Soc

PT Network Attack Discovery — продукт для обнаружения действий злоумышленника как на периметре, так и внутри сети

PT Network Attack Discovery — продукт для обнаружения действий злоумышленника как на периметре, так и внутри сети PT Network Attack Discovery — продукт для обнаружения действий злоумышленника как на периметре, так и внутри сети PT Network Attack Discovery — продукт для обнаружения действий злоумышленника как на периметре, так и внутри сети
15.09.2022

Для анализа трафика создано большое количество технологий и классов решений. К ним относятся IDS/IPS, UTM и NGFW. Современные решения классов IDS/IPS, UTM, NGFW способны обрабатывать большие объемы трафика, разбирать заданный набор протоколов (вплоть до 7-го уровня модели ISO/OSI), выявлять сетевые атаки с использованием сигнатурного, поведенческого анализа, а также с помощью технологий машинного обучения и обнаружения сетевых аномалий. Решения готовы защищать периметр организации от угроз извне, а также выявлять вредоносную активность изнутри. Специально для портала Cyber Media компания Positive Technologies подготовила обзор своего продукта PT Network Attack Discovery.

Практика тестирований на проникновение Positive Technologies показывает, что в 93% случаев можно преодолеть сетевой периметр и получить доступ к ресурсам ЛВС. На проникновение в локальную сеть некоторых компаний экспертам Positive Technologies потребовалось всего 30 минут и в среднем 2 дня.

После проникновения в сеть действия злоумышленников остаются для многих систем безопасности незамеченными. Причин тому несколько:

  • IDS/IPS, UTM и NGFW работают только на периметре организации;
  • Хранение информации только о сработавших сигнатурах, а не обо всем проходящем трафике;
  • Нет повторного сканирования ранее обработанного трафика.

Таким образом, как IDS/IPS, так и UTM, и NGFW не способны обеспечить защиту от целенаправленных атак, локализовать угрозу, точно выявить пораженные узлы и предоставить фактуру для проведения полноценного расследования. Устранить этот пробел призваны решения класса NTA. Их еще называют NDR-системами (сокращение от network detection and response).

NTA и выявление целенаправленных атак

Среди ключевых возможностей NTA отметим следующие:

  • Анализ внешнего и внутреннего трафика. NTA поддерживает разбор и анализ большого числа протоколов: как «периметровых» (HTTP, DNS, SMTP), так и «инфраструктурных» (SMB, LDAP, DCERPC).
  • Обнаружение подозрительной и вредоносной активности на основе комбинации технологий: поведенческий анализ, статистический анализ, машинное обучение, обнаружение аномалий, автоматический ретроспективный анализ, применение IoC и IoA для выявления ранее не обнаруженных угроз.
  • Хранение сырого трафика и метаданных. Хранение подробной фактуры по уже обработанному трафику для проведения расследований, восстановления цепочки атаки, выявления и локализации пораженных узлов и оценки ущерба.

В инфраструктуре организации NTA выступает единой точкой анализа всего трафика или произвольного набора сетевых сегментов.

PT_cхема_общая.jpg

Рисунок 1. Схема применения PT NAD в инфраструктуре без использования сетевого брокера

PT_cхема_Общая_2.jpg

Рисунок 2. Схема применения PT NAD в инфраструктуре с использованием сетевого брокера

Современный SOC (Security Operation Center) должен обладать технологическим стеком для обнаружения сложных угроз. К ним относится SIEM, EDR и NTA. Без использования NTA аналитики SOC упускают события на уровне сети, а значит дают больше шансов злоумышленникам остаться незамеченными.

PT Network Attack Discovery (PT NAD) — система поведенческого анализа сетевого трафика для обнаружения зараженных узлов, нарушения политик безопасности и инсайдеров. За счет комбинации шести технологий обнаружения угроз (поведенческая и статистическая аналитика, правила, модули глубокой аналитики, машинное обучение и ретроспективный анализ) PT NAD обнаруживает действия злоумышленника как на периметре, так и внутри сети и относится к классу NTA решений ИБ. Анализируя потоки данных, PT NAD обнаруживает угрозы даже в зашифрованном трафике, благодаря чему незаменим в расследованиях. Продукт видит передаваемые объекты между сетевыми устройствами, извлекает их, передает на анализ в PT Sandbox и получает результаты статистического и динамического анализа. Это достигается за счет тесной интеграции двух продуктов в составе решения PT Apti-APT.

