Новости

MaxPatrol Carbon 26.2: в 20 раз быстрее моделирует атаки и покрывает 81% техник матрицы MITRE ATT&CK

Positive Technologies выпустила обновленный MaxPatrol Carbon 26.2 — интеллектуальную систему для проактивного управления киберустойчивостью компаний. В новом релизе — технологические и экспертные улучшения: 20‑кратное ускорение расчета маршрутов атак и расширение покрытия матрицы MITRE ATT&CK до 81%, что позволяет точнее и быстрее выявлять потенциальные пути реализации недопустимых событий. Кроме того, представлен новый дашборд для оценки площади атаки в едином окне, включая покрытие, качество аудита и полноту данных об ИТ‑инфраструктуре.

Команда MaxPatrol Carbon продолжает повышать производительность системы. Оптимизированное построение графа атак и внедрение новых алгоритмов расчета позволило увеличить скорость моделирования потенциальных путей атакующих в 20 раз. Благодаря этому специалисты по ИБ смогут быстрее выявлять потенциальные пути реализации недопустимых событий, оперативно оценивать изменения состояния защищенности компании и эффективнее анализировать масштабные и сложные ИТ‑инфраструктуры.

В обновленном MaxPatrol Carbon расширена экспертиза в части моделирования действий злоумышленников при расчете маршрутов атак. Теперь система воспроизводит 81% всех описанных техник матрицы MITRE ATT&CK версии 15.1. Это позволяет учитывать большее количество реалистичных сценариев, повышать точность моделирования и оценки опасности атак. Добавлены, в частности, следующие действия атакующих:

  • Компрометация учетных данных каталога Active Directory после захвата центра управления сертификатами: опыт расследований PT Expert Security Center показывает, что этот вид атак — один из кратчайших путей захвата домена в случае успешного использования недостатков безопасности конфигураций. Специалистам по кибербезопасности важно не только устранить этот риск как можно скорее, но и получить подкрепленную деталями демонстрацию, как критически опасные зависимости и доступ к одному из ключевых активов позволяют злоумышленникам завладеть максимальными привилегиями.
     
  • Злоупотребление неограниченным делегированием Kerberos: продукт выявляет активы, на которых в кэше хранятся TGT‑билеты Kerberos1 пользователей домена, прошедших аутентификацию. Это дает понимание скрытых точек концентрации учетных данных, тем самым делая модель атак в новой версии MaxPatrol Carbon еще более вариативной и приближенной к практике.
  • Компрометация через групповые политики после захвата контроллера домена: метод демонстрирует, как одна ключевая система дает возможность массово управлять всеми устройствами в домене. Благодаря визуализации развития атаки служба ИБ может наглядно оценить масштаб последствий (от одного доступа — к централизованному выполнению кода практически во всей инфраструктуре) и приоритизировать защиту основных элементов управления.
  • Злоупотребление правами Microsoft Exchange Server в Active Directory: сценарий прогнозирует, как доступ к отдельной системе с особыми разрешениями может привести к захвату домена. Полезен тем, что помогает выявлять неочевидные способы повышения привилегий и учитывать риски, связанные с членством в доверенных группах с высокими привилегиями.
  • Сценарии подбора учетных данных при слабой парольной политике: метод показывает базовый, но крайне распространенный способ входа в домен. Он позволяет учитывать массовые и вероятностные сценарии компрометации учетных записей, которые могут стать отправной точкой для дальнейшего перемещения и повышения привилегий.

Также MaxPatrol Carbon 26.2 моделирует векторы компрометации серверов управления конечными устройствами: через сервер управления Kaspersky Security Center и систему управления Microsoft SCCM. Моделирование этих действий атакующих позволяет увидеть, что системы централизованного управления конечными устройствами сами могут стать инструментами для атаки и привести к удаленному выполнению кода, а также дальнейшему перемещению внутри инфраструктуры.

1 TGT‑билеты — цифровой пропуск пользователя в доменной сети, который выдается после успешного прохода аутентификации.

«На практике безопасность инфраструктуры определяется не только количеством найденных недостатков, но и пониманием того, каким образом злоумышленник может использовать их для достижения своих целей. Поэтому в новой версии MaxPatrol Carbon мы сфокусировались на повышении реалистичности моделирования путей реализации недопустимых событий. Помимо обогащения продукта экспертизой, мы развивали технические и функциональные возможности MaxPatrol Carbon. С обновленной системой даже в масштабных инфраструктурах специалисты могут быстрее получать полную картину возможного развития всех вариантов атак, как наиболее быстрых и опасных, так и сложных высококвалифицированных сценариев — от первоначального доступа до реализации недопустимых событий».

Константин Маньяков
Константин МаньяковЛидер продуктовой практики Positive Technologies

Ряд изменений направлен на снижение порога входа для работы с системой. Например, первичная настройка точек входа злоумышленников в инфраструктуру выполняется быстрее и проще. Теперь операторы могут искать данные без знания синтаксиса языка запросов: достаточно ввести запрос в соответствующее поле и выбрать нужные пререквизиты.

В части пользовательского опыта улучшен интерфейс страницы рекомендаций и обновлены сценарии работы с ней. Это нововведение позволяет эффективнее решать задачу приоритизации мер устранения источников угроз и внедрения защитных механизмов. Чтобы дополнительно повысить прозрачность и управляемость потенциальной площади атаки, в MaxPatrol Carbon модернизирован дашборд «Инфраструктура». Сейчас аналитикам доступно единое окно, в котором они могут оценивать текущую степень покрытия, качество аудита и полноту собираемых данных об активах.

Действующие пользователи могут обновить продукт через техническую поддержку или обратиться к нашим партнерам. Оставить заявку на демонстрацию, где эксперты смогут ответить на интересующие вопросы и запланировать пилот, можно по ссылке.