Компании Positive Technologies и «Ростелеком-Солар» запустили сервис по глубокому анализу сетевого трафика (NTA) на основе решения PT Network Attack Discovery (PT NAD). Система глубокого анализа трафика интегрирована в существующий цикл выявления инцидентов центра мониторинга и реагирования на кибератаки Solar JSOC. Услуга выводит на новый уровень мониторинг сети и анализ сетевой активности как на периметре, так и внутри инфраструктуры. Это позволяет не только выявлять попытки злоумышленника проникнуть в сеть, но и обнаруживать внутреннюю подозрительную активность, которую не детектируют SIEM-системы, антивирусы и средства защиты конечных точек.
Корпоративная инфраструктура современной компании становится все сложнее. Она выходит далеко за пределы офиса и включает уже и личные устройства сотрудников, а рабочие данные хранятся как локально, так и у поставщиков услуг. В то же время высокоуровневые и спонсируемые государствами группировки демонстрируют многоступенчатый подход к атакам, используют легальные утилиты и умело работают с данными систем защиты. Для противодействия им требуется система интеллектуального анализа сетевого трафика. Злоумышленники с низким уровнем квалификации («киберхулиганы» и боты) также совершенствуют свой инструментарий. Чтобы выявить их присутствие в инфраструктуре, необходимо более пристальное внимание к внутренним сегментам сети. Именно эти задачи комплексно решает сервис анализа сетевого трафика Solar JSOC.
Сети 97% компаний имеют следы возможной компрометации, а большинство угроз информационной безопасности выявляются уже внутри периметра организации. В 50% случаев внешний периметр организации преодолевается злоумышленниками за один шаг, после чего традиционные средства защиты периметра уже не позволяют отслеживать развитие атаки внутри сети. Злоумышленник может незаметно присутствовать в сети годами. PT NAD играет важную роль в выявлении такого рода инцидентов, а также их расследования, так как сохраняет копию всего сетевого трафика — включая данные, которые злоумышленники удаляют для сокрытия своих следов. Информация, которую обрабатывает PT NAD, дополняет данные SIEM из других источников, что значительно расширяет базу знаний для форензики.
«Вечная битва "снаряда и брони" в области кибербезопасности уже давно перешла в гибридную игру в кошки-мышки внутри собственной инфраструктуры организации. Для крупных распределенных компаний становится жизненно необходимо иметь инструменты покрытия комплексным мониторингом всей инфраструктуры. PT NAD с обогащенным контентом в составе сервиса круглосуточного мониторинга и реагирования на киберинциденты решает эту задачу и позволяет выявлять действия высокоуровневых нарушителей до причинения ими реального ущерба», — отмечает менеджер по развитию бизнеса Solar JSOC компании «Ростелеком-Солар» Павел Гончаров.
Подключение к сервису занимает от двух до четырех недель: в инфраструктуру заказчика устанавливаются необходимые компоненты PT NAD, получающие еженедельные обновления правил обнаружения актуальной хакерской активности от вендора и обогащенные унифицированным контентом от экспертов Solar JSOC, что позволяет выявлять злоумышленников с высоким уровнем квалификации. При этом система настраивается с учетом всех особенностей заказчика.
«В 93% проектов по тестированию на проникновению наши специалисты смогли преодолеть сетевой периметр и получить доступ к ресурсам ЛВС, доказав их уязвимость для атаки внешнего злоумышленника, — говорит Сергей Осипов, руководитель направления по развитию бизнеса Positive Technologies. — Развивая свои атаки, киберпреступники оставляют следы в сетевом трафике организации, которые можно выявить только путем тщательного мониторинга сети. Поэтому одним из ключевых решений по обеспечению современной информационной безопасности мы считаем наше NTA-решение: без него SOC может упустить события на уровне сети, находящиеся в "слепой зоне", а значит ― у злоумышленников останется больше возможностей остаться незамеченными. Выбор PT NAD как основы для предоставления сервиса по глубокому анализу трафика говорит о высоком уровне зрелости центра мониторинга и реагирования на кибератаки Solar JSOC».
«Ростелеком-Солар» и Positive Technologies уже ведут совместные проекты внедрения сервиса NTA на базе технологий Positive Technologies (PT NAD) для нескольких крупных коммерческих и государственных компаний, что подтверждает эффективность совместного подхода к построению процесса сетевого мониторинга и анализа сетевой активности.
- Исследование Positive Technologies «Распространенные угрозы в корпоративных сетях», Москва, февраль 2020 г.
- Для обнаружения замаскированной сетевой активности в PT Network Attack Discovery используется собственная база правил, нацеленных на выявление удаленной эксплуатации уязвимостей, вредоносного ПО. В их перечень входят правила для обнаружения использования эксплойта EternalBlue (удаленное исполнение команд в системах на базе Windows), модулей Cobalt Strike (удаленное управление взломанными узлами), техники DCShadow (новый вид атак на Active Directory), уязвимостей в Cisco SMI и других угроз. База правил еженедельно пополняется: в настоящее время она включает более 5000 правил, разработанных экспертами Positive Technologies.