Обзор продукта

PT Network Attack Discovery — система поведенческого анализа сетевого трафика для обнаружения скрытых кибератак. Точно выявляет действия злоумышленников в сети, упрощает расследование инцидентов и помогает в проактивном поиске угроз. PT NAD знает, что искать.


Обнаружение атак
Выявляет сложные сетевые атаки и сокращает время обнаружения хакеров до одного часа.
Расследование инцидентов
Упрощает расследование инцидентов и показывает слабые точки в сети.
Проактивный поиск угроз (threat hunting)
Помогает проверять гипотезы и выявлять скрытые угрозы, которые не видят другие средства защиты информации.

Почта — самый популярный способ доставки вредоносного ПО

По данным Positive Technologies 75% кибератак начинаются с вредоносного электронного письма. Злоумышленники совершенствуют вредоносное ПО, придумывают техники обхода защиты, поэтому важно постоянно тестировать почту на уязвимости, чтобы устранить основной вектор атак.

PT Knockin поможет протестировать безопасность корпоративной электронной почты. Проверит эффективность антивируса, почтового шлюза, песочницы и других средств защиты, даст рекомендации по устранению недостатков.

ПРОВЕРИТЬ ПОЧТУ

Сценарии использования для службы ИБ

Выявление аномалий и угроз в инфраструктуре

Большую часть кибератак можно остановить еще на периметре, но есть сложные атаки, в ходе которых злоумышленники проникают во внутреннюю сеть.

PT NAD осуществляет профилирование сетевых узлов и поиск аномалий в сетевом трафике с помощью технологий машинного обучения. Для обнаружения угроз, которые невозможно выявить классическими методами, в систему встроены самообучающиеся ML-модули. Они разработаны экспертами PT Expert Security Center и активно применяются в продуктах Positive Technologies.

PT NAD использует поведенческий анализ трафика, статистический анализ сессий, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ, которые позволяют обнаруживать атаки на ранних этапах и в случаях, когда злоумышленник уже проник в инфраструктуру.

Система выявляет аномалии и сложные угрозы, которые невозможно обнаружить классическими методами. Поведенческий анализ учитывает множество параметров сессий и точно определяет атакующих даже в шифрованном трафике. Набор индикаторов компрометации и правил еженедельно пополняется экспертизой PT Expert Security Center.

Передовые технологии в PT NAD помогают сотрудникам безопасности обнаружить хорошо подготовленные атаки до реализации неприемлемых для бизнеса событий.

Выявление атак на периметре и в инфраструктуре

Расследование атак

Для подтверждения кибератак специалистам по ИБ необходимо собрать набор данных: журналы с конечных узлов, данные из систем безопасности, сетевой контекст и артефакты. После этого происходит подтверждение или опровержение обнаруженного события. В случае если атака действительно подтвердилась, необходимо определить масштабы и хронологию событий, собрать всю цепочку, доказательную базу и выработать компенсирующие меры.

PT NAD собирает, обрабатывает и хранит копию сетевого трафика и обработанные данные, следовательно оператор может оперативно сделать вывод об успешности атаки. С помощью системы специалист может:

  • локализовать атаку;
  • восстановить хронологию атаки;
  • выявить уязвимые места в инфраструктуре;
  • выработать компенсирующие меры для предотвращения аналогичных атак;
  • собрать доказательную базу.
Расследование атак

Threat hunting

Threat hunting — проактивный поиск угроз, которые могут пропустить системы безопасности. Он заключается в том, что служба ИБ, не дожидаясь оповещений от средств защиты, ищет следы компрометации и проверяет инфраструктуру так, будто она уже взломана. В рамках threat hunting специалист формулирует гипотезы, основанные, например, на информации о новой преступной группировке, ее методах и инструментах, а затем формирует артефакты и проверяет инфраструктуру на их наличие.

PT NAD помогает компаниям выстроить процесс threat hunting и обнаруживать даже скрытые угрозы, которые не выявляются стандартными средствами защиты.

