Помогают компаниям построить результативную кибербезопасность, обеспечивают комплексную автоматизированную защиту с минимальным участием человека. Объединяют продукты Positive Technologies и держат под контролем защищенность IT-инфраструктуры и бизнес-процессов: динамически определяют векторы атак и возможности злоумышленника, останавливают его до того, как он успеет нанести компании непоправимый ущерб.
Метапродукты Positive Technologies
Обзор MaxPatrol O2
Метапродукт MaxPatrol O2 обнаруживает злоумышленника, определяет захваченные им ресурсы, прогнозирует сценарий развития атаки с учетом недопустимых для компании событий и останавливает атаку до того, как компании будет нанесен непоправимый ущерб.
Почему метапродукты формируют новый класс решений
В чем заключается концепция метапродуктов и почему их нельзя отнести к классам SIEM/SOAR/XDR? Разбираем механизмы работы автопилота для результативной кибербезопасности в интервью с экспертом Positive Technologies.
Ключевые возможности
Моделирует действия злоумышленников
- Предсказывает, к каким недопустимым событиям может привести подозрительная активность и сколько шагов осталось до реализации рисков.
- Прогнозирование строится на основе:
- — сетевой достижимости узлов: маршрутизация, списки доступа, правила NAT;
- — прав учетных записей на удаленный вход;
- — наличия RCE-уязвимостей на узлах;
- — возможности удаленного входа через VPN;
- — возможности чтения памяти процесса lsass.exe.
Выявляет цепочки хакерской активности
- Анализирует данные от сенсоров Positive Technologies, включенных в состав метапродукта, и выделяет атакующие, атакованные и захваченные ресурсы.
- Сопоставляет ресурсы и строит цепочки активности с учетом знаний о техниках и тактиках злоумышленников.
- В каждой цепочке есть визуализация пути, пройденного злоумышленником, а также прогноз, куда он будет двигаться дальше.
- Ресурсы, отслеживаемые MaxPatrol O2:
- — учетная запись
- — узел
- — VPN-сессия
- — Windows-сессия
- — процесс
- — файл
- — письмо
- — ссылка
- — хеш-сумма
Автоматизирует расследования
- Использует данные от сенсоров Positive Technologies, чтобы построить полный контекст атаки и провести расследование.
- Обращается за обогащением следующих активностей:
- — запуска процессов: Process -> Session -> User
- — удаленных входов: RDP, SMB, WMI
- — перемещений в инфраструктуре: IP -> IP
- — создания VPN-сессий: IP Client -> IP External + Username
Оценивает степень опасности угроз
- MaxPatrol O2 видит захваченные злоумышленником ресурсы и предсказывает близость реализации недопустимого события.
Основываясь на этих данных, система переводит цепочку атаки в статус «Требует внимания», после чего автоматически останавливает хакера или информирует оператора, чтобы он принял решение. - Механизм расчета степени опасности угроз постоянно улучшается благодаря регулярным киберучениям Positive Technologies и участникам платформы для поиска уязвимостей Standoff 365 Bug Bounty.
Останавливает злоумышленника
- Учитывает риски для бизнес-процессов и предлагает оптимальный сценарий реагирования.
Сценарий может быть реализован автоматически или в ручном режиме, если его нужно скорректировать. - Возможные действия по реагированию:
- — блокировка учетной записи: в домене/локально, Windows/Linux/Mac
- — блокировка IP на межсетевом экране: входящий и исходящий трафик
- — сетевая изоляция узла
- — остановка запущенного процесса
- — отзыв токена OpenVPN
- — удаление письма
Как работает метапродукт
- MaxPatrol O2 основывается на топологии и сетевой достижимости узлов, учитывает данные об уязвимостях, моделирует возможные пути реализации недопустимых событий. Если риски не были определены заранее, система рассчитает векторы атак до наиболее важных узлов в инфраструктуре.
- MaxPatrol O2 анализирует срабатывания сенсоров, определяет захваченные, атакованные и атакующие ресурсы: учетные записи, узлы, сессии, процессы, файлы, письма и т. п.
- Чтобы составить детальную цепочку активности злоумышленника, MaxPatrol O2 обращается к соответствующим сенсорам за данными, которые позволяют составить полный контекст атаки, приоритизировать цепочки и принять решение по реагированию.