В основе PT Network Attack Discovery лежат знания экспертного центра безопасности Positive Technologies PT ESC. PT ESC постоянно исследует актуальные хакерские техники, инструменты и образцы вредоносных программ и на регулярной основе передает эти знания в продукт. Получая данные о новых киберугрозах, PT NAD осуществляет ретроспективный анализ трафика, позволяя обнаружить скрытое присутствие злоумышленника внутри сети. Кроме того, продукт помогает сопоставить события с техниками и тактиками злоумышленников по матрице MITRE ATT&CK и эффективен в проактивном поиске угроз (Threat Hunting).

Преимущества PT NAD над NGFW

Cisco, Fortinet, PaloAlto предлагали рынку системы периметровой защиты — межсетевые экраны следующего поколения (NGFW). После ухода этих вендоров с рынка ИБ у заказчиков возникли проблемы с функциями защиты от сетевых атак и обновлениями устройств, включая облачные обновления самого ПО и базы знаний. Несмотря на то, что NGFW используются для активной сетевой защиты, часть модулей использовалась в режиме обнаружения.

Выходит, что часть функций можно переложить на систему класса NTA, в частности на PT Network Attack Discovery. Кроме того, PT NAD решает ряд важных проблем при поиске злоумышленников в сети:

  • Обнаруживает внутренние сетевые атаки и инсайдеров;
  • Анализирует трафик по поведению;
  • Разбирает метаданные протоколов и приложений;
  • Хранит копию сетевого трафика и метаданные;
  • Проводит ретроспективный анализ;
  • Помогает расследовать сетевые атаки.

Таким образом PT NAD может решить проблему неработающих модулей в NGFW тех производителей, найти попытки проникнуть во внутреннюю сеть, а внутри сети найти уже закрепившегося злоумышленника.

Основное назначение и функции PT NAD

Основные функции PT NAD:

Глубокий анализ трафика и аналитик

Анализ трафика и разбор 1200 служебных полей для следующих приложений и протоколов[1], например: IP (IPv4, IPv6), TCP, UDP, ICMP, HTTP, DNS, SSH, SMTP, POP3, IMAP, Telnet, FTP, TFTP, NTP, SIP, SNMP, DCE/RPC, Kerberos, LDAP, NFS, SMB, PGSQL, MySQL, RDP, RFB (VNC), IP-IP, GRE

Ретроспективный анализ трафика по 1200 параметрам и по обогащенным данным: посчитанными хешами файлов, странам, именам пользователей и DNS адресам, IoC и IoA

Сбор и хранение выявленных атрибутов и метаданных сессий на основе разобранных протоколов, файлов, вердиктов песочницы и результатов

Обогащение журналов сетевых соединений дополнительной информацией: Geo-IP, хеш-суммы MD5, имени хоста, DNS адреса, обнаруженное ПО, баннеры и др.

Выявление утилит удаленного управления

Выявление туннелей и прокси

Разбор атак внутри трафика инкапсулированного в VLAN, MPLS, VXLAN, TEREDO, GRE, ERSPAN, GENEVE

Разбор протоколов приложений при частичной потере данных в соединениях

Работа с файлами в трафике и интеграция с внешними системами безопасности

Выявление файлов и данных, передаваемых по протоколам прикладного уровня SMTP, POP3, IMAP, FTP, HTTP, SMB

Отправка выявленных файлов из SMTP, POP3, IMAP, FTP, HTTP, SMB, NFS по ICAP в любую внешнюю систему (антивирус, DLP, песочницу) по ICAP файлов без получения обратного вердикта о проверке

Отправка выявленных файлов из SMTP, POP3, IMAP, FTP, HTTP, SMB, NFS по ICAP для проверки в многопоточную антивирусную сиcтему PT MultiScanner или в песочницу PT Sandbox, с получением вердикта о проверке файла

Запись и долговременное хранение захваченного трафика в сыром виде в формате PCAP

Импорт и анализ файлов PCAP из сторонних источников

Интеграция с SIEM

Интерфейс управления и его возможности

Управление через веб-интерфейс для просмотра и анализа захваченной копии трафика, проведения расследований

Фильтрация анализа для захваченного трафика по: протоколам и портам транспортного уровня, IP-адресам, IP-подсетям фильтрами BPF

