Новости

Сигнатурный движок PT NAD теперь обрабатывает трафик в три раза быстрее

Positive Technologies представила новую версию системы поведенческого анализа трафика PT Network Attack Discovery (PT NAD) — 12.2. Главное в релизе: централизованное управление и кардинальные изменения в сигнатурном движке PT NAD.

В PT NAD 12.2 обновлен сигнатурный движок правил, который теперь анализирует трафик в три раза быстрее. Это позволяет обрабатывать больший объем трафика, не увеличивая при этом аппаратные требования. Ускорение сигнатурного движка стало следующим шагом в постоянном процессе оптимизации производительности различных компонентов продукта. 

Начиная с этого релиза PT NAD движется в сторону централизованного управления, чтобы упростить эксплуатацию продукта в больших географически распределенных инфраструктурах. Раньше в организациях с распределенной структурой оператору SOC необходимо было работать с несколькими независимыми инсталляциями. Сейчас центральная консоль объединяет данные всех дочерних площадок и оператор может работать с ними из единого окна. Это значительно сокращает время, которое эксперты SOC тратят на мониторинг, расследования и проактивный поиск угроз. 

В PT NAD 12.2 уже доступна основная функциональность централизованного управления: просмотр в единой консоли ленты активности, узлов, сессий и дашбордов. Следующим шагом команда продукта добавит централизованную выгрузку PCAP-файлов1, работу с исключениями и единое управление базой знаний.

«В PT NAD 12.2 нам удалось выйти на новый уровень зрелости системы. Мы сосредоточились не только на повышении производительности, но и на оптимизации рабочего процесса пользователя. Начиная с этой версии продукта обеспечение кибербезопасности крупных организаций с распределенной инфраструктурой можно осуществлять централизованно: аналитика по всем консолям доступна в едином окне. Это позволяет сэкономить самый ценный ресурс работы специалиста по ИБ — время. А бизнесу открывает возможность масшта...

Виктор Еременко
Виктор ЕременкоЛидер продуктовой практики PT NAD в Positive Technologies

В новой версии PT NAD также добавлен модуль экспертизы, который профилирует соединения по управляющему протоколу WinRM2. Протокол часто используется злоумышленниками для горизонтального перемещения внутри инфраструктуры, а модуль позволяет обнаруживать целый класс атак с использованием протокола WinRM, например, Evil-WinRM.

Кроме того, PT NAD теперь обнаруживает и разбирает сообщения протокола HTTP/2, что позволяет в том числе выявлять атаки с его использованием. Опция является частью интеграции PT NAD с устройствами, обеспечивающими межсетевой захват трафика (MITM): NGFW или программным SSL splitter, например ArtX TLSproxy.

В релизе 12.2 обновление получил и механизм репутационных списков. У оператора появилась возможность задавать направление, в котором будут срабатывать отдельные списки. Это поможет операторам PT NAD точнее настраивать работу механизма и не обращать внимания на низкоприоритетные срабатывания индикаторов. Репутационные списки экспертного центра безопасности Positive Technologies (PT Expert Security Center) уже поставляются с этим параметром, что в сумме с общими улучшениями качества репутационных списков позволило в отдельных случаях сократить количество ложных срабатываний в пять раз.

Отображение информации о стороне соединения в репутационных списках IP-адресов и доменных имен
Отображение информации о стороне соединения в репутационных списках IP-адресов и доменных имен

Кроме того, начиная с версии PT NAD 12.2 оператор может видеть всю цепочку прикладных протоколов в сетевой сессии, что повышает прозрачность сети.

Отображение протоколов в карточке сессии
Отображение протоколов в карточке сессии

PT NAD 12.2 уже доступен для пользователей. Действующие пользователи могут обновить продукт через техническую поддержку или обратиться к партнерам Positive Technologies.

  1. От англ. Packet Capture — библиотека, служащая для создания программ анализа сетевых данных, поступающих на сетевую карту компьютера. 
  2. WinRM (Windows Remote Management) — это протокол для удаленного управления устройствами, работающими на базе операционной системы Windows.
Поделиться

Может быть интересно

Файлы cookies помогают нам улучшать пользовательский опыт на сайте. Продолжая использовать сайт, вы даете согласие на использование cookies и обработку своих данных. Узнайте подробности или измените свои настройки cookies