Positive Technologies запускает коммерческую версию системы анализа трафика и сетевого расследования инцидентов
PT Network Attack Discovery обеспечивает захват и анализ трафика со скоростью до 10 Гбит/с и долгосрочное хранение индексированных и «сырых» данных для расследования инцидентов.
Компания Positive Technologies объявляет о выходе коммерческой версии комплексного решения сетевой безопасности, предназначенного для анализа сетевого трафика и расследования инцидентов PT Network Attack Discovery (PT NAD) . Продукт успешно прошел длительную апробацию в крупных инфраструктурных проектах, в том числе в системе ГосСОПКА[1], и готов к промышленной эксплуатации.
В последние годы среднее время присутствия атакующих в корпоративных инфраструктурах увеличилось
до трех лет и лишь 10% атак выявлялись самими жертвами. Это связано с растущим числом специфических и многоступенчатых угроз, для многих из которых отсутствуют сигнатуры и признаки аномалий. Чтобы предотвратить серьезный ущерб на ранней стадии атаки, ИБ-специалисту необходим доступ к сохраненному за долгое время «сырому» трафику для получения полной картины действий злоумышленников. Однако наша практика показывает, что трафик для расследования хранит лишь одна компания из десяти, а срок хранения, как правило, не превышает двух недель.
Система PT Network Attack Discovery позволяет вести захват «сырого» трафика со скоростью до 10 Гбит/с, обеспечивает хранение больших объемов данных, их обработку, индексацию и запись в файлы формата Pcap. При использовании внешних хранилищ в зависимости от бизнес-задачи данные могут храниться до нескольких месяцев (при необходимости до полугода и дольше).
Выявление атак, случившихся в прошлом, и распределенных во времени угроз реализуется в PT Network Attack Discovery посредством механизма ретроспективного анализа. Система позволяет отслеживать хронологию и векторы развития атак, а также проводить ретроспективный анализ не только по сохраненным с помощью PT Network Attack Discovery данным, но и по файлам с трафиком, загруженным из внешних источников.
В коммерческой версии системы появилась возможность разбора протоколов до уровня L7, что позволяет на лету извлекать и сохранять метаданные, характерные для каждого сетевого соединения: используемые приложения, значения полей протоколов, репутационные списки, IP-адреса, порты. Была также увеличена стабильность работы и скорость обработки трафика. При гигабитном потоке данных (1 Гбит/с) и двухнедельном времени хранения поиск по метаданным может занимать меньше минуты.
Для обнаружения замаскированной сетевой активности в PT Network Attack Discovery используется собственная база сигнатур, нацеленных на выявление удаленной эксплуатации уязвимостей, вредоносного ПО. В перечень сигнатур входят правила для обнаружения использования эксплойта EternalBlue (удаленное исполнение команд в системах на базе Windows), модулей Cobalt Strike (удаленное управление взломанными узлами), техники DCShadow (новый вид атак на Active Directory), уязвимостей в Cisco SMI и других угроз. База сигнатур постоянно пополняется: в настоящее время она состоит из более 3000 правил, разработанных экспертами Positive Technologies. Высокое качество этих правил признано ведущими международными поставщиками сигнатур.
«По нашим оценкам, в 2017 году число жертв целевых атак увеличилось почти вдвое , — отмечает Евгения Красавина, руководитель отдела продвижения и развития технологий Positive Technologies. — Атаки становятся сложнее: киберпреступники применяют средства антифорензики, вредоносное ПО все чаще имеет цифровые подписи, увеличилось число бесфайловых атак. До нескольких дней сократилось время между появлением уязвимости и принятием ее на вооружение злоумышленниками. Например, группировка Cobalt одной из первых получила доступ к последней версии эксплойт-билдера Microsoft Word Intruder 8 для создания файлов, эксплуатирующих уязвимость CVE-2017-0199. Все это требует от компаний использования более интеллектуальных средств выявления угроз, позволяющих повысить скорость выявления атак».
Система PT Network Attack Discovery уже используются в энергетической и телекоммуникационной отраслях, на транспорте, в банках, государственных организациях и СМИ. Так, в крупнейшей медиакорпорации России ВГТРК продукт обеспечивает
выявление вредоносной активности в сетевом трафике и выполнение требований регуляторов — в частности, новых требований к операторам связи и интернет-проектам, предусмотренных Федеральным законом № 35-ФЗ «О противодействии терроризму».
В 2018 году возможности PT Network Attack Discovery были продемонстрированы на международном форуме по практической безопасности Positive Hack Days 8 . Продукт позволил наблюдать за вредоносной сетевой активностью в ходе соревнования The Standoff: хакерские команды со всего мира атаковали макет городской инфраструктуры. Только в отношении системы ДБО конкурсного банка с помощью PT Network Attack Discovery было выявлено 536 уникальных атак.
[1] PT NAD является компонентом платформы PT Platform 187 и используется при построении центров ГосСОПКА