Автоматическое выполнение ретроспективного анализа индикаторами атак по сохраненным метаданным трафика

Лента активностей для упрощения работы аналитика

Возможность проведения Threat Hunting

Возможность проиграть повторно трафик экспертными движками анализа

Возможность расследования инцидентов на основе разобранного трафика

Выявление уязвимых мест в инфраструктуре

Построение графа сетевых взаимодействий

Обогащение информации о каждом соединении на основе экспертизы Positive Technologies Expert Security Center

Выявление APT и целевых атак на компанию на разных стадиях MITRE ATT&CK, включая описанные 117 техник и тактик

Обнаружение вредоносных соединений на основе собственных репутационных списков с индикаторами компрометации на основе DNS, IP, URL и хешей MD5

Собственная база репутационных списков Threat Intelligence (IoC) с базой DNS, IP, хешей MD5

Адреса бот-сетей

Обнаружение атак на основе поставляемых в устройство из лаборатории PT ESC правил для их обнаружения

Возможность загружать правила для обнаружения атак от сторонних производителей

Возможность самостоятельно добавлять правила для обнаружения атак

Фиксация сессий связи на основе разбора протоколов сетевого взаимодействия

Фиксация атаки с разбором дополнительных параметров

Выявление передачи учетных данных, словарных паролей и паролей по умолчанию

Выявление майнеров и нежелательного ПО

Выявление хакерского инструмента Impacket, CrackMapExec, Koadic и др.

Выявление SGT и TGT тикетов для атак на AD

Привязка сетевого трафика к аккаунтам, используемым пользователями на основе запросов Kerberos и NTLM

Запоминание DNS запросов и ответов в трафике и обогащение журнала сессий для сопоставления DNS с IP адресами

Возможность создавать пользовательские правила для обнаружения атак через интерфейс продукта

Обновление сигнатур в реальном времени для новых атак

API для просмотра и редактирования пользовательских репутационных списков

Функционал анализа сетевого трафика по поведению (NTA)

Обнаружение аномалий на основе экспертных правил, статистики и поведенческого анализа

Обнаружение медленных сканирований

Обнаружение сканирований и DDoS

Обнаружение новых сетевых узлов и контроль используемых ими сетевых портов и протоколов

Корреляция событий из различных сессий: запросы DNS, запросы Kerberos, запросы HTTP

Machine Learning для выявления автоматически сгенерированных доменов (DGA)

Обнаружение ВПО в SSL без расшифрования (для части атак)

Определение ролей и типов устройств по их поведению

Machine Learning для Kerberoasting

Дополнительный функционал

Уведомления ответственных лиц с помощью почтовых сообщений

Уведомления о сбоях в работе сервисов и отображение состояния подсистемы в интерфейсе пользователя

Фильтрация захватываемого трафика правилами BPF по сетевым реквизитам: IP-адресам, протоколам и портам транспортного уровня, тегам VLAN и др

Системные требования

Минимальные требования, предъявляемые к аппаратным ресурсам серверов с PT NAD, зависят от расчетной скорости захвата трафика в организации. Количество подключаемых серверов может варьироваться в зависимости от инфраструктуры, потока обрабатываемого трафика и срока хранения сырого трафика и метаданных. Объемы жестких дисков и твердотельных накопителей в разделах ниже рассчитаны на 3 дня хранения исходной копии трафика и 7 дней хранения метаданных трафика.

До 1 Гбит/c (NAD Sensor)

NAD Sensor — это упрощенная версия PT NAD, которая используется для передачи информации о сетевых атаках в MaxPatrol SIEM. В отличие от обычной версии PT NAD в NAD Sensor: — захваченный трафик не сохраняется на диск (нет хранилища файлов PCAP); — метаданные трафика хранятся не больше одного дня; — скорость захвата трафика ограничена 1 Гбит/с. NAD Sensor устанавливается только на один физический сервер. 

Аппаратное обеспечение

Параметр

Значение

Процессор

 

Частота

Количество ядер

 

2.2 ГГц

48

ОЗУ

Объем

96 ГБ

Сетевая карта

 

Портов для захвата трафика

Портов для доступа к интерфейсу PT NAD

 

1 × 1 Гбит/с

1 × 1 Гбит/с

Твердотельные накопители для записи метаданных трафика

Объем

1 ТБ

Твердотельные накопители для работы ОС и компонентов PT NAD

Объем

200 ГБ

Таблица 1. Минимальные требования к серверу с NAD Sensor

До 200 Мбит/с

Для захвата трафика со скоростью до 200 Мбит/с PT NAD может быть установлен на один физический сервер.

