Компания Positive Technologies выпустила новую версию PT MultiScanner: система теперь может локализовать и блокировать передачу вредоносных объектов прямо в почтовом потоке, а также объединять выявленное вредоносное ПО по всей инфраструктуре в одну угрозу заражения. Это позволяет значительно повысить эффективность расследования и реагирования на инциденты заражения и дает возможность отслеживать распространение вредоносного ПО в инфраструктуре.
Использование вредоносного ПО удерживает лидерство в общем списке наиболее актуальных методов атак ― на него приходится 39% общего объема атак, при этом более половины нацелены на инфраструктуру компаний и позволяют злоумышленнику осуществить первичное проникновение и развить свое присутствие внутри периметра.
«Зачастую выявленное и заблокированное вредоносное ПО на узле или в потоке может обернуться историей гораздо большего масштаба, чем просто единичный инцидент, — отмечает Евгения Красавина, руководитель отдела продвижения и развития продуктов Positive Technologies. — Важным аспектом здесь является максимально оперативное выявление всех зараженных узлов и возможность работать с данными в одной системе: необходимо видеть и анализировать всю картину в целом по всем возможным векторам распространения. При разработке новой версии продукта мы хотели наделить PT MultiScanner "более активной жизненной позицией", то есть добавить функцию блокировки на почтовом трафике и возможность сбора аналитики по всем потокам распространения вредоносного ПО. Сегодня PT MultiScanner позволяет найти все потоки распространения инфекции и затронутые ею жизненно важные органы инфраструктуры. А для работы с полученными данным создан удобный веб-интерфейс с дашбордами, статистикой и настраиваемыми фильтрами».
Усовершенствованная архитектура обновленного PT MultiScanner позволяет обрабатывать до 150 тысяч файлов в час в потоковом режиме. Ресурсы системы не простаивают даже при отсутствии загрузки (например, в нерабочие часы): автоматически запускается ретроспективный анализ (что позволяет выявлять ранее неизвестное вредоносное ПО), благодаря чему исключается вероятность влияния на производительность системы в часы пиковой нагрузки.
В PT MultiScanner появилась возможность использования черных и белых списков: можно вручную создавать кастомизированные списки или использовать черные списки, поставляемые Positive Technologies. Это позволяет настраивать детектирование заражения с учетом специфики конкретной компании, а также существенно повысить эффективность обнаружения и блокировки вредоносного ПО. При обнаружении объекта из черного списка в исторических данных PT MultiScanner запускает ретроспективный анализ и оповещает оператора в веб-интерфейсе и (или) отправив уведомление на выделенный почтовый адрес или в SIEM-систему.
Вся актуальная информация об объектах — заблокированных, пропущенных или выявленных в рамках ретроспективного анализа — в новой версии продукта отображается в единой панели статистики. Это значительно повышает скорость реагирования оператора на выявленные в сети угрозы заражения. Для удобства работы с данными PT MultiScanner позволяет создавать пользовательские фильтры, что сокращает время на обработку таких, к примеру, запросов, как «найти все шифровальщики в почте, веб-трафике или хранилище» до десятков секунд.
PT MultiScanner агрегирует все одинаковые объекты, передаваемые в различных потоках распространения вредоносного ПО, в одну угрозу заражения, что снижает трудозатраты оператора на анализ схемы распространения и значительно повышает эффективность расследования и реагирования на возникшие инциденты.
Развертывание новой версии продукта займет не более 40 минут.