Помогают компаниям построить результативную кибербезопасность, обеспечивают комплексную автоматизированную защиту с минимальным участием человека. Объединяют продукты Positive Technologies и держат под контролем защищенность IT-инфраструктуры и бизнес-процессов: динамически определяют векторы атак и возможности злоумышленника, останавливают его до того, как он успеет нанести компании непоправимый ущерб.
Метапродукты Positive Technologies
Расскажите, что вы делаете для подготовки инфраструктуры компании к отражению кибератак и как оцениваете результат.
Пройти опросОбзор MaxPatrol O2
Метапродукт MaxPatrol O2 обнаруживает злоумышленника, определяет захваченные им ресурсы, прогнозирует сценарий развития атаки с учетом недопустимых для компании событий и останавливает атаку до того, как компании будет нанесен непоправимый ущерб.
Почему метапродукты формируют новый класс решений
В чем заключается концепция метапродуктов и почему их нельзя отнести к классам SIEM/SOAR/XDR? Разбираем механизмы работы автопилота для результативной кибербезопасности в интервью с экспертом Positive Technologies.
Ключевые возможности
Моделирует действия злоумышленников
- Предсказывает, к каким недопустимым событиям может привести подозрительная активность и сколько шагов осталось до реализации рисков.
- Прогнозирование строится на основе:
- — сетевой достижимости узлов: маршрутизация, списки доступа, правила NAT;
- — прав учетных записей на удаленный вход;
- — наличия RCE-уязвимостей на узлах;
- — возможности удаленного входа через VPN;
- — возможности чтения памяти процесса lsass.exe.
Выявляет цепочки хакерской активности
- Анализирует данные от сенсоров Positive Technologies, включенных в состав метапродукта, и выделяет атакующие, атакованные и захваченные ресурсы.
- Сопоставляет ресурсы и строит цепочки активности с учетом знаний о техниках и тактиках злоумышленников.
- В каждой цепочке есть визуализация пути, пройденного злоумышленником, а также прогноз, куда он будет двигаться дальше.
Автоматизирует расследования
- Использует данные от сенсоров Positive Technologies, чтобы построить полный контекст атаки и провести расследование.
- Обращается за обогащением следующих активностей:
- — запуска процессов: Process -> Session -> User
- — удаленных входов: RDP, SMB, WMI
- — перемещений в инфраструктуре: IP -> IP
- — создания VPN-сессий: IP Client -> IP External + Username
Оценивает степень опасности угроз
- MaxPatrol O2 видит захваченные злоумышленником ресурсы и предсказывает близость реализации недопустимого события.
Основываясь на этих данных, система переводит цепочку атаки в статус «Требует внимания», после чего автоматически останавливает хакера или информирует оператора, чтобы он принял решение. - Механизм расчета степени опасности угроз постоянно улучшается благодаря регулярным киберучениям Positive Technologies и участникам платформы для поиска уязвимостей Standoff 365 Bug Bounty.
Останавливает злоумышленника
- Учитывает риски для бизнес-процессов и предлагает оптимальный сценарий реагирования.
Сценарий может быть реализован автоматически или в ручном режиме, если его нужно скорректировать. - Возможные действия по реагированию:
- — блокировка учетной записи: в домене/локально, Windows/Linux/Mac
- — блокировка IP на межсетевом экране: входящий и исходящий трафик
- — сетевая изоляция узла
- — остановка запущенного процесса
- — отзыв токена OpenVPN
- — удаление письма
Как работает метапродукт
- MaxPatrol O2 основывается на топологии и сетевой достижимости узлов, учитывает данные об уязвимостях, моделирует возможные пути реализации недопустимых событий. Если риски не были определены заранее, система рассчитает векторы атак до наиболее важных узлов в инфраструктуре.
- MaxPatrol O2 анализирует срабатывания сенсоров, определяет захваченные, атакованные и атакующие ресурсы: учетные записи, узлы, сессии, процессы, файлы, письма и т. п.
- Чтобы составить детальную цепочку активности злоумышленника, MaxPatrol O2 обращается к соответствующим сенсорам за данными, которые позволяют составить полный контекст атаки, приоритизировать цепочки и принять решение по реагированию.
- MaxPatrol O2 анализирует данные и безошибочно связывает новые срабатывания сенсоров с уже существующими цепочками активностей в системе. Если ни одна из имеющихся цепочек активностей не подходит под критерии «склейки», MaxPatrol O2 создает новую цепочку, к которой привязывает поступившую сработку от сенсора.
- Основываясь на данных модуля прогнозирования угроз, MaxPatrol O2 оценивает уровень опасности цепочки атаки. Если он превышает пороговое значение, система переводит цепочку в статус «Требует внимания» и оповещает оператора о необходимости выбрать меры по реагированию.
- MaxPatrol O2 предлагает оператору варианты реагирования для каждого типа ресурса, чтобы остановить хакера и вернуть под контроль захваченные ресурсы. Все, что останется сделать оператору, ― это верифицировать цепочку и согласиться с предложенным сценарием реагирования, сформированным с учетом минимизации влияния на критически важные бизнес-процессы компании.
Параллельно с классическим SOC на киберучениях в тестовом режиме работает первый метапродукт компании — MaxPatrol O2. Его задача — автоматически выявлять и предотвращать хакерские атаки до того, как бизнесу будет нанесен неприемлемый ущерб.
ПодробнееПреимущества MaxPatrol O2
Схема взаимодействия
Продукты в составе MaxPatrol O2
Полезные материалы
Выписка из Единого реестра российского ПО
Документация
Видео
Стоимость продукта
Права на использование программного изделия MaxPatrol O2 предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация.
MaxPatrol O2
Продукт внесен в единый реестр российского ПО 17 апреля 2023 года, регистрационный номер 17282.