентифицировать атакующих. Развитие технологического партнерства Group-IB и Positive Technologies открывает новые возможности в противодействии киберпреступности.

Дмитрий Волков, руководитель департамента киберразведки компании Group-IB

Источник — «https://med.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B5%D0%BA%D1%82:Group-IB_(%D0%93%D1%80%D1%83%D0%BF%D0%BF%D0%B0_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8)_(PT_Application_Firewall)»