Threat hunting

Сетевой asset management

PT NAD показывает все узлы, подключенные к инфраструктуре, в том числе устройства, на которые невозможно поставить SIEM- или EDR-систему, и сообщает службе безопасности, какие из них не защищены.

PT NAD разбирает и анализирует более 1200 параметров протоколов, строя сетевые модели узлов. Система определяет, когда был обнаружен, активен и изменен узел, автоматически выявляет доменные имена, логины, пароли, сетевые порты и протоколы. Эти данные позволяют в реальном времени инвентаризировать сетевые узлы и проактивно реагировать на появление неизвестных.

Сетевой asset management

Проверка соблюдения регламентов ИБ

Среди популярных техник атакующих — метод перебора (brute force и password spraying). Проникнув в инфраструктуру, злоумышленники применяют тактику разведки, крадут пароли сотрудников и используют доступный инструментарий для перемещения и сокрытия своей деятельности внутри периметра.

PT NAD помогает выявить ошибки конфигурации и нарушения регламентов ИБ: позволяет оперативно обнаружить учетные записи в открытом виде, словарные пароли, использование утилит для удаленного доступа и инструментов сокрытия активности в сети. Выявленные PT NAD события помогают сотрудникам безопасности снизить площадь атаки и уменьшить количество векторов для продвижения и закрепления злоумышленника на соседних сетевых узлах в инфраструктуре.

Проверка соблюдения регламентов ИБ

Какие техники MITRE ATT&CK выявляет PT NAD

Выявляет 180 техник атакующих, определяет хакерский инструментарий и модифицированное вредоносное ПО. Узнайте, какие угрозы из международной базы знаний MITRE ATT&CK можно обнаружить с помощью PT NAD.

Узнать

Сценарии использования для IT-отдела

Сетевой asset management

Для поддержания стабильности инфраструктуры IT-специалисты должны иметь полное представление о каждом активе внутри сетевой инфраструктуры. Любые изменения в сети должны быть контролируемы, а информация должна собираться и обрабатываться непрерывно.

PT NAD профилирует все сетевые узлы и знает о появлении новых, собирает информацию об активах, протоколах, номерах портов, данные об ОС и ПО, автоматически определяет тип и роль устройства. Профиль узла всегда показывает актуальную информацию, поэтому IT-подразделение может контролировать сетевую инфраструктуру в режиме реального времени.

Сетевой asset management

Обнаружение теневой инфраструктуры

Использование сервисов и ПО, о которых не знают подразделения по ИТ и ИБ, может привести к ошибкам, простою инфраструктуры и ее компрометации. Неизвестные узлы, которыми никто не управляет, создают теневую инфраструктуру, негативно влияющую на бизнес.

PT NAD помогает определить неизвестные для IT-службы сетевые узлы. На основе данных, полученных из трафика, система строит сетевой профиль актива, определяет его тип и роль. Система точно знает, когда узел появился, что он из себя представляет и какую активность создает внутри сети.

Обнаружение теневой инфраструктуры

Обнаружение некорпоративного ПО и ОС

На каждом сетевом узле работают десятки приложений, а сотрудники приносят с собой личные устройства и используют их внутри компании. IT-специалистам нужно контролировать используемое ПО, включая программы для мобильных и личных устройств.

PT NAD помогает определить сетевые узлы, на которых работает некорпоративное ПО, а также быстро узнать, какой тип ОС на них используется, включая BYOD-устройства. Все это помогает IT-специалистам соблюдать и контролировать регламенты компании, а также поддерживать информацию о сети в актуальном состоянии.

Обнаружение некорпоративного ПО и ОС

Выявление средств удаленного администрирования

В период пандемии большинство компаний перешли на удаленный режим работы, а администраторы стали использовать средства удаленного администрирования как основной инструмент для поддержки IT-инфраструктуры. Бесконтрольное использование подобных средств должно быть ограничено и использоваться по назначению только группой администраторов.

