Новая версия PT Container Security обрабатывает свыше десятков тысяч событий в секунду

Это позволяет обеспечивать защиту самых крупных российских компаний

Positive Technologies выпустила новую версию PT Container Security — продукта для защиты контейнерных сред. Главное в релизе — новые возможности для поиска событий рантайма и проведения расследований инцидентов, улучшение производительности за счет обновления рантайма WebAssembly (Wazero), новые детекторы рантайма, разработанные по итогам испытаний на киберполигоне Standoff, а также обновленная версия Tetragon, содержащая ряд улучшений движка мониторинга рантайма.

Согласно полевым испытаниям, PT Container Security способен обрабатывать поток в десятки тысяч событий в секунду¹ и выше. Продукт поддерживает крупные высоконагруженные продакшен-кластеры без потери скорости, то есть может обеспечить безопасность инфраструктуры любого размера. При возрастании нагрузки PT Container Security можно масштабировать горизонтально, увеличивая количество реплик, либо вертикально, добавляя вычислительные ресурсы. Дополнительное улучшение производительности достигнуто за счет использования последних версий WebAssembly и Tetragon.

Технология WebAssembly позволяет разрабатывать детектирующие модули на языках программирования общего назначения и реализовать любую, сколь угодно сложную логику обнаружения в виде переносимого и кросс-платформенного байткода. Использование последних версий рантайма Wazero, который начиная с релиза 1.7 имплементировал оптимизирующий компилятор, ускорило работу каждого отдельного детектора на 30–35% без изменения исходного кода. Tetragon применяется в PT CS для обнаружения угроз в рантайме начиная с первой коммерческой версии продукта. Positive Technologies стала первой компанией из сферы информационной безопасности, которая представила коммерческий продукт по защите рантайма в контейнерных средах на его основе.

В рамках обновления PT Container Security получил новые возможности, облегчающие для аналитиков расследование инцидентов в рантайме:

• Контекстные фильтры. Позволяют быстро находить события, связанные с работой дочерних и родительских процессов, например запуск злоумышленником вредоносных утилит в скомпрометированном контейнере. Построены на наблюдениях и анализе реальных расследований, помогают простроить цепочку действий злоумышленников.
• Обычные фильтры. Помогают сфокусировать внимание на важных событиях, например, событиях, относящихся к конкретному поду в Kubernetes или связанных с определенными исполняемыми файлами.
• Пресеты для частых проверок, форматирование сырых событий и быстрые фильтры помогают специалистам по ИБ быстрее проводить расследование киберинцидентов в контейнерах. Позволяют не терять информацию и быстро возвращаться к любой точке расследования.
• Новые детекторы, разработанные вместе с экспертным центром безопасности PT Expert Security Center. За счет максимальной гибкости детекторы не требуют дополнительной настройки, объединяют сигнатурный и поведенческий подходы к обнаружению угроз в рантайме, предлагая гибридный вариант, объединяющий сильные стороны способов обнаружения. Набор детекторов постоянно пополняется.

1. Протестировано в рамках кибербитвы Standoff, которая проходила на киберфестивале PHDays Fest 2.