PT Network Attack Discovery (PT NAD)

Продукт
Разработчики: Positive Technologies (Позитив Текнолоджиз)
Дата последнего релиза: 2020/07/30
Технологии: ИБ - Межсетевые экраны,  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

PT Network Attack Discovery (PT NAD) — комплексное решение сетевой безопасности, предназначенное для анализа сетевого трафика, выявления и расследования инцидентов.

2020

PT Network Attack Discovery 10: Возможности для проведения расследований и threat hunting

30 июля 2020 года компания Positive Technologies сообщила о выпуске 10-ой версии системы анализа трафика PT Network Attack Discovery (PT NAD). Обновленная система определяет доменные учетные записи пользователей в сети, видит больше данных в зашифрованных SSH-сессиях и проводит автоматический ретроспективный анализ по всем спискам индикаторов компрометации. Такая функциональность, по мнению разработчика, пригодится специалистам для проведения расследований и проактивного поиска угроз (threat hunting).

Чтобы отследить действия злоумышленников, скомпрометировавших учетную запись, PT NAD определяет учетные данные пользователя при аутентификации по протоколу Kerberos. Это дает возможность специалистам по информационной безопасности видеть доменную учетную запись, которая была использована в конкретной сессии. Сетевые соединения можно отфильтровать по логину пользователя и получить список тех, в которых он был использован, подчеркнули в Positive Technologies.

Со слов разработчика, для выявления аномалий в зашифрованных соединениях PT NAD (начиная с десятой версии) проводит расширенный анализ зашифрованных сессий по протоколу SSH. Благодаря этому пользователям доступна дополнительная информация об SSH-соединениях:

  • тип трафика в зашифрованном соединении,
  • тип и количество неудачных попыток аутентификации,
  • наличие интерактивных данных в сессии, передача файлов и создание туннелей.

Такие данные дают специалистам по ИБ возможность выявлять, например, нетипичные способы аутентификации пользователей, атаки методом перебора, а также подозрительные туннели, входящие в число наиболее часто выявляемой в отечественных организациях подозрительной сетевой активности, утверждают в Positive Technologies.

Чтобы выявлять атаки, которые произошли в прошлом, PT NAD анализирует сохраненные сессии по всем индикаторам компрометации, добавленным в продукт вендором или пользователем. В предыдущих версиях ретроспективный анализ был доступен только тем пользователям, которые подключили отдельный компонент по сбору индикаторов компрометации. В представленной версии ретроспективный анализ запускается автоматически, это позволит быстро обнаружить признаки скрытого присутствия злоумышленника, считают в Positive Technologies.

Со слов разработчика, для большей прозрачности сети в обновленной версии продукта расширен набор определяемых протоколов: PT NAD детектирует еще 7 протоколов, которые встречаются в сетях крупных российских компаний (общее же их число составляет 80). Определение протоколов дает понимание, в каком объеме и какого рода сетевые соединения устанавливаются внутри корпоративной сети. Для комфортной работы с PT NAD пользователи могут включить автоматическое обновление данных на дашбордах с заданной периодичностью и из любого раздела системы перейти в справочный центр, аккумулирующий полную и актуальную на любой момент времени информацию по работе с продуктом.

Справочный центр PT NAD

Защита от эксплуатации выявляемых уязвимостей нулевого дня в продуктах Microsoft

20 января 2020 года компания Positive Technologies сообщила, что вошла в число участников программы для разработчиков средств защиты Microsoft Active Protections.

PT NAD

Теперь пользователи системы анализа сетевого трафика Positive Technologies Network Attack Discovery (PT NAD) будут защищены от эксплуатации выявляемых уязвимостей нулевого дня в продуктах Microsoft.

Microsoft запустила программу Microsoft Active Protections Program (MAPP) в 2008 году. Ее главная цель — дать разработчикам решений для информационной безопасности возможность получать сведения о выявляемых уязвимостях в программном обеспечении Microsoft как можно быстрее. Это позволяет разработчикам оперативно реализовать в своих продуктах обнаружение попыток эксплуатации уязвимостей, для которых еще нет официальных патчей. В результате повышается общий уровень защищенности миллионов пользователей продуктов Microsoft.

В число участников программы MAPP входят мировые лидеры разработки решений в области информационной безопасности, за все время существования программы в нее было принято 64 компании. Positive Technologies стала второй российской компанией в списке MAPP.

«
Мы подали заявку на вступление в программу MAPP в 2019 году.После этого заявку анализировали специалисты Microsoft в России и в США. Нам необходимо было продемонстрировать, что PT NAD соответствует критериям программы MAPP и что у нас есть команда экспертов, создающих правила детектирования уязвимостей в сетевом трафике,
рассказывает руководитель отдела по работе с технологическими партнерами Positive Technologies Егор Назаров
»

«
Для включения в программу MAPP компания должна продемонстрировать наличие проработанных стандартов обеспечения внутренней безопасности, а также обмена информацией с другими участниками рынка. Всем этим обладает Positive Technologies, и поэтому мы уверены, что участие компании в программе MAPP повысит уровень защищенности пользователей решений Microsoft,
говорит Артем Синицын, руководитель программ информационной безопасности Microsoft в странах Центральной и Восточной Европы
»

Благодаря партнерству между Microsoft и Positive Technologies пользователи системы PT NAD будут защищены от атак с использованием вновь выявляемых уязвимостей в продуктах Microsoft на самых ранних этапах — даже если для них еще не были выпущены обновления безопасности. В рамках двухстороннего обмена по программе MAPP и в рамках программы выявления уязвимостей в продуктах и технологиях Microsoft Bug Bounty компания Positive Technologies будет направлять Microsoft информацию не только о найденных уязвимостях в ее продуктах, но и о попытках их эксплуатации в реальных атаках.