Аппаратное обеспечение

Параметр

Значение

Процессор

 

Частота

Количество ядер

 

2.2 ГГц

48

ОЗУ

Объем

128 ГБ

Сетевая карта

 

Портов для захвата трафика

Портов для доступа к интерфейсу PT NAD

 

1 × 1 Гбит/с

1 × 1 Гбит/с

Жесткие диски для хранения PCAP

 

Объем

Скорость записи

 

2,6 ТБ

25 МБ/с

Твердотельные накопители для записи метаданных трафика

Объем

700 ГБ

Твердотельные накопители для работы ОС и компонентов PT NAD

Объем

200 ГБ

Таблица 2. Минимальные требования к серверу (до 200 Мбит/с)

До 200 Мбит/с – 1 Гбит/с

Для захвата трафика со скоростью до 200 Мбит/с PT NAD может быть установлен на один физический сервер

Аппаратное обеспечение

Параметр

Значение

Процессор

 

Частота

Количество ядер

 

2.2 ГГц

72

ОЗУ

Объем

256 ГБ

Сетевая карта

 

Портов для захвата трафика

Портов для доступа к интерфейсу PT NAD

 

1 × 1 Гбит/с

1 × 1 Гбит/с

Жесткие диски для хранения PCAP

 

Объем

Скорость записи

 

13 ТБ

125 МБ/с

Твердотельные накопители для записи метаданных трафика

Объем

3,5 ТБ

Твердотельные накопители для работы ОС и компонентов PT NAD

Объем

200 ГБ

Таблица 3. Минимальные требования к серверу (200 Мбит/с — 1 Гбит/с)

1—5 Гбит/с

Для захвата трафика со скоростью от 1 до 5 Гбит/с PT NAD устанавливается на два физических сервера — основной и дополнительный. 

Аппаратное обеспечение

Параметр

Значение

Процессор

 

Частота

Количество ядер

 

2.2 ГГц

72

ОЗУ

Объем

256 ГБ

Сетевая карта

 

Портов для захвата трафика

Портов для доступа к интерфейсу PT NAD

 

1 × 1 Гбит/с

1 × 1 Гбит/с

Твердотельные накопители для записи метаданных трафика

Объем

17 ТБ

Твердотельные накопители для работы ОС и компонентов PT NAD

Объем

200 ГБ

Таблица 4. Минимальные требования к основному серверу

На дополнительном сервере устанавливаются сенсор и хранилище файлов PCAP.

Аппаратное обеспечение

Параметр

Значение

Процессор

 

Частота

Количество ядер

 

2.2 ГГц

56

ОЗУ

Объем

128 ГБ

Сетевая карта

 

Портов для захвата трафика

Портов для внутреннего взаимодействия

 

2 × 10 Гбит/с

1 × 1 Гбит/с

Жесткие диски для хранения PCAP

 

Объем

Скорость записи

 

65 ТБ

625 МБ/с

Твердотельные накопители для записи метаданных трафика

Объем

3,5 ТБ

Твердотельные накопители для работы ОС и компонентов PT NAD

Объем

200 ГБ

Таблица 5. Минимальные требования к дополнительному серверу

5—10 Гбит/с

Для захвата трафика со скоростью от 5 до 10 Гбит/с PT NAD устанавливается на три физических сервера — основной и два дополнительных. 

Аппаратное обеспечение

Параметр

Значение

Процессор

 

Частота

Количество ядер

 

2.2 ГГц

72

ОЗУ

Объем

256 ГБ

Сетевая карта

 

Портов для захвата трафика

Портов для доступа к интерфейсу PT NAD

 

1 × 10 Гбит/с

1 × 1 Гбит/с

Твердотельные накопители для записи метаданных трафика

Объем

17 ТБ

Твердотельные накопители для работы ОС и компонентов PT NAD

Объем

200 ГБ

Таблица 6. Минимальные требования к основному серверу

Первый дополнительный сервер.

