От эксперта к вендору
Компания Group-IB, известная как эксперт в области расследования компьютерных преступлений, заявила о себе как о вендоре, анонсировав прототип системы Cybercop в Сколково.
Компания Group-IB, известная как эксперт в области расследования компьютерных преступлений, заявила о себе как о вендоре, анонсировав прототип системы Cybercop в Сколково. О перспективах этого проекта рассказывает генеральный директор компании Илья Сачков.
Сколково — это прежде всего инновационный центр, сотрудники которого занимаются созданием и совместной коммерциализацией разработанных технологий. Вот почему мы и решили принять участие в данном проекте. Group-IB представила решение Cybercop, в первую очередь предназначенное для осуществления мониторинга той информации, которая может быть практически применима для своевременного реагирования на стороне банка, телекома или обычной коммерческой компании для снижения угроз, которые могут проявляться в абсолютно разных плоскостях (угрозы НСД, инсайд, банковское мошенничество, наличие вредоносного кода в своих сетях, утечка данных и т. д.). Все действия системы выполняются удаленно в формате сервисно-ориентированной платформы.
Сам продукт представляет собой набор технологий, состоящих из ряда подсистем, которые являются абсолютно самостоятельными продуктами:
- мониторинг Botnet-сетей, которые используют злоумышленники для хищения денежных средств с банковских счетов, личных данных, в том числе персональной информации.
- аналитическая система, которая перерабатывает большие объемы информации о действиях преступников, о трендах, их активностях на технофорумах. Эту информацию важно не игнорировать, а накапливать и анализировать. Иногда такое направление деятельности называют еще «киберразведкой».
- в состав продукта также входит подсистема, связанная с защитой бренда и контрафактными операциям в сети. Эта часть требует больших технических ресурсов, чтобы выявлять и автоматизировано предотвращать все то, что нарушает авторские права и авторскую собственность.
Именно на базе этих трех компонентов и строится Сybercop, как независимая платформа и эффективный инструмент нового поколения.
Обновление компетенций
Перед началом работ пришлось сформировать огромный пакет документов, начиная с инвестиционного меморандума и заканчивая техническим описанием предлагаемого решения. Затем каждый документ проходил глубокий анализ и получал профессиональную оценку целого ряда экспертов, от инвесторов до иностранных технических специалистов (США, Канады, Австралии и других), имеющих богатый опыт работы в таких лидирующих компаниях отрасли, как IBM, Intel, eYe.
Помимо всего прочего в нашей компании накоплен большой опыт компьютерно-технологической экспертизы в таких областях, где приходится на практике собирать и обосновывать цифровую доказательную базу для правоохранительных органов. Однако нам потребовалось привлечение разработчиков с опытом нейросетевых технологий в области извлечения информации (Data Mining). На это ушло много времени и пришлось задействовать не только собственные, но и сторонние ресурсы. В результате мы создали глобальную информационную систему с собственным набором приложений API (application programming interface), которая отличается от решений множества компаний, разрабатывающих частные решения для предотвращения киберугроз и мошенничества.
Состояние дел
После завершения всей «бумажной» работы нам предстояло создать архитектуру системы и продумать модель предоставления сервисов для конечного потребителя, что является самым главным с точки зрения коммерциализации. Изначально предполагалось, что это не будет отвлеченным ПО, внедряемым у клиента, потому и был создан прототип полноценного сервиса (SaaS).
Сейчас мы успешно прошли первую стадию, которая подразумевает работающий прототип системы с определенными ограничениями, в частности, позволяет использовать только три подсистемы. Один из прототипов в коммерческой версии уже продается не только российским, но и зарубежным банкам. В основном это сетевые банки, имеющие несколько представительств, — их заинтересовало систематическое получение информации о скомпрометированных картах и доступах к онлайн-банкингу для оповещения служб предотвращения мошенничества в системах ДБО. Две другие подсистемы проходят апробацию экспертного сообщества, и мы ожидаем от них заключений в ближайшее время. Последующий этап предполагает объединение всех подсистем для централизации и сбора данных.
Границы экспертизы
Мы сфокусировались на наиболее важных, с точки зрения эффекта, угрозах, — это вредоносная активность и мошенничество в электронной коммерции и онлайн-банкингах.
В частности:
- банки для предотвращения фрода на основе информации о скомпрометированных клиентах и данных, полученных из ботнет-сетей с «поля» (подсистема Group-IB Bot-Trek);
- телекоммуникационный сектор для подавления зловредной активности в своих инфраструктурах на основе поставляемых списков зараженных ПК в формате XML-ленты и API личного кабинета;
- известные бренды и правообладетели в части получения информации о нарушении интеллектуальной собственности в Сети (подсистема Group-IB BrandPoint Protection/Antipiracy);
- правоохранительные органы различных государств, так как отдельная подсистема обеспечивает постоянное накопление данных о киберпреступниках, различных трендах в этой среде, иную оперативно-значимую информацию (подсистема CyberCrime Monitor).
В ближайших планах предусмотрено активное совершенствование и развитие подсистемы Group-IB Bot-Trek, в которую будут заложены данные о мошенниках («дропах»), их компаниях, незаконно выводящих средства с корпоративных банковских счетов, списки proxy/socks-адресов, используемых злоумышленниками для анонимизации, иные данные, способные серьезно усложнить им жизнь.
До сих пор Group-IB была командой экспертов, известных как специалисты по расследованию киберпреступлений оказывающих услуги в области ИБ. Но сейчас компания выходит на продуктовый рынок и становится вендором. Наши предложения не будут ограничиваться только системой Cybercop, в скором времени появятся и другие продуктовые линейки.
Опубликовано 27.03.2013