Что бы ни случилось завтра, оно не должно отравить сегодня. Что бы ни случилось вчера, оно не должно задушить завтра. Мы существуем в настоящем, и нельзя его презирать.
Новая версия PT Network Attack Discovery ловит ещё больше атак злоумышленников
01.06.2022 16:44
Positive Technologies представила новую версию системы анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети PT Network Attack Discovery (PT NAD) 10.3. Среди главных отличий релиза — обнаружение медленных сканирований сети, выявление несанкционированных подключений и появление разбора протоколов туннелирования VXLAN и Geneve. Все нововведения позволяют выявлять действия атакующего на ранних стадиях атаки.
Обнаружение новых угроз
В PT NAD 10.3 реализовано детектирование новых узлов в сети, которое помогает обнаружить угрозы в том сегменте сети компании, где они возникают редко.
«Система самообучаема, что позволяет исключить из анализа те сегменты сети, где появление новых хостов является частью рабочего процесса. Например, гостевой Wi-Fi или тестовую часть сети. В случае появления неизвестного ПК в бухгалтерии или в отделе разработки PT NAD отправит уведомление. Подобные инциденты встречаются как в практике крупных компаний, так и указаны в списке угроз матрицы MITRE ATT&CK», — отмечает Дмитрий Ефанов, руководитель разработки PT NAD компании Positive Technologies.
Начиная с этой версии продукт начал выявлять медленное сканирование, которое могут реализовать злоумышленники. Оно используется атакующими для того, чтобы затруднить обнаружение сетевой разведки. На практике злоумышленник может анализировать сеть в течение суток, отправляя минимальное количество пакетов за единицу времени. Подобная активность, как правило, уходит от внимания средств мониторинга, а новая функциональность PT NAD позволяет выявить распределенные во времени сканирования.
Также PT NAD 10.3 теперь обнаруживает NTLM-Relay атаки . Это эффективные MITM-атаки (man in the middle, или атаки «человек посередине»), в ходе которых злоумышленник вмешивается в процесс аутентификации по протоколу NTLM между клиентом (жертвой) и сервером. Успешная реализация атаки позволяет злоумышленнику получить доступ к серверу с привилегиями атакуемого пользователя. Таким образом злоумышленник может осуществлять перемещение по сети (lateral movement) и получать доступ к критически важным системам, например контроллеру домена.
Помимо этого, в ленту активностей PT NAD 10.3 добавилось перечисление пользовательских сеансов. То есть ИБ-специалисту стало проще выявлять атаки, нацеленные на получение информации о пользователях, прошедших аутентификацию на узле.
Новые возможности PT NAD уже успел оценить центр предотвращения киберугроз CyberART ГК Innostage. Команда Innostage отвечала за мониторинг SOC (Security Operation Center) на кибербитве The Standoff, которая проходила 16–19 мая 2022 года в рамках форума по практической кибербезопасности Positive Hack Days 11.
«PT NAD 10.3 входил в нашу базу инструментария для мониторинга SOC кибербитвы, — рассказывает Антон Калинин, руководитель группы аналитиков Центра предотвращения киберугроз CyberART. — Система содержит достаточно информативные дашборды для анализа общей ситуации в инфраструктуре. Анализируя взаимодействия узлов в сети на страницах "сессии" и "атаки", можно собрать большой скоуп информации о целевых атаках. Обновление по общим фильтрам дает возможность выгружать файлы, которые были обнаружены в трафике, в том числе настроить нативную интеграцию с PT Sandbox и вердикт файла в PT NAD».
UX-улучшения
Что касается изменений в интерфейсе системы, в продукте появилась возможность выполнять операции с несколькими активностями сразу: можно включать и отключать отслеживания активностей или отменять предыдущее действие.
Ещё одно нововведение: операторы могут быстро переходить к просмотру информации об IP-адресах, доменах и файлах, которые принимали участие в сетевых взаимодействиях, с той страницы интерфейса, где они отображаются. Помимо этого, начиная с версии 10.3, операторы могут настраивать поиск опасных и потенциально опасных активностей.
С точки зрения работы с продуктом, PT NAD 10.3 стал проще — сейчас ИБ-специалисту для обнаружения и локализации атаки достаточно предпринять стандартные действия, описанные в рекомендациях базы знаний экспертного центра безопасности Positive Technologies (PT Expert Security Center).
Ещё одно важное дополнение — изменение работы с загрузкой правил и репутационных списков из базы знаний экспертного центра Positive Technologies. Появилась возможность настроить локальное зеркало публичного сервера Positive Technologies с обновлениями, чтобы PT NAD мог получать обновления, работая в изолированном от интернета сегменте сети.
Среди других улучшений в версии 10.3 — определение новых протоколов в трафике, таких как Lotus Notes, WireGuard, Redis и появление разбора протоколов туннелирования VXLAN и Geneve. PT NAD 10.3 уже доступен для пользователей. Оставить заявку на пилот можно по ссылке -->>. Действующие пользователи могут обновить версию продукта из базы знаний PT NAD.
Последний вышедший номер
Читайте в номере:
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2026 гг.
Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.
Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.
В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.
Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.