• О компании
  • Новости
  • Пользователи PT NAD 12.4 могут управлять дочерними системами через центральную консоль
Новости

Пользователи PT NAD 12.4 могут управлять дочерними системами через центральную консоль

Positive Technologies представила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) — 12.4. Главное в релизе — расширение возможностей управления дочерними системами через центральную консоль, учет времени суток в пользовательских правилах профилирования, а также новые экспертные модули для контроля IT-инфраструктуры.

В новой версии PT NAD с помощью центральной консоли специалисты по ИБ могут не только анализировать результаты работы дочерних систем, но и непосредственно управлять ими. В PT NAD 12.4 существенно расширились возможности управления иерархией: в центральной консоли введена удобная система профилей и механизм управления исключениями, правилами обнаружения атак, группами узлов и портов, а также репутационными списками. Новая функциональность позволяет ускорить управление географически распределенной системой, тем самым упрощая обнаружение угроз и расследование инцидентов.
 

Кроме того, для более точной настройки PT NAD 12.4 операторы центральной консоли могут выключать репутационные списки1, не представляющие интереса в конкретной IT-инфраструктуре. Помимо репутационных списков Positive Technologies, в комплект поставки PT NAD теперь также входят индикаторы компрометации от ФСТЭК, что помогает компаниям соответствовать требованиям регулятора.
 

1 Репутационные списки — базы данных доменных имен и IP-адресов, замеченных во вредоносных кампаниях.

Во вкладке управления репутационными списками появилась возможность включить их или выключить, а каждый репутационный список теперь имеет текстовое описание для оператора.png
Во вкладке управления репутационными списками появилась возможность включить их или выключить, а каждый репутационный список теперь имеет текстовое описание для оператора

 

Команда разработки PT NAD продолжает развивать возможности самообучения продукта на реальном трафике с помощью ML-технологий. Обновленная система автоматически определяет периоды высокой и низкой активности устройств в сети и снижает порог срабатывания пользовательских правил профилирования при низком уровне трафика. Функция позволяет быстрее и точнее выявлять действия злоумышленников, например, ночью — в период, когда особенно часто происходят атаки, в частности с использованием программ-вымогателей.

«В ответ на запрос пользователей PT NAD экспертиза в продукте обогатилась модулями, которые отслеживают потенциальное нарушение корпоративных политик, а также следят за IT-инфраструктурой. Так, PT NAD пополнился экспертными модулями для обнаружения служб, доступных из внешней сети по публичному IP-адресу. Именно доступные из интернета службы SMB2 стали одной из причин эпидемии WannaCry3 в 2017 году. Кроме того, система отслеживает истекающие в скором времени TLS-сертификаты и присутствие промышленных протоколов в трафике, что может свидетельствовать о недостаточной сегментации сети или ошибках конфигурации».

Кирилл Шипулин
Кирилл ШипулинРуководитель экспертизы продукта PT NAD в Positive Technologies

В новом релизе PT NAD реализован анализ отпечатков алгоритма JA4. Механизм позволяет определять особенности клиента по параметрам TLS-соединения4 и поведению в зашифрованных каналах, фиксировать подозрительные сессии и вредоносные инструменты. Также, начиная с версии 12.4, сигнатурный движок PT NAD совместим с синтаксисом правил Suricata 7.0. Обновление технологий позволяет специалистам по ИБ обогащать правила обнаружения атак актуальной экспертизой.

Чтобы обновить PT NAD до версии 12.4, обратитесь в техническую поддержку или к партнерам Positive Technologies. Оставить заявку на бесплатный тест-драйв можно по ссылке.

2 SMB (server message block) — сетевой протокол для удаленного доступа к файлам, принтерам и другим сетевым ресурсам.

3 WannaCry — программа-вымогатель, массовое распространение которой произошло в 2017 году. Тогда пострадали крупные международные компании, правительственные учреждения и частные пользователи.

4 TLS (transport layer security) — протокол шифрования и аутентификации, который защищает данные при передаче по сети.