В новой версии PT NAD также добавлен модуль экспертизы, который профилирует соединения по управляющему протоколу WinRM2 . Протокол часто используется злоумышленниками для горизонтального перемещения внутри инфраструктуры, а модуль позволяет обнаруживать целый класс атак с использованием протокола WinRM, например, Evil-WinRM.
Кроме того, PT NAD теперь обнаруживает и разбирает сообщения протокола HTTP/2, что позволяет в том числе выявлять атаки с его использованием. Опция является частью интеграции PT NAD с устройствами, обеспечивающими межсетевой захват трафика (MITM): NGFW или программным SSL splitter, например ArtX TLSproxy.
В релизе 12.2 обновление получил и механизм репутационных списков. У оператора появилась возможность задавать направление, в котором будут срабатывать отдельные списки. Это поможет операторам PT NAD точнее настраивать работу механизма и не обращать внимания на низкоприоритетные срабатывания индикаторов. Репутационные списки экспертного центра безопасности Positive Technologies (PT Expert Security Center) уже поставляются с этим параметром, что в сумме с общими улучшениями качества репутационных списков позволило в отдельных случаях сократить количество ложных срабатываний в пять раз.
Отображение информации о стороне соединения в репутационных списках IP-адресов и доменных имен Кроме того, начиная с версии PT NAD 12.2 оператор может видеть всю цепочку прикладных протоколов в сетевой сессии, что повышает прозрачность сети.
Отображение протоколов в карточке сессии PT NAD 12.2 уже доступен для пользователей. Действующие пользователи могут обновить продукт через техническую поддержку или обратиться к партнерам Positive Technologies.
От англ. Packet Capture — библиотека, служащая для создания программ анализа сетевых данных, поступающих на сетевую карту компьютера. WinRM (Windows Remote Management) — это протокол для удаленного управления устройствами, работающими на базе операционной системы Windows.