Positive Technologies
Новости

PT NAD 11.1 с помощью поведенческого анализа выявляет еще шесть вредоносных активностей

Positive Technologies выпустила новую версию системы поведенческого анализа трафика для выявления атак на периметре и внутри сети — PT Network Attack Discovery (PT NAD). В PT NAD 11.1 появились статистические и поведенческие модули для обнаружения ранее неизвестных ICMP-туннелей1, аномалий в SMB2-трафике, признаков работы хакерских инструментов Cobalt Strike и Brute Ratel С4, а также модуль, подтверждающий успешную эксплуатацию уязвимостей на узлах.

Точное выявление атак при помощи поведенческого анализа трафика

«В новом релизе помимо сигнатурных методов появились новые способы обнаружения угроз с помощью сложных алгоритмов, основанных на профилировании каждого устройства в сети, сборе данных и поиске отклонений. Команда разработки PT NAD переложила уникальную экспертизу по проактивному поиску угроз (threat hunting) в сетевом трафике в автоматические детекты, — рассказывает Алексей Леднев, руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies (PT ESC). — Мы планомерно расширяем возможности настройки продукта под конкретную инфраструктуру, чтобы каждая компания с большей точностью могла обнаруживать аномалии и уникальные срабатывания, представляющие угрозу ее безопасности».

Для поддержки связи со взломанной инфраструктурой злоумышленники устанавливают скрытые каналы передачи данных — ICMP-туннели. Системы обнаружения, в частности файрволы, как правило, пропускают подобную активность. Анализируя статистические данные ICMP-пакетов, PT NAD 11.1 детектирует известные и новые утилиты, с помощью которых атакующие прячутся в сети.

Чтобы оставаться незамеченными, киберпреступники шифруют SMB-трафик, а также применяют вредоносное ПО и инструменты постэксплуатации, которые взаимодействуют со своими агентами по именованным каналам SMB (пайпам). Новые поведенческие модули в PT NAD определяют шифрованный протокол SMB и появление новых SMB-пайпов в трафике.

PT NAD 11.1 обнаруживает работу фреймворков Cobalt Strike и Brute Ratel C4, которые активно используются в целевых атаках. Они позволяют атакующим взаимодействовать со скомпрометированными узлами, выполнять на них команды и продвигаться внутри инфраструктуры. Для выявления вредоносной активности специалисты Positive Technologies разработали статистические модули, которые детектируют коммуникацию агентов этих фреймворков постэксплуатации неизвестных конфигураций с управляющим сервером.

Начиная с этой версии продукт получил новый модуль для выявления успешных попыток эксплуатации уязвимостей. Как показывает опыт экспертного центра безопасности Positive Technologies (PT Expert Security Center), специализирующегося на расследовании сложных инцидентов, эксплуатация уязвимостей входит в топ-3 самых распространенных векторов атак на корпоративную сеть компаний. Новый модуль поведенческого анализа автоматически извлекает вредоносные индикаторы из сетевых запросов и проверяет обращения к ним после эксплуатации уязвимости на узле.

Настройка в два раза быстрее

Мастер настройки, доступный пользователям новой версии, помогает в два раза быстрее установить основные параметры работы PT NAD (сетевые интерфейсы, параметры захвата трафика, сроки хранения PCAP/ES и др.). Он также значительно упрощает развертывание продукта.

Другие изменения

Улучшен механизм исключений из ленты активностей — теперь оператор может из карточек одним кликом удалять срабатывания, которые типичны для его инфраструктуры. Обновленная функциональность снижает количество ложноположительных срабатываний в каждой защищаемой инфраструктуре. В числе других нововведений — возможность создавать общие фильтры и делиться ими с командой, проверка корректности захвата и обработки трафика, а также инженерные и UX-улучшения.

PT NAD 11.1 уже доступен для пользователей. Оставить заявку на бесплатный пилот можно по ссылке. Действующие пользователи могут обновить продукт через техническую поддержку или обратиться к партнерам Positive Technologies.

  1. Скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP.
  2. Сетевой протокол для удаленного доступа к файлам, принтерам и другим сетевым ресурсам.