Новости

Пользователи PT NAD 12.4 могут управлять дочерними системами через центральную консоль

Positive Technologies представила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) — 12.4. Главное в релизе — расширение возможностей управления дочерними системами через центральную консоль, учет времени суток в пользовательских правилах профилирования, а также новые экспертные модули для контроля IT-инфраструктуры.

В новой версии PT NAD с помощью центральной консоли специалисты по ИБ могут не только анализировать результаты работы дочерних систем, но и непосредственно управлять ими. В PT NAD 12.4 существенно расширились возможности управления иерархией: в центральной консоли введена удобная система профилей и механизм управления исключениями, правилами обнаружения атак, группами узлов и портов, а также репутационными списками. Новая функциональность позволяет ускорить управление географически распределенной системой, тем самым упрощая обнаружение угроз и расследование инцидентов.
 

Кроме того, для более точной настройки PT NAD 12.4 операторы центральной консоли могут выключать репутационные списки1, не представляющие интереса в конкретной IT-инфраструктуре. Помимо репутационных списков Positive Technologies, в комплект поставки PT NAD теперь также входят индикаторы компрометации от ФСТЭК, что помогает компаниям соответствовать требованиям регулятора.
 

1 Репутационные списки — базы данных доменных имен и IP-адресов, замеченных во вредоносных кампаниях.

Во вкладке управления репутационными списками появилась возможность включить их или выключить, а каждый репутационный список теперь имеет текстовое описание для оператора.png
Во вкладке управления репутационными списками появилась возможность включить их или выключить, а каждый репутационный список теперь имеет текстовое описание для оператора

 

Команда разработки PT NAD продолжает развивать возможности самообучения продукта на реальном трафике с помощью ML-технологий. Обновленная система автоматически определяет периоды высокой и низкой активности устройств в сети и снижает порог срабатывания пользовательских правил профилирования при низком уровне трафика. Функция позволяет быстрее и точнее выявлять действия злоумышленников, например, ночью — в период, когда особенно часто происходят атаки, в частности с использованием программ-вымогателей.

«В ответ на запрос пользователей PT NAD экспертиза в продукте обогатилась модулями, которые отслеживают потенциальное нарушение корпоративных политик, а также следят за IT-инфраструктурой. Так, PT NAD пополнился экспертными модулями для обнаружения служб, доступных из внешней сети по публичному IP-адресу. Именно доступные из интернета службы SMB2 стали одной из причин эпидемии WannaCry3 в 2017 году. Кроме того, система отслеживает истекающие в скором времени TLS-сертификаты и присутствие промышленных протоколов в трафике, что может свидетельствовать о недостаточной сегментации сети или ошибках конфигурации».

Кирилл Шипулин
Кирилл ШипулинРуководитель экспертизы продукта PT NAD в Positive Technologies

В новом релизе PT NAD реализован анализ отпечатков алгоритма JA4. Механизм позволяет определять особенности клиента по параметрам TLS-соединения4 и поведению в зашифрованных каналах, фиксировать подозрительные сессии и вредоносные инструменты. Также, начиная с версии 12.4, сигнатурный движок PT NAD совместим с синтаксисом правил Suricata 7.0. Обновление технологий позволяет специалистам по ИБ обогащать правила обнаружения атак актуальной экспертизой.

Чтобы обновить PT NAD до версии 12.4, обратитесь в техническую поддержку или к партнерам Positive Technologies. Оставить заявку на бесплатный тест-драйв можно по ссылке.

2 SMB (server message block) — сетевой протокол для удаленного доступа к файлам, принтерам и другим сетевым ресурсам.

3 WannaCry — программа-вымогатель, массовое распространение которой произошло в 2017 году. Тогда пострадали крупные международные компании, правительственные учреждения и частные пользователи.

4 TLS (transport layer security) — протокол шифрования и аутентификации, который защищает данные при передаче по сети.