PT Network Attack Discovery — система анализа сетевого трафика (network traffic analysis, NTA) для контроля вредоносной активности на периметре и внутри сети. Это удобный инструмент для расследований, который обнаруживает активность злоумышленников даже в зашифрованном трафике. PT NAD знает, что искать в сети.
Проверка сетевой активности PT NAD определяет более 100 сетевых протоколов и 9 протоколов туннелирования и разбирает 35 наиболее распространенных из них до уровня L7 включительно. На основе разбора и анализа более 1200 параметров протоколов строятся модели сетевых узлов. Это позволяет получить подробную картину активности в инфраструктуре и выявить проблемы ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак. PT NAD знает все о каждом сетевом узле, минимизирует использование неконтролируемых компонентов ИТ-инфраструктуры и снижает риск взлома компании через них. Обнаружение сложных целевых атак Система автоматически обнаруживает попытки проникновения в сеть и присутствие злоумышленников в инфраструктуре по множеству признаков, например по примененным инструментам или по данным, переданным на серверы атакующих. Необходимый инструмент SOC PT NAD — незаменимый источник данных для SIEM-решений. Система хранит метаданные и сырой трафик, позволяет оперативно находить сессии и отбирать подозрительные, экспортировать и импортировать трафик. Таким образом PT NAD гарантирует полную видимость сети для SOC, упрощает проверку успешности атаки, помогает восстановить хронологию и собрать доказательную базу.
На дашборде оператор получает детальную информацию о подозрительной активности. Это помогает оперативно реагировать на инциденты и проводить расследования |
Ключевые возможности и преимущества Аномалии в сети PT NAD помогает отслеживать передачу почты и учетных данных в незашифрованном виде, использование VPN-туннелей, TOR, утилит для удаленного доступа, прокси, мессенджеров — все то, что, как правило, запрещено политиками ИБ в крупных компаниях.
Угрозы в зашифрованном трафике Глубокая аналитика позволяет PT NAD с высокой точностью детектировать скрытые под TLS или кастомным протоколом вредоносные программы.
Горизонтальное перемещение злоумышленника PT NAD обнаруживает попытки расширения присутствия злоумышленников в инфраструктуре, детектируя их действия: разведку, удаленное выполнение команд, атаки на Active Directory и Kerberos.
Хакерский инструментарий Экспертный центр PT ESC расследует сложные атаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD, которые выявляют применение всех популярных хакерских инструментов. Активность вредоносного ПОPT NAD выявляет вирусное ПО по его сетевой активности. Это важно для локализации угрозы, т.к. вредоносное ПО просто сделать незаметным для антивирусных систем, а скрыть его сетевую активность — более трудозатратно.
Признаки атак, не обнаруженных ранее Как только база знаний PT NAD пополняется данными о новых киберугрозах, автоматически запускается ретроспективный анализ трафика для проверки наличия угрозы в сети. Это позволяет максимально быстро обнаружить скрытое присутствие злоумышленника.
Сокрытие активности от средств защиты PT NAD детектирует DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты.
Связь с автоматически сгенерированными доменами С помощью технологии машинного обучения PT NAD распознает связь с доменными именами, созданными при помощи алгоритмов генерации доменов (DGA) и определяет вредоносные программы, которые генерировали их. Это помогает выявить вредоносное ПО, которое использует DGA для поддержания связи с управляющим сервером злоумышленника.
Собственная база уязвимостей постоянно пополняется Собственная база уязвимостей постоянно пополняется информацией о новых уязвимостях, в том числе о тех, которые еще не попали в базу данных CVE. Это позволяет PT NAD оперативно выявлять попытки их эксплуатации.
Нарушения регламентов ИБ PT NAD помогает отслеживать передачу почты и учетных данных в незашифрованном виде, использование VPN-туннелей, TOR, утилит для удаленного доступа, прокси, мессенджеров — все то, что, как правило, запрещено политиками ИБ в крупных компаниях
Сценарии применения - Мониторинг сетевой безопасности. PT NAD помогает обнаружить ошибки конфигурации и нарушения регламентов ИБ, например незавершенные сеансы, словарные пароли, использование утилит для удаленного доступа или инструментов для сокрытия сетевой активности.
- Выявление атак на периметре и в инфраструктуре. Встроенные модули глубокой аналитики, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ позволяют отследить атаки на ранних стадиях и после проникновения злоумышленника в инфраструктуру.
- Расследование атак. Оператор ИБ отслеживает атаки и определяет их успешность на основе анализа метаданных. Специалист по расследованию восстанавливает хронологию атаки с помощью данных в PT NAD и вырабатывает компенсирующие меры.
- Поиск угроз. PT NAD помогает выстроить процесс threat hunting в организации, проверять гипотезы, например о присутствии хакеров в сети, и выявлять скрытые угрозы, которые не обнаруживаются стандартными средствами кибербезопасности.
Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов.
Материалы: Система анализа сетевого трафика сертифицирована Оперативно-аналитическим центром при Президенте Республики Беларусь.
Проверьте свою сеть и периметр — закажите бесплатную пилотную версию PT NAD: pt@profiserv.com
|
|
|