PT NAD определяет ПО, которое предназначено для удаленного администрирования систем (например, AnyDesk, TeamViewer, RemoteAdmin, Ammyy Admin). Нецелевое использование средств удаленного администрирования может свидетельствовать о неправильной конфигурации сетевых узлов, и продукт помогает IT-специалистам вовремя обратить на это внимание.

Выявление средств удаленного администрирования

Что выявляет PT NAD

Угрозы в зашифрованном трафике
Угрозы в зашифрованном трафике
Глубокий анализ позволяет с высокой точностью обнаруживать вредоносные программы, скрытые под самописными протоколами или TLS
Перемещение злоумышленника внутри периметра
Перемещение злоумышленника внутри периметра
PT NAD обнаруживает попытки злоумышленников расширить присутствие в инфраструктуре, провести разведку, удаленно выполнить команды, атаковать Active Directory и Kerberos
Хакерский инструментарий
Хакерский инструментарий
PT ESC расследует сложные атаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD
Эксплуатацию уязвимостей в сети
Эксплуатацию уязвимостей в сети
База знаний Positive Technologies регулярно пополняется информацией о новых уязвимостях, в том числе о тех, которым еще не присвоены CVE, а PT NAD может оперативно выявлять попытки их эксплуатации
Активность вредоносного ПО
Активность вредоносного ПО
PT NAD определяет ВПО по его сетевой активности. Это важно для локализации угрозы, поскольку ВПО легко сделать незаметным для антивирусных систем
Признаки атак, не обнаруженных ранее
Признаки атак, не обнаруженных ранее
Как только в базе знаний PT NAD появляются данные о новых киберугрозах, запускается ретроспективный анализ трафика. Обнаружить скрытое присутствие злоумышленника можно максимально быстро
Сокрытие активности от средств защиты
Сокрытие активности от средств защиты
PT NAD определяет более 100 сетевых протоколов и 9 протоколов туннелирования, включая DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты. Продукт разбирает 35 самых распространенных протоколов до уровня L7
Автоматически сгенерированные домены
Автоматически сгенерированные домены
С помощью технологий машинного обучения PT NAD распознает доменные имена, созданные при помощи алгоритмов генерации доменов (DGA). Это помогает выявить вредоносное ПО, которое использует подобные домены для поддержания связи с командным сервером
Нарушения регламентов ИБ
Нарушения регламентов ИБ
PT NAD помогает отслеживать словарные пароли, передачу учетных данных в незашифрованном виде, использование VPN-туннелей, Tor, прокси-серверов, утилит для удаленного доступа, мессенджеров ― всего того, что, как правило, запрещено политикой ИБ в крупных компаниях

Как работает

PT Network Attack Discovery
PT NAD осуществляет профилирование сетевых узлов и поиск аномалий в сетевом трафике с помощью технологий машинного обучения
PT NAD захватывает и разбирает сетевой трафик на периметре и в инфраструктуре с помощью собственной технологии DPI. Данные о сетевых атаках и аномалиях отображаются на виджетах дашборда
Пользователь видит информацию об опасных угрозах в «Ленте активностей» и может быстро обнаружить злоумышленника в сети. Похожие активности объединяются в события, которые можно фильтровать по уровню опасности, названию или именам узлов. В веб-интерфейсе можно выбрать, как реагировать на событие
PT NAD обнаруживает злоумышленника на этапе проникновения в сеть и во время попыток закрепиться в инфраструктуре. Для этого система использует модули глубокой аналитики, поведенческий анализ трафика, статистический анализ сессий, машинное обучение, правила обнаружения угроз и индикаторов, предоставляемые PT Expert Security Center
PT NAD разбирает сетевой трафик до уровня приложений и обнаруживает передачу файлов между узлами, видит пароли в открытом виде, определяет используемые ОС и ПО, обнаруживает туннели. PT NAD автоматически извлекает и передает файлы из трафика на анализ в PT Sandbox и получает вердикт. Работа выполняется в режиме одного окна
PT NAD предоставляет возможности для проактивного поиска угроз. С помощью гибкого фильтра пользователи PT NAD могут оперативно находить нужные сессии по любым из 1200 параметров и просматривать детальную информацию о них
PT NAD знает о сети все: собирает и актуализирует данные о каждом активе в режиме реального времени. Сведения полезны как IT-специалистам, так и безопасникам