2018

Выпуск коммерческой версии

Компания Positive Technologies 14 июня 2018 года объявила о выходе коммерческой версии комплексного решения сетевой безопасности, предназначенного для анализа сетевого трафика и расследования инцидентов PT Network Attack Discovery (PT NAD). Продукт прошел длительную апробацию в крупных инфраструктурных проектах, в том числе в системе ГосСОПКА, и готов к промышленной эксплуатации.

Система PT Network Attack Discovery позволяет вести захват «сырого» трафика со скоростью до 10 Гбит/с, обеспечивает хранение больших объемов данных, их обработку, индексацию и запись в файлы формата Pcap. При использовании внешних хранилищ в зависимости от бизнес-задачи данные могут храниться до нескольких месяцев (при необходимости до полугода и дольше).

Выявление атак, случившихся в прошлом, и распределенных во времени угроз реализуется в PT Network Attack Discovery посредством механизма ретроспективного анализа. Система позволяет отслеживать хронологию и векторы развития атак, а также проводить ретроспективный анализ не только по сохраненным с помощью PT Network Attack Discovery данным, но и по файлам с трафиком, загруженным из внешних источников.

В коммерческой версии системы появилась возможность разбора протоколов до уровня L7, что позволяет на лету извлекать и сохранять метаданные, характерные для каждого сетевого соединения: используемые приложения, значения полей протоколов, репутационные списки, IP-адреса, порты. Была также увеличена стабильность работы и скорость обработки трафика. При гигабитном потоке данных (1 Гбит/с) и двухнедельном времени хранения поиск по метаданным может занимать меньше минуты, отметили в Positive Technologies.

Для обнаружения замаскированной сетевой активности в PT Network Attack Discovery используется собственная база сигнатур, нацеленных на выявление удаленной эксплуатации уязвимостей, вредоносного ПО. В перечень сигнатур входят правила для обнаружения использования эксплойта EternalBlue (удаленное исполнение команд в системах на базе Windows), модулей Cobalt Strike (удаленное управление взломанными узлами), техники DCShadow (вид атак на Active Directory), уязвимостей в Cisco SMI и других угроз. База сигнатур постоянно пополняется: по состоянию на июнь, она состоит из более чем 3 тыс. правил, разработанных экспертами Positive Technologies.

По словам разработчиков, система PT Network Attack Discovery уже используется в энергетической и телекоммуникационной отраслях, на транспорте, в банках, государственных организациях и СМИ.

Описание PT Network Attack Discovery. Ключевые и дополнительные возможности

Система производит захват, обработку и сохранение больших объемов сырого трафика. Разбор протоколов до уровня L7 позволяет на лету извлекать и сохранять метаданные, содержащие уникальные параметры каждого сетевого соединения: IP-адреса и значения полей протоколов, репутацию передаваемых объектов, задействованные порты, приложения. Механизмы поиска и фильтрации метаданных позволяют ИБ-эксперту при необходимости оперативно реконструировать подозрительные сетевые соединения и сформировать доказательную базу по инциденту.

PT Network Attack Discovery имеет встроенную систему пассивного обнаружения атак с использованием сигнатурных методов, машинного обучения и поведенческого анализа. Система также поддерживает загрузку файлов с трафиком из внешних источников для ретроспективного анализа. Такая комбинация позволяет не только обнаружить замаскированную сетевую активность вредоносного ПО, но и отследить хронологию и векторы развития атаки.

Тесная интеграция с MaxPatrol SIEM — системой управления событиями безопасности и выявления инцидентов — позволяет PT Network Attack Discovery рассчитывать результативность атак на основе данных об уязвимостях узлов. Собираемая PT Network Attack Discovery информация о статусе сетевых устройств — версии ПО, порты, протоколы — обеспечивает постоянную актуализацию списка и состояния активов в MaxPatrol SIEM.

Ключевые возможности

  • Хранение сырого трафика и метаданных — гарантированный захват трафика скоростью до 10 Гбит/с, индексация и запись в файлы формата Pcap.
  • Реконструкция сессий — детальный разбор протоколов и извлечение метаданных о параметрах сетевых соединений, механизмы поиска и фильтрации для быстрой навигации в больших массивах сохраненных данных.
  • Извлечение файлов — автоматизированное извлечение объектов, передаваемых через протоколы прикладного уровня: HTTP, FTP, POP3, SMTP, SMB, NFS и др.
  • Ретроспективный анализ — импорт файлов в формате Pcap из внешних источников для углубленного анализа и выявления не обнаруженных в прошлом атак.
  • Визуализация данных — подробная статистика событий безопасности, настраиваемые формы отчетов и графиков, наглядная карта сетевых взаимодействий.

Дополнительные возможности

  • Предотвращение вторжений. Гибкие настройки правил блокировки подозрительных соединений, использование сигнатур и репутационных сервисов для защиты от актуальных атак.
  • Обнаружение скрытых угроз. Выявление сетевых аномалий, скрытого присутствия, активностей }вредоносного ПО с помощью эвристических методов и поведенческого анализа.
  • Поддержка открытого API. Интеграция с внешними решениями класса SIEM, а также с системой PT MultiScanner для выявления вредоносного содержимого в извлеченных файлах и MaxPatrol для инвентаризации активов и проверки результативности атак.
  • Передача экспертизы в продукт. Собственная база сигнатур атак, нацеленных на удаленную эксплуатацию уязвимостей, разработана с учетом многолетнего опыта тестов на проникновение и расследования инцидентов.



СМ. ТАКЖЕ (7)


Подрядчики-лидеры по количеству проектов

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год
Текущий год

Подрядчики-лидеры по количеству проектов

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год
Текущий год