Аппаратное обеспечение

Параметр

Значение

Процессор

 

Частота

Количество ядер

 

2.2 ГГц

72

ОЗУ

Объем

256 ГБ

Сетевая карта

Портов для внутреннего взаимодействия

1 × 10 Гбит/с

Твердотельные накопители для записи метаданных трафика

Объем

17 ТБ

Твердотельные накопители для работы ОС и компонентов PT NAD

Объем

200 ГБ

Таблица 7. Минимальные требования к первому дополнительному серверу

Второй дополнительный сервер. 

Аппаратное обеспечение

Параметр

Значение

Процессор

 

Частота

Количество ядер

 

2.2 ГГц

72

ОЗУ

Объем

256 ГБ

Сетевая карта

 

Портов для захвата трафика

Портов для доступа к интерфейсу PT NAD

 

2 × 10 Гбит/с

1 × 10 Гбит/с

Жесткие диски для хранения PCAP-файлов

 

Объем

Скорость записи

 

130 ГБ

1,25 ГБ/с

Твердотельные накопители для работы ОС и компонентов PT NAD

Объем

200 ГБ

Таблица 8. Минимальные требования ко второму дополнительному серверу

Основной и первый дополнительный серверы должны быть связаны со вторым дополнительным сервером через коммутатор. При этом для основного сервера в коммутаторе должен быть выделен отдельный порт со скоростью передачи данных до 10 Гбит/с.

Лицензирование

Приобретение Network Attack Discovery предполагает необходимость приобретения первоначальных базовой лицензии и инфраструктурных лицензий в зависимости от требуемой функциональности и условий применения Network Attack Discovery. Минимальный срок действия первоначальной лицензии — один год.

Продлевать приобретенные лицензии необходимо заранее, до истечения срока их действия. Лицензии продления необходимо приобретать для каждой приобретенной базовой и инфраструктурной лицензии. По умолчанию срок действия лицензии продления составляет один год.

По окончании срока действия лицензии, указанного в бланке лицензии, лицензия становится недействительной, прекращается поставка обновлений PT NAD и оказание услуг технической поддержки. По окончании срока действия лицензии доступ к PT NAD для пользователей будет возможен, однако будет ограничена функциональность, связанная с получением обновлений баз знаний продукта.

Базовая лицензия

Наличие базовой лицензии является обязательным условием. Базовая лицензия приобретается на суммарную скорость передачи данных в анализируемом сегменте сети заказчика.

Название

Программное обеспечение Positive Technologies Network Attack Discovery. Базовая лицензия на 1 Гбит/с, гарантийные обязательства действуют в течение 1 (одного) года

Программное обеспечение Positive Technologies Network Attack Discovery. Базовая лицензия на 2 Гбит/с, гарантийные обязательства действуют в течение 1 (одного) года

Программное обеспечение Positive Technologies Network Attack Discovery. Базовая лицензия на 20 Гбит/с, гарантийные обязательства действуют в течение 1 (одного) года

Программное обеспечение Positive Technologies Network Attack Discovery. Базовая лицензия на 100 Гбит/с, гарантийные обязательства действуют в течение 1 (одного) года


Таблица 9. Примеры базовой лицензии PT NAD

Инфраструктурная лицензия

Инфраструктурная лицензия позволяет использовать в составе Системы соответствующий инфраструктурный компонент Network Attack Discovery.

Инфраструктурный компонент

Комментарий

Network Attack Discovery Server

В территориально распределенной инфраструктуре потребуется несколько компонентов Server

Network Attack Discovery Server, кластерный компонент

При масштабировании захвата сетевого трафика на каждые 5 Гбит/c для обработки метаданных потребуется дополнительный Server, кластерный компонент

Network Attack Discovery Sensor до 1 Гбит/c

Захват, разбор, проверка трафика, сохранение копии исходного трафика до 1 Гбит/c с дальнейшей передачей данных трафика на обогащение в Server

Network Attack Discovery Sensor до 10 Гбит/c

Захват, разбор, проверка трафика, сохранение копии исходного трафика до 10 Гбит/c с дальнейшей передачей данных трафика на обогащение в Server


Таблица 10. Примеры и назначение инфраструктурных лицензий

В каждой системе анализа сетевого трафика и расследования инцидентов на базе Network Attack Discovery должны присутствовать как минимум один компонент SRV и один компонент CAP.

Лицензия на PT NAD All-in-One

Приобретение комплекса PT NAD All-in-One предполагает необходимость приобретения пакета лицензий.

