Помогают компаниям построить результативную кибербезопасность, обеспечивают комплексную автоматизированную защиту с минимальным участием человека. Объединяют продукты Positive Technologies и держат под контролем защищенность IT-инфраструктуры и бизнес-процессов: динамически определяют векторы атак и возможности злоумышленника, останавливают его до того, как он успеет нанести компании непоправимый ущерб.
Метапродукты Positive Technologies
Обзор MaxPatrol O2
Метапродукт MaxPatrol O2 обнаруживает злоумышленника, определяет захваченные им ресурсы, прогнозирует сценарий развития атаки с учетом недопустимых для компании событий и останавливает атаку до того, как компании будет нанесен непоправимый ущерб.
Почему метапродукты формируют новый класс решений
В чем заключается концепция метапродуктов и почему их нельзя отнести к классам SIEM/SOAR/XDR? Разбираем механизмы работы автопилота для результативной кибербезопасности в интервью с экспертом Positive Technologies.
Ключевые возможности
Моделирует действия злоумышленников
- Предсказывает, к каким недопустимым событиям может привести подозрительная активность и сколько шагов осталось до реализации рисков.
- Прогнозирование строится на основе:
- — сетевой достижимости узлов: маршрутизация, списки доступа, правила NAT;
- — прав учетных записей на удаленный вход;
- — наличия RCE-уязвимостей на узлах;
- — возможности удаленного входа через VPN;
- — возможности чтения памяти процесса lsass.exe.
Выявляет цепочки хакерской активности
- Анализирует данные от сенсоров Positive Technologies, включенных в состав метапродукта, и выделяет атакующие, атакованные и захваченные ресурсы.
- Сопоставляет ресурсы и строит цепочки активности с учетом знаний о техниках и тактиках злоумышленников.
- В каждой цепочке есть визуализация пути, пройденного злоумышленником, а также прогноз, куда он будет двигаться дальше.
- Ресурсы, отслеживаемые MaxPatrol O2:
- — учетная запись
- — узел
- — VPN-сессия
- — Windows-сессия
- — процесс
- — файл
- — письмо
- — ссылка
- — хеш-сумма

Автоматизирует расследования
- Использует данные от сенсоров Positive Technologies, чтобы построить полный контекст атаки и провести расследование.
- Обращается за обогащением следующих активностей:
- — запуска процессов: Process -> Session -> User
- — удаленных входов: RDP, SMB, WMI
- — перемещений в инфраструктуре: IP -> IP
- — создания VPN-сессий: IP Client -> IP External + Username

Оценивает степень опасности угроз
- MaxPatrol O2 видит захваченные злоумышленником ресурсы и предсказывает близость реализации недопустимого события.
Основываясь на этих данных, система переводит цепочку атаки в статус «Требует внимания», после чего автоматически останавливает хакера или информирует оператора, чтобы он принял решение. - Механизм расчета степени опасности угроз постоянно улучшается благодаря регулярным киберучениям Positive Technologies и участникам платформы для поиска уязвимостей Standoff 365 Bug Bounty.

Останавливает злоумышленника
- Учитывает риски для бизнес-процессов и предлагает оптимальный сценарий реагирования.
Сценарий может быть реализован автоматически или в ручном режиме, если его нужно скорректировать. - Возможные действия по реагированию:
- — блокировка учетной записи: в домене/локально, Windows/Linux/Mac
- — блокировка IP на межсетевом экране: входящий и исходящий трафик
- — сетевая изоляция узла
- — остановка запущенного процесса
- — отзыв токена OpenVPN
- — удаление письма

Как работает метапродукт
- MaxPatrol O2 основывается на топологии и сетевой достижимости узлов, учитывает данные об уязвимостях, моделирует возможные пути реализации недопустимых событий. Если риски не были определены заранее, система рассчитает векторы атак до наиболее важных узлов в инфраструктуре.
- MaxPatrol O2 анализирует срабатывания сенсоров, определяет захваченные, атакованные и атакующие ресурсы: учетные записи, узлы, сессии, процессы, файлы, письма и т. п.
- Чтобы составить детальную цепочку активности злоумышленника, MaxPatrol O2 обращается к соответствующим сенсорам за данными, которые позволяют составить полный контекст атаки, приоритизировать цепочки и принять решение по реагированию.
- MaxPatrol O2 анализирует данные и безошибочно связывает новые срабатывания сенсоров с уже существующими цепочками активностей в системе. Если ни одна из имеющихся цепочек активностей не подходит под критерии «склейки», MaxPatrol O2 создает новую цепочку, к которой привязывает поступившую сработку от сенсора.
- Основываясь на данных модуля прогнозирования угроз, MaxPatrol O2 оценивает уровень опасности цепочки атаки. Если он превышает пороговое значение, система переводит цепочку в статус «Требует внимания» и оповещает оператора о необходимости выбрать меры по реагированию.
- MaxPatrol O2 предлагает оператору варианты реагирования для каждого типа ресурса, чтобы остановить хакера и вернуть под контроль захваченные ресурсы. Все, что останется сделать оператору, ― это верифицировать цепочку и согласиться с предложенным сценарием реагирования, сформированным с учетом минимизации влияния на критически важные бизнес-процессы компании.

Параллельно с классическим SOC на киберучениях в тестовом режиме работает первый метапродукт компании — MaxPatrol O2. Его задача — автоматически выявлять и предотвращать хакерские атаки до того, как бизнесу будет нанесен неприемлемый ущерб.
ПодробнееПреимущества MaxPatrol O2
Схема взаимодействия
Продукты в составе MaxPatrol O2
Полезные материалы
Выписка из Единого реестра российского ПО
Видео
Получите консультацию эксперта

Стоимость продукта
Права на использование программного изделия MaxPatrol O2 предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация.

MaxPatrol O2
Продукт внесен в единый реестр российского ПО 17 апреля 2023 года, регистрационный номер 17282.