TS Solution
TS Solution
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪
Настройки cookie
Обязательные cookies
Эти файлы cookie необходимы для того, чтобы вы могли пользоваться сайтом и его функциями. Их нельзя отключить. Они устанавливаются в ответ на ваши запросы, такие как настройка ваших предпочтений конфиденциальности, вход в систему или заполнение форм.
Аналитические cookies
Disabled
Эти файлы cookie собирают информацию, чтобы помочь нам понять, как используются наши веб-сайты или насколько эффективны наши маркетинговые кампании, или чтобы помочь нам настроить наши веб-сайты для вас.
Рекламные cookies
Disabled
Эти файлы cookie предоставляют рекламным компаниям информацию о вашей активности в Интернете, чтобы помочь им предоставлять вам более релевантную онлайн-рекламу или ограничивать количество показов рекламы. Эта информация может быть передана другим рекламным компаниям.
15 марта 2021

Пользователи PT NAD смогут видеть данные обо всех выявленных угрозах в единой ленте

Positive Technologies выпустила новую версию системы глубокого анализа трафика PT Network Attack Discovery (10.1). Она позволяет выявлять атаки с использованием новых модулей аналитики, собирать актуальную информацию о сетевых узлах и централизованно узнавать об обнаруженных угрозах в одной ленте.

Лента активностей

Чтобы пользователь своевременно узнавал о новых атаках и угрозах, в PT NAD появился новый раздел — лента активностей. Лента собирает в одном месте список выявленных угроз, объединяет сообщения об аналогичных активностях в одно и дает возможность управлять ими. Можно отметить устранение проблемы или больше не отслеживать подобную активность.
У каждой активности в ленте указана дата и время последнего обнаружения, уровень опасности, период активности и краткое описание.
В версии PT NAD 10.1 в ленте появляются сообщения, когда:

  • пользователи в сети используют словарные пароли;
  • во время ретроспективного анализа сработали индикаторы компрометации;
  • в сети появился неизвестный DHCP-сервер, который может быть поддельным (с его помощью атакующие могут перехватывать трафик для получения учетных данных пользователей);
  • срабатывают условия фильтрации трафика, которые заранее задал пользователь. Таким образом можно получать уведомления о любой интересующей активности в сети, например о подключениях к определенным фишинговым доменам, передаче больших объемов информации с серверов базы данных, о действиях конкретных пользователей.

Новые механизмы выявления атак

В новую версию PT NAD добавлены модули глубокой аналитики трафика, которые позволяют выявлять сложные угрозы. Они учитывают множество параметров поведения атакующих и не привязаны к анализу отдельных сессий, в отличие от правил детектирования атак.

С помощью модулей продукт автоматически обнаруживает аномальные LDAP-запросы. Такие запросы могут быть использованы злоумышленниками во время проведения разведки для сбора информации о домене: о пользователях, их группах, сетевых узлах, паролях.
С помощью новых механизмов детектирования продукт также выявляет использование словарных паролей и неизвестные DHCP-сервера. Информация о таких событиях попадает в ленту активностей.

В следующей версии PT NAD модули аналитики будут использоваться для выявления еще 30 видов угроз.

Контроль сетевых узлов

Пользователи PT NAD теперь обладают актуальной информацией о сетевых узлах: IP-адреса, имя домена, установленная операционная система, используемые протоколы передачи данных, принадлежность к группам. Изменения в узлах тоже отслеживаются. Пользователь PT NAD узнает, если в сети появился новый узел, на узле появился новый открытый порт, прикладной протокол или изменилась ОС. Такие данные могут в том числе помочь выявить подозрительную активность.
Например, если пользователь начал использовать протокол SSH для удаленного управления операционной системой, хотя раньше этого не делал, стоит провести расследование.
Данные об узлах можно фильтровать. Отобразятся те узлы, которые взаимодействовали с указанным в фильтре IP-адресом, ОС или доменом. Это может помочь в расследованиях.

Еще выше прозрачность сети

По данным опроса Positive Technologies, 72% специалистов по ИБ оценивают видимость внешнего трафика как низкую или среднюю, уровень прозрачности внутреннего трафика так же оценили 68% респондентов. Для большей прозрачности внутреннего и внешнего трафика в новой версии PT NAD расширен список определяемых и разбираемых протоколов. Продукт детектирует еще пять новых протоколов, которые встречаются в сетях российских компаний. Общее количество определяемых протоколов достигло 85.

PT NAD 10.1 определяет зашифрованный трафик, который передается по нестандартным протоколам. Это нужно, чтобы обратить внимание оператора системы на подозрительную неизвестную активность в сети. Возможно, трафик шифруют злоумышленники, используя для этого собственные протоколы, и таким образом пытаются замести следы.

Другие улучшения

Появилась возможность переключать язык интерфейса и выбирать часовой пояс — настройки применяются к аккаунту пользователя. Теперь из интерфейса PT NAD можно в один клик перейти в песочницу PT Sandbox и посмотреть детальную информацию о выявленном вредоносном файле.
ВЕБИНАР
Хочешь узнать больше о решении, увидеть демонстрацию и задать вопросы специалисту Positive Technologies? Регистрируйся на наш вебинар «Результаты анализа трафика в 41 компании. Обзор PT NAD»!