Positive Technologies Network Attack Discovery

PT Network Attack Discovery — система анализа сетевого трафика (network traffic analysis, NTA) для контроля вредоносной активности на периметре и внутри сети. Это удобный инструмент для расследований, который обнаруживает активность злоумышленников даже в зашифрованном трафике. PT NAD знает, что искать в сети.

  • Проверка сетевой активности. PT NAD определяет более 100 сетевых протоколов и 9 протоколов туннелирования и разбирает 35 наиболее распространенных из них до уровня L7 включительно. На основе разбора и анализа более 1200 параметров протоколов строятся модели сетевых узлов. Это позволяет получить подробную картину активности в инфраструктуре и выявить проблемы ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак. PT NAD знает все о каждом сетевом узле, минимизирует использование неконтролируемых компонентов ИТ-инфраструктуры и снижает риск взлома компании через них.
  • Обнаружение сложных целевых атак. Система автоматически обнаруживает попытки проникновения в сеть и присутствие злоумышленников в инфраструктуре по множеству признаков, например по примененным инструментам или по данным, переданным на серверы атакующих.
  • Необходимый инструмент. SOC PT NAD – незаменимый источник данных для SIEM-решений. Система хранит метаданные и сырой трафик, позволяет оперативно находить сессии и отбирать подозрительные, экспортировать и импортировать трафик. Таким образом PT NAD гарантирует полную видимость сети для SOC, упрощает проверку успешности атаки, помогает восстановить хронологию и собрать доказательную базу.

Преимущества

  • Показывает злоумышленников во всей сети
  • Выявляет хакерский инструментарий и модифицированное вредоносное ПО
  • Помогает выполнить требования к защите информации, в том числе к безопасности объектов КИИ и финансовых операций
  • Интегрируется с решениями класса SIEM и sandbox
  • Быстрая инсталляция – меньше 1 часа на внедрение в промышленную эксплуатацию

PT NAD выявляет: 

  • Угрозы в зашифрованном трафике 
  • Применение хакерского инструментария 
  • Перемещение злоумышленника внутри периметра 
  • Сетевые аномалии 
  • Зараженные сетевые узлы 
  • Атаки на контроллер домена 
  • Признаки не обнаруженных ранее атак 
  • Эксплуатацию уязвимостей в сети 
  • Признаки сокрытия активности от средств защиты 
  • Автоматически сгенерированные домены 
  • Нарушения регламентов ИБ

Сценарии применения

  • Мониторинг сетевой безопасности. PT NAD помогает обнаружить ошибки конфигурации и нарушения регламентов ИБ, например незавершенные сеансы, словарные пароли, использование утилит для удаленного доступа или инструментов для сокрытия сетевой активности. 
  • Выявление атак на периметре и в инфраструктуре. Встроенные модули глубокой аналитики, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ позволяют отследить атаки на ранних стадиях и после проникновения злоумышленника в инфраструктуру. 
  • Расследование атак. Оператор ИБ отслеживает атаки и определяет их успешность на основе анализа метаданных. Специалист по расследованию восстанавливает хронологию атаки с помощью данных в PT NAD и вырабатывает компенсирующие меры. 
  • Поиск угроз. PT NAD помогает выстроить процесс threat hunting в организации, проверять гипотезы, например о присутствии хакеров в сети, и выявлять скрытые угрозы, которые не обнаруживаются стандартными средствами кибербезопасности.

Как работает PT NAD

PT NAD захватывает и разбирает сетевой трафик на периметре и в инфраструктуре с помощью собственной технологии DPI. В качестве источника трафика можно использовать устройства TAP, брокеры сетевых пакетов и активное сетевое оборудование. Анализируя копию сетевого трафика статистическими и поведенческими модулями, система определяет активность злоумышленника на самых ранних этапах проникновения в сеть, а также во время попыток закрепиться и развить атаку внутри сети. PT NAD хранит копию сырого трафика и на его основе генерирует метаданные для ретроспективного анализа. После обновления правил обнаружения угроз и репутационных списков от PT Expert Security Center продукт автоматически перепроверяет собранные данные о трафике и сообщает аналитикам SOC о скрытом присутствии злоумышленника в сети. Сочетая в себе несколько механизмов обнаружения сложных угроз, PT NAD обеспечивает видимость сети компании, обнаруживает подозрительные соединения и сетевые аномалии и помогает контролировать регламенты ИБ.