Сигнатурный движок PT NAD теперь обрабатывает трафик в три раза быстрее

Positive Technologies представила новую версию системы поведенческого анализа трафика PT Network Attack Discovery (PT NAD) — 12.2. Главное в релизе: централизованное управление и кардинальные изменения в сигнатурном движке PT NAD.

В PT NAD 12.2 обновлен сигнатурный движок правил, который теперь анализирует трафик в три раза быстрее. Это позволяет обрабатывать больший объем трафика, не увеличивая при этом аппаратные требования. Ускорение сигнатурного движка стало следующим шагом в постоянном процессе оптимизации производительности различных компонентов продукта. 

Начиная с этого релиза PT NAD движется в сторону централизованного управления, чтобы упростить эксплуатацию продукта в больших географически распределенных инфраструктурах. Раньше в организациях с распределенной структурой оператору SOC необходимо было работать с несколькими независимыми инсталляциями. Сейчас центральная консоль объединяет данные всех дочерних площадок и оператор может работать с ними из единого окна. Это значительно сокращает время, которое эксперты SOC тратят на мониторинг, расследования и проактивный поиск угроз. 

В PT NAD 12.2 уже доступна основная функциональность централизованного управления: просмотр в единой консоли ленты активности, узлов, сессий и дашбордов. Следующим шагом команда продукта добавит централизованную выгрузку PCAP-файлов¹, работу с исключениями и единое управление базой знаний.

В новой версии PT NAD также добавлен модуль экспертизы, который профилирует соединения по управляющему протоколу WinRM². Протокол часто используется злоумышленниками для горизонтального перемещения внутри инфраструктуры, а модуль позволяет обнаруживать целый класс атак с использованием протокола WinRM, например, Evil-WinRM.

Кроме того, PT NAD теперь обнаруживает и разбирает сообщения протокола HTTP/2, что позволяет в том числе выявлять атаки с его использованием. Опция является частью интеграции PT NAD с устройствами, обеспечивающими межсетевой захват трафика (MITM): NGFW или программным SSL splitter, например ArtX TLSproxy.

В релизе 12.2 обновление получил и механизм репутационных списков. У оператора появилась возможность задавать направление, в котором будут срабатывать отдельные списки. Это поможет операторам PT NAD точнее настраивать работу механизма и не обращать внимания на низкоприоритетные срабатывания индикаторов. Репутационные списки экспертного центра безопасности Positive Technologies (PT Expert Security Center) уже поставляются с этим параметром, что в сумме с общими улучшениями качества репутационных списков позволило в отдельных случаях сократить количество ложных срабатываний в пять раз.

Кроме того, начиная с версии PT NAD 12.2 оператор может видеть всю цепочку прикладных протоколов в сетевой сессии, что повышает прозрачность сети.

PT NAD 12.2 уже доступен для пользователей. Действующие пользователи могут обновить продукт через техническую поддержку или обратиться к партнерам Positive Technologies.

1. От англ. Packet Capture — библиотека, служащая для создания программ анализа сетевых данных, поступающих на сетевую карту компьютера. 
2. WinRM (Windows Remote Management) — это протокол для удаленного управления устройствами, работающими на базе операционной системы Windows.