Отзывы

Дмитрий Ларин
Начальник управления информационной безопасности АО «Генбанк»
Читать историю успеха

«Всего в „Ленте активностей“ за время работы PT NAD было зафиксировано 5700 потенциальных угроз, включая 90 высокого уровня опасности. При этом результаты мониторинга сети Генбанка не выявили успешных проникновений в сеть организации».

Антон Мельник
Начальник управления ИБ АО «Объединенная энергетическая компания»
Читать историю успеха

«PT NAD — полезный инструмент для мониторинга безопасности сети. После внедрения продукта мы почти моментально увидели первые результаты, которые помогли нам снизить риски безопасности и улучшить защищенность инфраструктуры».

Андрей Персичкин
И. о. директора КГ НИЦ
Читать отзыв

«PT NAD дает специалистам SOC около 70% полезной информации об инцидентах, выявленных в органах власти Калининградской области».

Дмитрий Сафронов
Начальник отдела защиты информации ВГТРК
Читать историю успеха

«Благодаря внедрению PT Network Attack Discovery мы получили полезный инструмент для расследования инцидентов, смогли решить проблему контроля вредоносной и злонамеренной активности в сетевом трафике, а также провели подготовку к выполнению требований регулирующих органов».

Новости

Positive Technologies: в 2023 году выкупы вымогателям превысили 1 миллиард долларов
Positive Technologies: в 73% успешных атак на организации киберпреступники применяют вредоносное ПО
Positive Technologies помогла исправить опасную уязвимость в популярной системе видеоконференций Yealink
Смотреть все новости →

Материалы

Истории успеха

Отзыв — КГ НИЦ
История успеха — ВГТРК
История успеха — Объединенная энергетическая компания
История успеха — Генбанк

Лицензии и сертификаты

Сертификат соответствия № BY/112 02.01. ТР027 036.01 00170 Республики Беларусь. Актуальный дистрибутив ptnad-distrib.10.1.379.tar.gz
Сертификат соответствия ФСБ России
Сертификат соответствия ФСТЭК России

Выписка из единого реестра российских программ

Выписка из реестра № 4710
Краткое описание продукта
Краткое руководство по работе с алертами
Руководство администратора на русском языке
Руководство оператора на русском языке
Документация на справочном портале

Больше материалов о PT NAD

Публикации, видео, полезные ссылки

Смотреть

Видео

Онлайн-запуск PT NAD 12
Онлайн-запуск PT NAD 12
PT NAD 11.1: новые технические возможности и экспертиза
Онлайн-запуск PT NAD 11
PT NAD против Cobalt Strike и Brute Ratel C4
Как PT NAD ловит злоумышленников. Результаты пилотных проектов
Пакет экспертизы PT NAD в MP SIEM: выявление атак с помощью анализа сетевого трафика и событий ИБ
PT Network Attack Discovery 10.3. Новые техники обнаружения хакеров
PT NAD в руках охотника за угрозами
Что такое PT Network Attack Discovery
PT NAD 10.2: новые возможности выявления киберугроз с помощью анализа трафика
Результаты анализа трафика в 41 компании и новые возможности PT NAD
По следам The Standoff: расследуем успешные атаки на город
Как выявлять сетевые аномалии при удаленной работе
Топ угроз ИБ в корпоративных сетях в 2019 году
Как выявлять инструменты атак на Windows инфраструктуру
Атака через «дочку»: история одного расследования
Threat hunting: поиск угроз, когда системы ИБ молчат
Продвинутые атаки на Microsoft Active Directory: способы обнаружения и защиты

Условия приобретения

Права на использование Positive Technologies Network Attack Discovery предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация↗