Совместное решение Positive Technologies и «АртЭКС» позволяет разбирать зашифрованный TLS-трафик

Шифрованный трафик все чаще используют как для легитимных, так и мошеннических действий

Positive Technologies, лидер в области результативной кибербезопасности, и разработчик программных продуктов «АртЭКС» протестировали интеграцию системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) и ArtX TLSproxy — ПО, предназначенного для расшифровки любых протоколов поверх SSL/TLS. Совместное использование продуктов дает большую видимость сети и расширяет возможности анализа сетевого поведения. Кроме того, объединенное решение позволяет выявлять и отражать атаки злоумышленников, взаимодействующих с центрами удаленного управления по защищенному каналу.

По данным Google Transparency Report, за последние 8 лет объем шифрованного веб-трафика в мире вырос на 50-80% в зависимости от страны. При помощи TLS обеспечивается конфиденциальность и целостность трафика, например, при проведении платежей в интернете, обмене сообщениями в мессенджерах. Популярностью он пользуется и у злоумышленников, которые благодаря шифрованию на протяжении продолжительного времени могут скрывать свою вредоносную активность. Опыт экспертного центра безопасности Positive Technologies (PT Expert Security Center) показывает, что злоумышленники часто скрывают свой канал коммуникации с С2 серверами¹ под TLS соединение, маскируя его в качестве легитимного сервиса.

Продукты для сетевого анализа трафика являются незаменимым инструментом SOC (Security Operations Center). Например, PT NAD позволяет точно выявить действия злоумышленников в сети и при оперативном вмешательстве ИБ-специалистов в сжатые сроки остановить кибератаку. Продукт обнаруживает аномалии и сложные угрозы, которые невозможно выявить классическими методами. PT NAD для этого использует поведенческий анализ трафика, статистический анализ сессий, собственные правила детектирования угроз от экспертного центра безопасности Positive Technologies (PT ESC), индикаторы компрометации и ретроспективный анализ. 

Использование шифрования повышает конфиденциальность сетевого взаимодействия и при этом затрудняет выявление злоумышленников для некоторых решений, например, для продуктов класса NTA (Network Traffic Analysis). Для обеспечения максимальной видимости следует работать с расшифрованной копией трафика. Получить ее возможно с помощью сторонних инструментов для аудита зашифрованных соединений таких как ArtX TLSproxy. ArtX TLSproxy расшифровывает трафик разово, снижая нагрузку на остальные системы, и обеспечивает единообразный доступ к расшифрованным данным для всех потребителей. При этом гарантирует обратное шифрование, сохраняя высокий уровень безопасности.

Сейчас благодаря интеграции ArtX TLSproxy обеспечивает раскрытие шифрованного веб-трафика и передачу копии в PT NAD. NTA-система Positive Technologies, в свою очередь, анализирует поток с помощью сигнатурного анализа, встроенных модулей с правилами экспертизы и эффективно выявляет атаки и аномалии в сети. 

В отличие от межсетевых экранов нового поколения, которые анализируют трафик, объединенное решение Positive Technologies и «АртЭКС» может детально проанализировать событие и записать его для дальнейшего ретроспективного анализа. Кроме того, PT NAD умеет обнаруживать и разбирать сообщения протокола HTTP/2, что позволяет выявлять атаки с использованием HTTP/2 и поддерживать современные протоколы.

Инженеры Positive Technologies советуют ArtX TLSproxy устанавливать «в разрыв» на периметре для того, чтобы иметь полную видимость всех активностей злоумышленников. Благодаря этому администратор NTA-системы сможет выявить, например, канал взаимодействия хакера с командным центром. 

Оба продукта внесены в единый реестр российского ПО, а корректность их совместной работы проверена специалистами Positive Technologies и «АртЭКС» в ходе тестирований.

1. C2-сервер — командно-контрольный сервер, на котором обычно находится управляющее ПО.