Данный вариант поставки предназначен для территориально нераспределенных систем (одна площадка) и подходит для IT-инфраструктур с нагрузкой не более 10 Гбит/с с заведением копии сетевого трафика на один сервер, включающий компонент Sensor. Возможно использование Network Attack Discovery All-in-One в качестве одного из дочерних элементов территориально распределенного внедрения PT NAD.

В пакет лицензий на комплекс Positive Technologies Network Attack Discovery All-in-One входят базовая лицензия PT NAD BASE (1 шт.) и лицензии на следующие компоненты PT NAD: SRV (1 шт.) и CAP (1 шт.). Подключение дополнительных компонентов CAP к Network Attack Discovery All-in-One не предусмотрено. В зависимости от модели комплекс Network Attack Discovery All-in-One имеет следующие лицензионные ограничения на максимальную скорость сетевого трафика:

— 100 Мбит/c;

— 500 Мбит/c;

— 1000 Мбит/c;

— 2000 Мбит/c;

— 5000 Мбит/c;

— 10 000 Мбит/c.

Если сетевой трафик увеличился и превысил лицензионное ограничение или требуется завести трафик более чем на один компонент CAP, нужно приобрести специальную лицензию на расширение комплекса в соответствии с инфраструктурными лицензиями. Приобретая Positive Technologies Network Attack Discovery All-in-One, заказчик получает пакет лицензий на программное обеспечение со сроком действия один год.

По истечении этого срока необходимо приобрести лицензии продления на соответствующие модели комплекса. Для комплекса Positive Technologies Network Attack Discovery All-in-One действует единая техническая поддержка, осуществляемая компанией "Позитив Текнолоджиз".

Комбинация лицензий

Для подбора оптимального для заказчика состава лицензий допускается комбинирование базовых лицензий. Например, если суммарная скорость передачи сетевого трафика на точках его съема составляет 15 Гбит/c, можно приобрести две базовые лицензии: на 10 Гбит/c и 5 Гбит/c, а не лицензию на 20 Гбит/c.

Состав и назначение компонентов PT NAD

В состав Системы входят следующие компоненты:

SRV — главный компонент, в который поступают все данные и в котором происходит их обработка. Включает в себя интерфейс управления. В Системе должен быть как минимум один SRV.

SRV-С — компонент, предназначенный для масштабирования главного компонента. Такие компоненты требуются в системах с захватом трафика более 5 Гбит/с или в системах с распределенным хранением метаданных.

CAP — компонент, предназначенный для первичного получения и анализа сетевого трафика, выявления сетевых атак и сохранения копии исходных данных трафика. Данные, полученные и обработанные компонентом CAP, передаются в компонент SRV.

Первоначальная лицензия приобретается заказчиком при первой покупке PT NAD и состоит из:

— Базовой лицензии на сетевой трафик, который будет анализировать Система;

— Инфраструктурных лицензий на инфраструктурные компоненты, используемые в рамках Системы.

Применение PT NAD

PT Network Attack Discovery (PT NAD) — система поведенческого анализа сетевого трафика для обнаружения зараженных узлов, нарушения политик безопасности и инсайдеров. Система знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях.

Видит активность злоумышленников как на периметре, так и внутри сети

PT NAD анализирует не только внешний, но и внутренний трафик, поэтому он детектирует перемещения злоумышленников по сети, попытки эксплуатации уязвимостей, атаки на конечных пользователей в домене и на внутренние сервисы.

Выявляет даже модифицированное вредоносное ПО

Для создания собственных правил обнаружения угроз наши эксперты постоянно исследуют актуальные хакерские техники, инструменты и образцы вредоносных программ. При этом одно правило покрывает целое семейство вирусного ПО. Благодаря этому PT NAD уведомляет обо всех действительно опасных угрозах и выявляет даже модифицированные версии вредоносного ПО.

Полезен в расследованиях и Threat hunting

PT NAD хранит сырой трафик и 1200 параметров сетевых сессий. Когда происходит инцидент, это помогает понять, что именно произошло (см. пример расследования в специальном разделе на сайте CNews).

Определяет тактики и техники по модели MITRE ATT&CK ®

В карточке атаки отображаются данные об использованных тактиках и техниках из матрицы ATT&CK. Это помогает понять, на какой стадии атаки находятся злоумышленники, и быстрее определить компенсирующие меры.

attck1.jpg

Виджет в PT NAD: тепловая карта техник по модели ATT&CK

Помогает выполнить требования по защите информации

PT NAD позволяет выполнить требования по защите:
— критической информационной инфраструктуры (приказы ФСТЭК № 239 и 235),
— персональных данных (приказ ФСТЭК № 21),
— информации в ГИС, в АСУ ТП и в информационных системах общего пользования (приказы ФСТЭК № 19, 31 и 489).

