Прошлые поколения оставили нам не столько готовые решения вопросов, сколько самые вопросы.
Прошлые поколения оставили нам не столько готовые решения вопросов, сколько самые вопросы.
Positive Technologies выпустила очередную версию системы глубокого анализа трафика PT Network Attack Discovery (10.1). Она позволяет выявлять атаки с использованием новых модулей аналитики, собирать актуальную информацию о сетевых узлах и централизованно узнавать об обнаруженных угрозах в одной ленте.
Чтобы пользователь своевременно узнавал о новых атаках и угрозах, в PT NAD появился новый раздел - лента активностей. Лента собирает в одном месте список выявленных угроз, объединяет сообщения об аналогичных активностях в одно и дает возможность управлять ими. Можно отметить устранение проблемы или больше не отслеживать подобную активность.
В версии PT NAD 10.1 в ленте появляются сообщения, когда:
"PT NAD изначально создавался как инструмент для специалистов по расследованиям, - комментирует Дмитрий Ефанов, руководитель разработки PT Network Attack Discovery. - Лента активностей - еще один важный шаг на пути упрощения продукта. Она фокусирует внимание аналитика на важных угрозах и помогает отслеживать реагирование на них".
В новую версию PT NAD добавлены модули глубокой аналитики трафика, которые позволяют выявлять сложные угрозы. Они учитывают множество параметров поведения атакующих и не привязаны к анализу отдельных сессий, в отличие от правил детектирования атак. С помощью модулей продукт автоматически обнаруживает аномальные LDAP-запросы . Такие запросы могут быть использованы злоумышленниками во время проведения разведки для сбора информации о домене: о пользователях, их группах, сетевых узлах, паролях.
С помощью новых механизмов детектирования продукт также выявляет использование словарных паролей и неизвестные DHCP-сервера. Информация о таких событиях попадает в ленту активностей. В следующей версии PT NAD модули аналитики будут использоваться для выявления еще 30 видов угроз.
Пользователи PT NAD теперь обладают актуальной информацией о сетевых узлах: IP-адреса, имя домена, установленная операционная система, используемые протоколы передачи данных, принадлежность к группам. Изменения в узлах тоже отслеживаются. Пользователь PT NAD узнает, если в сети появился новый узел, на узле появился новый открытый порт, прикладной протокол или изменилась ОС. Такие данные могут в том числе помочь выявить подозрительную активность. Например, если пользователь начал использовать протокол SSH для удаленного управления операционной системой, хотя раньше этого не делал, стоит провести расследование.
По данным опроса Positive Technologies, 72% специалистов по ИБ оценивают видимость внешнего трафика как низкую или среднюю, уровень прозрачности внутреннего трафика так же оценили 68% респондентов. Для большей прозрачности внутреннего и внешнего трафика в новой версии PT NAD расширен список определяемых и разбираемых протоколов. Продукт детектирует еще пять новых протоколов, которые встречаются в сетях российских компаний. Общее количество определяемых протоколов достигло 85.
Ещё четыре новых протокола PT NAD разбирает, собирая дополнительные данные о соединениях, которые установлены по таким протоколам. Разбор новых протоколов дает понимание, что происходит в сети, например к каким сервисам Google подключаются пользователи, какие запросы отправляются во время удаленного запуска команд, легитимная ли это активность или компрометация злоумышленников.
PT NAD 10.1 определяет зашифрованный трафик, который передается по нестандартным протоколам. Это нужно, чтобы обратить внимание оператора системы на подозрительную неизвестную активность в сети. Возможно, трафик шифруют злоумышленники, используя для этого собственные протоколы, и таким образом пытаются замести следы.
Появилась возможность переключать язык интерфейса и выбирать часовой пояс - настройки применяются к аккаунту пользователя. Теперь из интерфейса PT NAD можно в один клик перейти в песочницу PT Sandbox и посмотреть детальную информацию о выявленном вредоносном файле.
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.