- MaxPatrol O2 анализирует данные и безошибочно связывает новые срабатывания сенсоров с уже существующими цепочками активностей в системе. Если ни одна из имеющихся цепочек активностей не подходит под критерии «склейки», MaxPatrol O2 создает новую цепочку, к которой привязывает поступившую сработку от сенсора.
- Основываясь на данных модуля прогнозирования угроз, MaxPatrol O2 оценивает уровень опасности цепочки атаки. Если он превышает пороговое значение, система переводит цепочку в статус «Требует внимания» и оповещает оператора о необходимости выбрать меры по реагированию.
- MaxPatrol O2 предлагает оператору варианты реагирования для каждого типа ресурса, чтобы остановить хакера и вернуть под контроль захваченные ресурсы. Все, что останется сделать оператору, ― это верифицировать цепочку и согласиться с предложенным сценарием реагирования, сформированным с учетом минимизации влияния на критически важные бизнес-процессы компании.
Параллельно с классическим SOC на киберучениях в тестовом режиме работает первый метапродукт компании — MaxPatrol O2. Его задача — автоматически выявлять и предотвращать хакерские атаки до того, как бизнесу будет нанесен неприемлемый ущерб.
ПодробнееПреимущества MaxPatrol O2
Не требует высокой квалификации специалистов
Для эффективной работы метапродукта достаточно иметь оператора-аналитика и специалиста по администрированию и обслуживанию системы
Снижает порог входа в мир результативной кибербезопасности
Позволяет компаниям решать задачи результативной кибербезопасности без расширения штата экспертов и траты ресурсов на автоматизацию процессов в SOC
Заменяет ручное расследование
Автоматизирует процесс расследования, предоставляя оператору уже собранные цепочки активностей злоумышленника с полным контекстом атаки
Обнаруживает сложные целевые атаки
MaxPatrol O2 свяжет все действия злоумышленника в одну цепочку, пока классические решения будут формировать независимые инциденты в рамках целевой атаки
Учитывает недопустимые для бизнеса события
Прогнозирует путь злоумышленника до реализации недопустимых событий. Определяет уровень опасности с учетом близости атакующего к целевой системе. Адаптируется к изменениям бизнес-рисков в постоянно меняющейся инфраструктуре организации
Мгновенно выбивает хакера
Благодаря агентам PT XDR, расположенным в инфраструктуре организации, MaxPatrol O2 реагирует за считаные секунды, не допуская реализации неприемлемого события
Экосистема Positive Technologies
Объединяет продукты Positive Technologies, которые работают как сенсоры, обмениваются знаниями и обеспечивают комплексную защиту IT-систем компании с минимальным вовлечением человека в процесс
Актуальная экспертиза Positive Technologies
Регулярно пополняется новыми механиками моделирования векторов атак, улучшенными алгоритмами связывания и обогащения инцидентов, а также автоматизированными действиями по реагированию
Работа в едином окне
Оператору не нужно обращаться к отдельным продуктам для обнаружения следов злоумышленника и расследования инцидентов. Система делает это автоматически, составляя цепочки активностей и обращаясь к сенсорам Positive Technologies за дополнительным контекстом атаки
Отечественное решение
Продукты в составе MaxPatrol O2 полностью российского производства, входят в реестр отечественного ПО и имеют сертификаты ФСТЭК России (PT MultiScanner в процессе сертификации)
Подходит для всех инфраструктур
Используется для защиты корпоративных инфраструктур и подходит для любой отрасли промышленности: энергетики, транспорта, металлургии, машиностроения, медицины, ЖКХ. В составе есть сенсоры, специально разработанные для узлов сетей АСУ ТП (SCADA)
Позволяет подключить любые системы
В процессе внедрения метапродукта эксперты Positive Technologies подключат любые бизнес- и IT-системы, в том числе специфические и самописные, относящиеся к целевым или ключевым источникам
Схема взаимодействия
Продукты в составе MaxPatrol O2
Полезные материалы
►
Выписка из Единого реестра российского ПО
Видео
Что такое MaxPatrol O2
Получите консультацию эксперта
Стоимость продукта
Права на использование программного изделия MaxPatrol O2 предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация.
MaxPatrol O2
Продукт внесен в единый реестр российского ПО 17 апреля 2023 года, регистрационный номер 17282.