Прикладные задачи, решаемые PT NAD


Сценарий использования

Почему нужен PT NAD

Сетевой комплаенс

Пример: обнаружение использования протоколов без шифрования (LDAP, POP, HTTP, Telnet)

NGFW в большинстве инсталляций рассчитан только на внешний трафик.

PT NAD детектирует небезопасные протоколы во внутреннем трафике, что позволяет провести настройку для минимизации их использования

Shadow IT

Пример: обнаруживает забытые сегменты сети, новые устройства, сервисы, ОС и ПО.

Сеть постоянно меняется и периметровые средства не в состоянии точно сказать, что происходит внутри сети. Анализируя внутренний трафик PT NAD обнаруживает новые устройства там, где их быть не должно, определяет их тип, роль и сохраняет эту информацию.

Передача аутентификационных данных в открытом виде

Пример: аутентификационные данные в теле HTTP-запроса для критически значимого сервиса

В периметровых средствах защиты информации не отображается содержимое самого трафика — невозможно понять, действительно ли передаваемые данные критически значимы

Использование в сети нежелательного ПО

Примеры: BitTorrent, Dameware, Tor, friGate

Минимизировать использование Tor, BitTorrent, средств удаленного доступа возможно только используя внутренний анализатор трафика: NGFW сможет обнаружить использование нежелательного ПО, однако не определит, какой именно узел внутри его использует. PT NAD сможет дать ответ на этот вопрос

Использование хакерского инструментария

Примеры: nmap, mimikatz, metasploit

PT NAD обнаруживает хакерский инструментарий как во внешнем, так и во внутреннем трафике.

Разведка в инфраструктуре сети и Active Directory

Примеры:

netsess enumeration dc

net.exe group enum

nmap scan

Попытки сбора информации с контроллеров домена и разведка внутри сети будут обнаружены PT NAD

Попытки подбора паролей от внутренних сервисов и систем

PT NAD позволит не только выявлять попытки подбора пароля в режиме реального времени, но и в целом оценить их продолжительность

Следы активности вредоносного ПО

Примеры:

RTM

WannaCry

W32.Virut

Win32.Magania

В случае, когда заражение уже произошло и вредоносное ПО пытается распространиться внутри сети, PT NAD позволит заметить эту активность, вычислить следы компрометации и исключить потенциальный вред.

PT NAD, инспектируя трафик, детектирует сами протоколы взаимодействия ВПО с серверами управления. В этом случае не важны IP-адрес и домен, поскольку определение происходит на основе сетевой активности

Эксплуатация уязвимостей в сети

Пример: SIGRed, критически опасная уязвимость в DNS-серверах на базе Windows (CVE-2020-1350)

Positive Technologies участвует в программе для разработчиков средств защиты Microsoft Active Protections. Мы оперативно загружаем в PT NAD данные о способах обнаружения попыток эксплуатации таких уязвимостей еще до выхода официальных патчей

 

Выявление техник по матрице MITRE ATT&CK

 

PT NAD покрывает 117 техник и тактик, применяемых атакующими для взлома первоначальном доступе, перемещении по сети
и взаимодействии с командным центром.

 

Ретроспективный анализ трафика

Все сценарии выше могут быть обнаружены при проверке исторических данных. Межсетевые экраны не хранят копию трафика достаточно долго, а также не индексируют весь трафик

Отслеживание статуса заражения удаленных VPN-пользователей

При анализе VPN-трафика возможно отслеживание сценариев 1–5 и проведение ретроспективного анализа для всех удаленных пользователей

PT NAD обладает всеми необходимыми технологиями для обнаружения действия злоумышленника в сети. Используя поведенческий и статистический анализ, правила, модули глубокой аналитики, машинное обучение и ретроспективный анализ, PT NAD знает, где находится атакующий в сети и помогает вовремя заметить действия хакера до реализации неприемлемых для бизнеса событий. Вы можете оценить возможности PT NAD — для этого оставьте заявку на бесплатный пилот по ссылке.


Комментарии 0